您的位置 : 环球研究 / 环球评论 / 新闻详情
《数据安全法(草案)》二次审议稿:深度解读八大亮点
2021年05月21日孟洁 | 张淑怡 | 徐晨

业务审校:桂佳

 

数据的有效开发利用是新经济形态下商业价值挖掘与智慧城市建设的重中之重,从互联网公司产品与服务的研发、重要基础设施的数字化转型、到智慧政府的平台搭建等等,数据都扮演着关键的角色。全球各国对于数据主权的保护及各国之间科技发展日益激烈的竞争,更是使得数据的有效监管,尤其是数据安全的监管成为炙手可热的议题。2020年6月28日,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称“一审稿”)进行了审议,并公开向社会征求意见。在汲取了社会各界及专家的意见后,2021年4月29日,第十三届全国人大常委会第二十八次会议对进一步修改后《数据安全法(草案)》(以下称“二审稿”) 进行二次审议。

 

二审稿删除了一审稿中第三十一条有关在线数据处理服务的规定及与第四十四条与其法律责任相关的内容,补充增加了与数据出境安全管理、行业规范制定等相关的三条规定,并重点完善了数据安全制度的建设等议题。下文将通过比对一审稿与二审稿,结合近期全球数据安全监管的动态,对于重点修改内容进行解读分析,以更好地为企业提供合规思路指引。

 

二审稿重点修订解读

 

重点修订一:提出“数据分类分级保护制度”,明确重要数据的界定责任

 

一审稿即提出了国家应对数据实行分类分级保护,二审稿第二十条在此基础上进一步明确提出了“数据分类分级保护制度”的建立及重要数据目录的确定。对数据进行分类分级的主要标准为“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度”,这也呼应了《数据安全法(草案)》以维护国家安全和网络空间主权为根本的基调,这在数据主权博弈激烈的当下显得尤为重要。同时,根据二审稿第二十条,重要数据是数据分类分级中一个类别,由于其关键性和敏感性需要额外的保护。数据分类分级保护制度的提出是现有数据保护制度框架的一个重要补充。相信在后续配套的法律法规及国家标准出台后,数据分类分级保护制度将与网络安全等级保护制度等类似,成为数据保护工作纲领性的要求与指引。

 

二审稿第二十条要求各地区、各部门制定相应地区、部门及相关行业的重要数据目录,明确了重要数据的界定责任主要由各地区、各行业主管部门承担。这对于厘清何为重要数据并进一步推进重要数据保护工作而言至关重要。此前,《网络安全法》中虽然提到了重要数据,但并未对其进行展开的阐释或定义,《数据安全管理办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(草案)》虽有对重要数据有定义,但定义也没那么清晰且两者都未效,指南还不具有法律效力。对于企业进行重要数据保护工作而言造成了较大的不确定性和操作上的困难。相信随着本法的通过,后续各地区、各部门制定的重要数据目录能成为有效的参考,特别是将确定重要数据目录下放到各地区、各行业主管部门,从而增强重要数据分级分类的落地性与实践性。

 

重点修订二:完善重要数据出境的规则

 

二审稿第三十条新增了有关除关键信息基础设施运营者外的其他数据处理者将所收集的重要数据出境的规定,要求适用国家网信部门会同国务院有关部门制定的管理办法。我们在《各国个人信息出境实况——兼评<个人信息出境安全评估办法(征求意见稿)>》(点击可跳转)文中提到过,个人信息与重要数据出境将采用“二轨制”评估的方式,但此前,重要数据出境监管制度并未特别详细地得到明确,且多为征求意见稿的状态,除了《网络安全法》第37条较为概括地要求重要数据本地化,只有有极其特殊情况下方才申请主管部门审批出境(实践中估计也鲜有行业主管部门有审批的流程和经验),其他尚无现行有效的法律法规、国家标准明确数据出境的具体合规方案,从而给企业带来了较大的不确定性。在尚无针对重要数据的专门评估办法出台前,各企业预备重要数据评估的,目前仍然参考的是《个人信息和重要数据出境安全评估办法(征求意见稿)》。其中,第九条规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估得情境,包括:

  1. 含有或累计含有50万人以上的个人信息;

  2. 数据量超过1000GB;

  3. 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;

  4. 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

  5. 关键信息基础设施运营者向境外提供重要数据;

  6. 其他行业主管或监管部门认为可能影响国家安全和社会利益的。

上述规定仍需要企业及相关组织进行全面的自我评估,但具体出境情况是否适用上述规定存在较大的不确定性,对于企业进行重要数据出境安全管理工作带来较大的挑战。二审稿通过区分主体的方式,对于重要数据出境的监管办法进行了进一步的明确和补充。关键信息基础设施运营者出境重要数据适用《网络安全法》的规定,其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法,这样的监管思路也使得数据分类分级保护制度能够更好地与关键信息基础设施保护要求相协调。

 

此外,该条款明确制定数据出境规则的主体为“国家网信部门会同国务院有关部门”,可以体现未来对于数据出境进行规制的法律文件其法律位阶与效力基本是在部门规章的级别,从而加强企业遵守相关义务的必要性。

 

值得注意的是,除了《网络安全法》及二审稿,一些重要数据的出境还需要重点关注行业监管的要求。比如,《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条更是规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,且除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。

 

重点修订三:强调擅自向境外执法机构提供数据的处罚,规制数据出口

 

二审稿的另一大重要修改则是在一审稿的基础上,增加了未经主管机关批准向境外的司法或者执法机构提供数据的处罚。二审稿第四十六条规定,如违法违规提供数据,则“由有关主管部门责令改正,