您的位置 : 环球研究 / 环球评论 / 新闻详情
《数据安全法(草案)》十一大亮点解读,兼议企业合规义务
2020年07月14日孟洁 | 张淑怡(实习生刘心怡亦有贡献)

随着信息技术和生产生活紧密融合,各行各业的数据迅猛增长,并汇聚融合,对经济、社会和人民生活都产生了革命性的影响。数据安全已成为事关国家安全与社会经济发展的重要课题。基于此,2020年6月28日,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)进行了审议,并将全文公布在中国人大网,面向社会公众征求意见。

 

《草案》共七章五十一条,与《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《数据安全管理办法(征求意见稿)》(以下简称“《数据安全管理办法》”)相比,有较大的创新和突破,从国家法律的层面,对于国家与数据活动实施者两个角色,规定了一系列提升数据安全治理和数据开发利用水平的原则、制度与措施,落实主体责任;以适应电子政务发展的需要,建立数据安全管理制度和开放利用的规则。

 

下文将以简评《草案》十一大要点为主线,评析《草案》与其他国内外法律法规的要点对比,以期帮助企业了解立法精神,梳理合规要点,厘清应尽义务。

 

一、十一大亮点解读

 

亮点一:以国家主权为立法出发点,兼顾数据保护与利用

 

《草案》第一条指出,本法的立法目的为“保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益”,从中可以提炼出“保护和利用并举”与“维护国家利益”两项主要的立法宗旨。具体来看:

 

1. 保护利用并举:

 

《草案》第十二条明确表示,“国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。可见,维护数据安全和促进数据开发利用是相辅相成的车之两轮。数据开发利用为数据安全提供了技术的支持和概念的革新,数据安全为数据开发利用提供了基础的保障和稳固的底盘。通览全文,对于数据,《草案》并非采取久束湿薪似的保护,而是鼓励对其进行合法利用,从数据中挖掘、开发出更大的经济价值。这一点在《草案》第五章“政务数据安全与开放”中也有突出体现。

 

《草案》第五条亦明确规定,国家鼓励数据的合理有效利用、保障数据的有序自由流动。可见,从国家层面对数据利用的态度,是审慎且包容的,采用监管与发展并重。既不因噎废食地完全封闭,又非不加甄别地全盘接受,通过激励相容的制度设计,力求达到二者可持续发展的平衡,最终令数据安全和数据利用协调一致。

 

2. 维护国家利益:

 

《草案》第四条规定,维护数据安全,应当坚持总体国家安全观。这一概念是以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托的全方位国家安全体系。这条规定呼应了《国家安全法》第二十五条所提出的,国家应建设网络与信息安全保障体系,提升网络与信息安全防护能力,维护国家网络空间主权、安全和发展利益。在各国数据博弈深化的国际背景下,主权已经不再局限于一国领土而是拓展至网络空间中的数据和设施,数据要素已经成为国家基础性和战略性资源,数据安全已经成为国家安全不可或缺的组成部分,应对数据可能带来的非传统领域的国家安全风险与挑战,切实维护和确立国家数据主权、安全和发展利益,正是当今时代赋予的新课题。

 

亮点二:监管层级较高:从中央到地方,从网信办到各行业部门

 

《草案》第六、七条明确了数据安全领域内治理体系的顶层设计,即中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究和制定重大方针政策;工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责;并且,由公安机关和国家安全机关承担其范围内的监管职责;最后由国家网信部门统筹协调网络数据安全的监督管理工作,这与国家网信部门的一贯职责是相配套的。

 

从以上表述可以看出,相较于《数据安全管理办法(征求意见稿)》和《网络安全法》所涉及的监管部门权属划分,《草案》既有保留也有突破。在网络监管方面,《草案》沿袭了“网信部门+公安部门+国务院其他下属机构联动”的监管体系,但值得注意的是,《草案》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,与《国家安全法》保持一致,从侧面巩固了数据安全在国家安全体系中的重要地位,以基本法成文化的方式将数据安全工作上升至国家安全最高监管和行动决策的层级。

 

尽管我国近年来持续加快对数据以及个人信息保护方面的立法进度,比如《民法典》人格权编中对个人信息保护做出了原则性规定,出台了包括《网络安全法》、《数据安全管理办法(征求意见稿)》、《信息安全技术 个人信息安全规范》等一系列法律法规、部门规章和国家标准,但仍然存在法律效力有限、规定分散、体系不完备的问题。《草案》此次将数据安全集中、专门地反映在一部基本法中,完善了我国在数据保护领域的立法架构,也为后续配套文件的跟进提供了坚实的基础。

 

总体来说,国家从战略和规划层面上重视数据的保护与应用,也意味着企业需要更加谨慎地处理数据,不但需从自身角度,还要从维护国家利益层面上履行数据安全保护义务、承担社会责任,不得危害国家安全与社会、公共利益。

 

亮点三:适用对象扩大:主客体范围广泛

 

《草案》第二、三条规定了其适用对象为“在我国境内开展的数据活动”。其中“数据”是指任何以电子或者非电子形式对信息的记录;“数据活动”是指数据的收集、存储、加工、使用、提供、交易、公开等行为。此外,《草案》附则部分还明确,涉及国家秘密和军事数据的活动,应分别适用《保守国家秘密法》和中央军事委员会另行制定的单行规则。另外,第四十九条还提出,“开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定。”考虑到我国《个人信息保护法》也已经提交到全国人大常委会审议,《草案》明确规定个人信息也属于数据的一种,将另由特别法律规制,这寓意着为即将出台的《个人信息保护法》留出空间。由此分析,《草案》适用对象的范围非常广泛,对于在境内实施任何数据收集、存储、使用等行为的组织和个人,不论主体身份,不论处理的数据数量、频率如何,均应遵守这一法律规定。

 

1. 适用主体

 

首先,《草案》没有对适用主体进行限制。《数据安全管理办法(征求意见稿)》规定适用的主体主要是网络运营者,即网络的所有者、管理者和网络服务提供者,《网络安全法》的义务主体亦然。这一表述覆盖的范围可能延展到网络服务的方方面面,已然十分广泛,但《草案》在此基础上更进一步,对适用主体从开展数据活动这一客观行为入手,而非将适用主体限定在某一个类型的主体范围内,更加扩大了适用的范围,最大限度地保障不同层次的数据安全,进而达到数据在有效保护下的合法利用目标。

 

国际上,对数据安全进行专门立法的情况不多,以色列《数据安全管理条例》规定适用主体为数据库控制者(Database Controller),再细分为基础、中等、严格三种保护水平。大多数国家的做法是将数据安全作为一个章节规制在个人信息或隐私保护法案中,如《加州消费者隐私保护法》(以下简称“CCPA”)和《欧盟通用数据保护条例》(以下简称“GDPR”)对受规制的主体提出具体要求(比如,对企业/组织有一定营业机构/收入的要求);美国各州法案中也存在保障数据安全的条款,适用对象包括收集使用个人信息的组织(例如:加州民法典)、医疗健康机构(康涅狄格州保险信息和隐私保护法案)、互联网服务提供者(明尼苏达州法典)等。《草案》没有对适用主体做出特别的设定,实际上从客观层面能够达到对数据保护的最大化效果。

 

值得商榷的是,《草案》第二十五条所提及的“重要数据的处理者”,虽然根据条文理解此处的“处理者”应当理解为数据的控制者与处理者,但会与已被大众广为熟悉的《信息安全技术 个人信息安全规范》的相关定义存在冲突。因此,建议《草案》后续可以调整此处的表达,以免引起歧义或者误解。

 

2. 适用客体—“数据”与“数据活动”

 

《草案》对于适用客体即“数据”和“数据活动”进行了较为宽泛的定义。在之前的法律法规或国家标准文件中,如《网络安全法》从关键信息基础设施相关的数据、重要数据、个人信息三个类别对网络运营者进行规制;而后续亟待出台的《个人信息保护法》将侧重对个人信息进行保护。而《草案》则规定,不论呈现形式(电子/非电子)、不论收集方式(通过网络/非通过网络)、不论数据的内容(可识别身份的个人信息/与国家安全、经济发展以及社会公共利益密切相关的重要数据/其他数据),数据泛指一切对信息的记录。这一定义在我国的立法至今可属创新之举,将“数据”外延界定义为摈弃一切修饰词的客观载体,区分了“数据”与“信息”的概念,有效避免了主语与宾语同一的非有效解释。《网络安全法》、《个人信息保护法》和《数据安全法》适用客体的范围类型如下图:

《草案》中对“数据活动”采取了列举式定义法,提出“收集、存储、加工、使用、提供、交易、公开”等一系列行为及活动。这一定义的逻辑,基本参考了《民法典》[1]的定义逻辑。联系对比GDPR中数据“处理(process)”的概念以及《信息安全技术 个人信息安全规范》中数据全生命周期的理解,《草案》目前的表述有有以下几点待完善之处:

 

首先,《草案》没有明确涵盖数据“共享”、“删除”及“销毁”这几种典型的数据处理活动,建议后续对数据活动的列举能在现有的基础上进一步完善,加入“共享、销毁、删除”等典型数据活动情形,与国内外立法接轨,保证数据在全生命周期内一以贯之地得到保护,为企业合规落地提供更多的确定性。

 

其次,若《草案》采取列举式定义法,建议考虑效仿GDPR,尽量穷尽可能出现的数据活动并落实在文本中,以达到数据安全保护全面性的目的,避免各方因对数据活动理解不一致、不确定而产生任意演绎的情况。

 

再次,“加工”、“交易”等名词可能源于企业实务中的说法,但在法律层面上,对这些概念的内涵及适用情形需要进一步明确。“加工”是否也可以理解为数据“使用”的一种形式?“交易”、“提供”是否也包括了数据“共享”、“转让”的情形?并且,建议相关概念能够更好地与其他现有文件中出现的内涵进行对齐。

 

如上所涉,《草案》所规定的适用范围非常广泛,除了大数据公司等视数据为“血液”进行运营的企业需要特别关注以外,一切可能处理数据的政府、组织和个人也都落在了《草案》规制的范围之内。

 

技术的更新与普及使人们普遍享受到大数据带来的快捷与便利,但一些组织为了获得更多的经济利益,将数据采集、加工和利用等准入门槛却越降越低。如果监管缺乏有力的法律依据,更难以实现对数据市场有效的调控和管理。因此,《草案》的出台将所有与数据有关的活动均纳入调整范围之中,能在基本法层级系统、集中地规范数据安全和利用,为有效监管数据活动提供强有力的法律基础。

 

同时,《草案》亦规定了一定的域外适用性,以应对国际空间中数据成为各国在合作与抗衡上的博弈,具体请见下文亮点四部分分析。

 

亮点四:明确域外效力

 

《草案》第二条第二款规定,如损害我国国家安全、公共利益或者公民、组织合法权益的,我国将依法追究开展数据活动的境外组织、个人的法律责任。这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《草案》以必要的域外适用效力。

 

随着数据竞争的日益激烈,各国都在试图扩大数据方面的管辖权。2018年3月,美国通过《澄清域外合法使用数据法》(The Clarifying Lawful Overseas Use of Data Act, CLOUD Act,以下简称“《云法案》”),使得执法部门可依据搜查令直接调取境外数据。从美国司法部对外公布的白皮书对《云法案》适用范围做出的官方解释中[2]可以看出,《云法案》绝不仅仅适用于在美国注册成立的公司,境外的公司只要在经营活动中与美国有足够的联系(contacts),就可能触发美国法律的管辖权。去年11月,欧洲数据保护委员会(EDPB)对GDPR第三条进行统一解释,并发布了GDPR地域适用的指南,明确了符合“营业机构”标准或“目标指向”标准其中之一的数据处理者和控制者,均需要遵守GDPR的规定。向欧盟居民提供服务、对欧盟居民进行监控、数据处理活动由设立在欧盟境内的营业机构进行或与其有紧密联系的情形均受到GDPR制约。

 

因此,数据处理活动不以物理边界为限,具有抽象的超越国界和领土的特质。各国为有效保障数据安全、维护国家利益,除了通过国际条约与双边/多边协议进行约定,还通过扩大其国内法的适用范围,以求最大程度地降低跨境数据活动给本国带来的安全风险。

 

《草案》现行规定以“后果论”为标准,即如果数据活动造成了对我国国家、社会、公民利益损害的,相关组织和个人应被追究法律责任,确认了我国掌握主动权,以国家利益为主导监管各类数据活动的鲜明立场。然而,《草案》未规定我国执法机构能对境外组织或个人调取信息或要求协助配合的权限,且相比美国《云法案》(即只要在经营活动中与美国有足够的联系(contacts)便可触发美国法律的管辖权)与GDPR(即向欧盟数据主体提供商品或服务或监控欧盟数据主体)的“行为论”,这一规定并没有将我国对数据管辖权的手臂伸得那么长。

 

然而,《草案》未对第二条第一款适用范围中的“境内开展数据活动”概念进行定义,笔者认为会可能在具体执行上会有困难。例如某一德国公司开发的App在我国境内投放运营后,用户在使用过程中出现软件崩溃,发送故障报告至德国公司的过程即构成在我国境内收集数据的活动。虽然德国公司属于境外组织,其主要营业机构、存储服务器均不在国内,但仍然可能受到《草案》的约束。《数据出境安全评估指南(征求意见稿)》将“境内运营”定义为在中华人民共和国境内开展业务,提供产品或服务的活动,而不论运营者是否在境内注册。另外,还提出了几项参考因素以帮助判断,包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。笔者认为,对“境内开展数据活动”的理解可以基于该理解类推借鉴。然而在现实中,法律是否能得到有效的执行,可能尚存疑问,在后续修订及制定相关的配套政策和办法中应加以明确和考量。

 

亮点五:支持政务数据的开放与利用

 

为保障政务数据安全,并推动政务数据开放利用,《草案》第五章对国家机关收集、使用、运用数据的行为、能力提出要求(第三十四到三十六条),对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定(第三十七条),要求国家机关按照规定及时准确公开政务数据,制定开放目录,构建互联互通、安全可控的开放平台(第三十八、三十九条)。

 

《草案》虽未对政务数据进行定义,但可以根据今年6月17日浙江省发布的全国首部公共数据开放办法《浙江省公共数据开放与安全管理暂行办法》(下称《公共数据暂行办法》)对“公共数据”的界定汲取经验。公共数据,指各级行政机关以及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源。联系实际而言,可能包含政府才有权利采集的数据,如资源、税收数据,政府在提供服务过程中所收集的公民消费和档案数据,如社会保险、水电数据,政府履行监管职责所采集的数据,如人口普查、食品药品监管等数据。

 

政务数据的利用与开放是加快政府数字化转型,推进电子政务建设的重要步骤。在收集、使用数据时,政府必须依法定职责和法律规定,健全安全管理制度,将责任落到实处;监督可能涉及的第三方,保障政务数据安全;遵循公正、公平、便民的原则,及时、准确地公开政务数据,实施“清单式管理”,构建统一互通的政务开放平台,将政务数据赋能值扩展到最大,利用数据更好地服务经济社会发展。

 

对于企业而言,如果在实践中遇到国家机关委托存储、加工政务数据的情形,应配合国家机关完成审批程序,采取必要的技术和组织措施保障政务数据安全,并确保获得委托处理政务数据的授权同意。当然,关于审批程序与政务数据的具体安全义务,还期待相关法规与标准予以进一步细化与支撑。

 

亮点六:对于外国歧视性行动的反制裁措施

 

《草案》第二十四条表明我国面对任何国家或地区对数据及对其开发利用技术相关的投资、贸易领域存在歧视的,我国将根据实际情况对该国家或者地区采取相应的措施。

 

随着我国科技企业的兴起和5G等尖端技术的开发,各国针对我国企业的限制性措施层出不穷。仅在过去的一周内,美国联邦通信委员会(FCC)将中国两大电信巨头企业列为国家安全威胁名单,禁止美国公司利用83亿美元的政府资金购买这两家公司的设备;印度电子信息技术部以“有损印度主权、国防、国家安全和公共秩序”为由宣布禁用TikTok、微信等59款中国应用,且严格管控检查所有从中国购买的电力设备,以确认其中是否存在恶意软件或木马病毒。

 

一方面可见,数据安全、网络安全已经成为国际社会普遍认可的国家安全版图之一;另一方面可见,我国所面临的挑战和困难也是十分艰巨的。数据已经成为“黄金”、“石油”,也必然成为新兴“兵家必争之地”。全球围绕数据的争夺日益深化,《草案》的制定不仅需要解决国内数据安全管理的问题,还要为数据出境、跨境合作设计等相关规则制定策略。

 

针对歧视的反制裁措施在国际私法、贸易等领域已有先例,此次在涉及数据安全、国家安全的基本法中重申这一原则,既表明我国拥护数据自由流动、跨境安全的坚定立场,又对他国如有不正当的歧视待遇行为做出了有力的回应。

 

此外,《草案》第三十三条规定,境外执法机构要求调取存储在中华人民共和国境内数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。即企业在面临境外监管机构的直接执法时,不能径直提供境外监管机构要求的数据,而是需要先行上报给我国主管机关,获得批准后方才可提供。例如,当中国企业虽未在欧盟设有实体,但直接向欧盟境内的数据主体提供商品或监控欧盟数据主体时,须受到《欧盟数据保护条例(General Data Protection Regulation)》域外管辖。在此情况下,如欧盟的数据保护机构依据其职权对企业进行调查,要求企业提供存储于我国境内的相关数据时,中国企业在向我国主管机关报批获准后方可提供。从实践的角度来说,受限于管辖的限制,即便GDPR规定了自身的域外效力,考虑到现实执法的困难程度,实践中也少有案例直接对在欧盟境内没有实体的公司进行处罚。《草案》的第三十三条无疑显示出对部分国家域外长臂管辖执法进行有礼有节的回应态度。只是日后,需要相关部门规章或者国家标准进一步细化具体报批的机关以及相关流程。

 

亮点七:强调对数据出口的管制

 

《草案》第二十三条首次提出数据出口管制的说法,依法实施出口管制。这一规定实质上类似于数据出境限制和本地化的要求,但《草案》此处未说明哪些数据属于出口管制物项,也未明示针对数据出口管制有哪些具体措施。如果类比贸易领域的出口管制,与履行国际义务和维护国家安全相关的,属于管制物项的数据,需要获得许可后才可出口。然而,对于需要向哪个机关申请此类数据的出口许可,《草案》也没有给予答案,建议在《草案》后续的调整过程中对此点也应予以明确。

 

亮点八:明确企业合规义务

 

《草案》第四章落实了数据活动主体的具体安全保护义务与责任,列举了一系列需要遵守的合规义务,包括开展安全培训、完善制度建设、风险评估监测、报告安全事件、落实数据分级分类等制度等。具体请参见本文第二部分的分析。

 

亮点九:提出“数据安全审查制度”“数据交易管理制度”

 

《草案》第二、三章集中规定了支持、促进数据安全与发展的主要措施及相关安全管理基本制度,对过往的法律法规既有继承又有创新。《草案》在国家层面重申了数据分级分类、重要数据重点防护、安全风险评估及监测预警制度、应急处理机制、安全监测评估认证等《网络安全法》中已有涉及的制度,受限于篇幅,此处将不再对各个制度进行具体介绍,本文主要将针对《草案》新提出的数据安全审查制度、数据交易管理制度进行分析。

 

对于安全审查制度,《草案》第二十二条首次规定了数据安全审查制度,即国家对影响或者可能影响国家安全的数据活动进行国家安全审查,依法作出的安全审查决定为最终决定。《草案》本身并未对安全审查制度的具体内涵予以说明,后续应该会有配套的审查办法出台规定审查主体、审查方式、审查内容。目前而言,可以参考今年4月27日颁布的《网络安全审查办法》所规定的立法精神、启动方式与审查流程的相关规定。但《网络安全审查办法》的审查主体是关键信息基础设施的数据,如前所述,《草案》所包含的数据类型范围更大,因此两者的审查尺度可能会有所区别。此外,《草案》指出安全审查决定即为最终决定,因此更需要在实践中确保做出决定的机关有足够的专业能力以正确裁量。

 

对于数据交易管理制度,《草案》第十七条明确,国家将建立健全数据交易管理制度,但未说明其具体内涵;实践中现存贵阳、上海、西安、武汉等国营背景的大数据交易所,《草案》没有明确是否支持民营的数据交易机构;此外,对于数据法律性质和权利属性的争议也尚未得到解决(6月28日颁布的民法典也没有做出回应,仅规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”),因此,数据交易的实际落地仍有待完善的空间。

 

数据安全在数据交易行为中充满变数,数据交易管理制度应力求稳扎稳打、合法合规的扩大数据交易服务,挤压数据黑市的生存空间,规范交易行为,合理划分买卖双方及数据交易中介服务机构的权利义务,在保证数据自由、合法流通的同时,保障数据的安全与完整。具体可参考本文第二部分,企业配套合规义务第(三)点内容。

 

尽管前述制度仍然存在有待完善的空间,但明确了国家对相关内容的支持态度,建议企业在履行已有制度体系的基础上,对《草案》新提出的若干制度进行额外关注。

 

亮点十:强调数据新技术应当符合社会公德与伦理

 

《草案》第二十六条要求开展数据活动以及研究开发数据新技术应当符合社会公德与伦理,这一条款则对应了近些年诸多颇具争议的数据新技术,例如医疗AI、Deepfake、ZAO换脸技术等。不可否认的是该等技术的背后是数据活动方面的蓬勃创新,但其所导致的伦理道德问题也一直是社会讨论的重点。例如,2017年一位匿名用户使用“Deepfake”技术将《神奇女侠》中女主盖尔·加朵的脸移植到了一部成人电影的女主身上,再辅以技术手段将其完美的融合,之后将其上传到了Reddit成人交流社区,最终因侵犯个人隐私导致视频下架;2019年3月报道,犯罪分子利用Deepfake技术,冒充英国某能源公司母公司CEO的声音,成功诈骗了22万欧元。《草案》的第二十六条正是针对此种新技术所带来的身份冒用、侵犯隐私、造成严重社会负面影响等问题进行了回应。然而,《草案》本身没有对违反此条款规定法律责任,可能实际震慑力较为有限。

 

亮点十一:明确规定罚则

 

《草案》第六章规定了开展数据活动的组织、个人、数据交易中介机构、国家机关、监管工作人员等主体违反法律规定、未履行义务应承担的法律责任。去年公开的《数据安全管理办法(征求意见稿)》对于违反法律义务作出的是“一刀切”的罚则,即,“依违规情节,给予网络运营者公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。”本次《草案》的规定针对不同违法行为设置不同的罚责,与《网络安全法》体例保持基本一致,规定了各主体违反法律规定可能承担的不同责任。

 

比如,有关部门发现数据活动存在较大安全风险的,可以按照规定的权限和程序约谈相关组织、个人并要求采取整改措施。这一规定旨在尽可能从源头消除安全隐患,以最低成本预防安全事故的发生。

 

开展数据活动的组织、个人未履行数据安全保护义务或未采取必要措施的,可能遭到警告和罚款,直接负责的主管人员个人也可能被处以罚款;如果违法行为性质恶劣或造成严重后果,罚款金额可高达100万元,与《网络安全法》第六章规定同步。然而这一数字与GDPR规定的最高2000万欧元罚款尚有一定的距离,对于动辄掌握千万用户记录的产业龙头或采买亿万字段信息的大数据巨头而言,威慑力度可能也较为有限,但至少也是一个良好示范的起步。

 

另外,为避免非法来源数据交易的乱象,《草案》还首次规定了针对数据交易中介机构的处罚规则,相关机构可能被没收违法所得、罚款、吊销营业执照,直接责任人也会被处以罚款,重拳出击规制数据交易行为,应引起相关机构的特别关注。

 

二、企业配套合规义务

 

如上述亮点八所指明的,《草案》在第四章集中列明了在中国境内从事数据处理活动的企业应当承担的数据合规义务。

 

(一)明确企业自身所控制的受规制数据

 

如亮点三所述,《草案》所规制的数据极为广泛,不仅包括电子的数据,还包括非电子的数据,例如员工填表所得的数据。因此,企业首先需要明确企业自身所受《草案》约束的数据范围,并在“数据”这一基本类型的基础上,识别除《草案》外是否须额外受《网络安全法》、日后出台的《个人信息保护法》的规定。

 

(二)确保数据收集的合法、正当与必要性

 

根据《草案》第二十九条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的, 应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。除了直接收集外,企业需要特别注意从第三方间接收集数据时,也需要核实第三方数据来源的合法性、正当性,例如进行前期安全尽调、要求第三方签订承诺书、保证书等,并审查自身获取数据是否符合必要性要求。

 

未能履行合法、正当、必要收集数据要求的企业,则根据《草案》第四十二条的规定,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

(三)数据中介服务机构确定交易主体与交易合法性

 

根据《草案》第三十条的规定,从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。《草案》本身并没有对何为“数据交易中介服务”的定义进行规定,我们结合相关实践,初步分析可能是指《信息安全技术 数据交易服务安全要求》中的“数据交易服务平台”(例如上海数据交易中心、贵州数据交易中心等提供数据交易平台的企业)等国营企业。对于此类企业,根据《草案》的规定,需要数据交易一方说明数据来源,审查交易双方的主体身份以及过往是否存在违规交易记录,并对交易记录进行留存。未能按照《草案》要求进行交易数据提供方的背景审核、记录留存的,则根据《草案》第四十三条的规定,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

从落地的角度来说,“数据交易中介服务”概念(例如是否支持民营企业做成数据交易中介等)、交易记录留存时间等尚未明确规定,可能对实践带来一定的障碍,建议相关企业密切关注立法动态,以便完成相关合规举措。当然,我们也期待《草案》在征求意见后,更加明确相关概念,对于普通民商事主体是否有资格成为数据交易中介服务商,还应做出具体规定。

 

(四)设立数据安全管理制度,采取技术和必要措施保障数据安全

 

根据《草案》第二十五条的规定,开展数据活动应……建立健全全流程数据安全管理制度, 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。对于企业而言,一方面需要在企业内部设置相应的数据安全管理制度,例如《数据访问权限管理制度》、《IT管理制度》《外部人员访问审批管理流程》等,对涉及处理数据的员工进行专项培训等;另一方面,需要采取相应的技术措施和其他必要措施,保障数据安全,例如数据分级分类存储、加密传输、保存等措施。在这里法案并没有要求公司采取企业所能实现的“最高的”技术措施,而是采取“相应的”措施,没有为企业的合规落地设置过高的要求与挑战。因此,企业可能需要结合不同类别数据的情况、风险等级、技术手段与成本,对数据采取技术和安全保障措施。

 

根据《草案》第四十二条的规定,未能设立数据安全管理制度或者采取数据保障措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

(五)对数据分级分类保护

 

对于数据分级分类制度,《草案》借鉴了今年2月工信部印发的《工业数据分类分级指南(试行)》,以一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度作为标准之一,辅以该数据在经济社会发展中的重要程度,对数据进行分级分类保护。相对应地,企业在开展业务的过程中也针对数据的重要程度、敏感程度对数据进行分级分类的保护,例如对儿童的个人信息应当加密存储。信安标委也正在研发《重要数据分级分类指南》,企业也可以关注相关动态,以便提前规划合规义务的落地。

 

(六)按照要求进行安全检测与评估认证

 

《草案》第十六条指明了国家对安全检测评估、认证服务的支持态度。目前我国是通过中国网络安全审查技术与认证中心,将强制测评与自愿测评相结合进行定期和年度检测认证或自愿认证,企业可以根据自身业务所对应的要求进行相关检测与评估。笔者认为,对于自愿认证的项目,未来也可考虑采取类似司法鉴定机构清单式管理的做法,由国家有关部门对机构的资质、能力进行考核,认证,并将有权开展评估服务的专业机构予以公告。

 

(七)设立数据安全负责人和管理机构义务

 

根据《草案》第二十五条的规定,重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。《草案》将必须设立数据安全负责人的企业限定在掌握“重要数据”这个范畴。对于设立数据安全负责人和管理机构义务虽非一项崭新规定,但在设置的要求与对应规制的对象上,与以往的法规还是有所不同。《网络安全法》第二十一条规定网络运营者应当确定网络安全负责人;第三十四条要求关键基础设施的运营者应当设定专门的安全管理机构和安全管理负责人;《关键信息基础设施安全保护条例(征求意见稿)》第二十四条要求关键基础信息设施的运营者设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;《信息安全技术 个人信息安全规范》(2020版)第11.1条则要求个人信息控制者应任命个人信息保护负责人和个人信息保护工作机构。

 

如本文第一部分亮点三所分析的,《草案》并没有对受《数据安全法》规制的公司或个人作明确的限定,“重要数据的处理者”、“关键基础设施的运营者”、“个人信息的控制者”所涵盖的范围,相互间既有所交织,又略有不同,因此企业在落地实践中,应当更加明确自身处理的数据类型,将主要数据类型视为重点合规的对象,设置相关的负责人与保护机构。当然,在企业内部,为了避免多头设置不同类型数据保护的虚拟部门与负责人员,可以设置一套机构管理企业内部不同类型的数据安全。具体可以参阅《数据保护岗位需求与能力发展》一文。

 

根据《草案》第四十二条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

(八)发生数据安全事件的报告义务

 

根据《草案》第二十七条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。

 

《草案》本身并没有对“数据安全事件”进行明确的规定,可参考其他法律法规、国家标准。《网络安全法》第四十二条说明“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。《数据安全管理办法(征求意见稿》第三十五条也采取了类似的表述,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。《草案》本条款目前的写法虽然呼应了《网络安全法》、《数据安全管理办法(征求意见稿)》的表述,但可能存在以下问题:

 

1. 该条款似乎割裂了“数据安全缺陷、漏洞等风险”与“数据安全事件”的关系;如果前者只需要立即采取补救措施而不需要上报主管机构的话,那么在《草案》并未对“数据安全事件”作出明确定义的前提下,对于企业落实相关的上报/告知要求存在一定的不确定性;

 

2. 此外,这里没有明确“数据安全事件”是否仅局限于中国境内运营所发生的数据安全事件。如果中国企业在境外发生了数据安全事件是否需要上报?从《网络安全法》角度看,可能并不需要上报,但如果事件结果也同时影响了中国境内用户呢?;

 

3. 再则,《草案》也没有对上报的时间进行要求,而是采用了较为模糊的“及时告知”的表述。作为参考,GDPR在规制数据泄露时,则明确要求,数据控制者在可行的情况下应当在知道之后 72 小时内告知。如果仅停留在“及时”上报的层面可能难以有效实现对国家有效控制数据安全事件的目的。

 

期待《草案》在后续的修改过程中能够对前述问题进一步澄清或者期待有相关部门规章或者国家标准进行细化。

 

(九)定期开展风险评估义务

 

根据《草案》第二十八条的规定,重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况、面临的数据安全风险及其应对措施等。

 

企业如果处理的是重要数据,则需要按照要求定期开展风险评估,并向主管部门报告。因此实施本条仍然是定义并识别重要数据为前提。

 

未能履行此义务的,根据《草案》第四十二条的规定,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

 

(十)境内执法的配合义务

 

根据《草案》第三十二条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,有关组织、个人应当予以配合。此条款则是从法律的层面明确企业面临公安机关、国家安全机关执法调查时的配合义务。需要提示的是,企业在收到来自公安等其他有关部门协助调查的请求时,应要求其出具相关的执法函件,,比如企业可以要求出具《协查函》等方式让公安等文件后进行存档,以便日后作为企业履行企业配合义务提供数据的证明、而非不经查验轻易对外提供用户个人信息。

 

(十一)遇域外执法时的先行报告义务

 

根据《草案》第三十三条规定,境外执法机构要求调取存储在中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。例如,当中国企业直接向欧盟境内的数据主体提供商品、须受到GDPR域外管辖时,如欧盟的数据保护机构依据其职权对企业进行调查,要求企业提供相关的数据时,不能径直按照境外执法机构的要求,提供相关的数据,应当先向主管机关报批方可提供。此条分析在第一部分时已经涉及,故不再赘述。

 

三、总结

 

当前,数据基数呈指数式增长,处理活动随技术迭代而日益精细、复杂,国家安全、企业机密、个人信息均面临着前所未有的风险。因此,在立法层面建立健全各项制度措施,保证数据的安全十分必要。与此同时,数据蕴藏着巨大的信息资源和开发空间,已经成为国家战略和企业实践层面推动经济发展的新动能,掌握数据开发利用的主动权是信息时代和数字经济发展的关键钥匙。《数据安全法》的出台将针对数据安全从法律层面有了规制的依据,但如上述分析,目前公布的《草案》尚有若干亟待改进之处,例如对数据、对受本法案规制的公司进行清晰定义等。考虑到目前信安标委等组织也在研究制定各产业内相关标准,例如《网络预约汽车服务数据安全指南》、《工业互联网数据安全防护指南》、《即时通信服务数据安全指南》、《快递物流服务数据安全指南》、《网上支付服务数据安全指南》,企业需要实时关注《数据安全法》以及配套法规、标准的动态,以便提前做好预案,使得商业运营设计合乎法律法规的要求,让数据成为企业安全运营的新动力。

 

注释:

[1] 《民法典》第一千零三十五条:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

[2] 网安寻路人美国司法部“云法案”白皮书中文全文翻译。

“美国对外国公司管辖权的法律限制是基于美国宪法中的约束,并且是美国法院多年来制定的。当公司位于美国时,属人管辖权是最容易确立的。位于美国境外但在美国提供服务的外国公司是否与美国有足够的联系且受美国管辖,是基于对个案中该公司与美国的联系的性质、数量和质量的考查。公司越是有目的地将其行为引导到美国,法院就越有可能认定该公司受美国管辖。例如,美国法院将这一分析应用于涉及网站的民事案件,重点关注网站与其辖区内的客户的互动程度,同时考虑到网站的功能和机制、对客户的任何特定促销、通过网站招揽业务以及客户的实际使用情况等因素。”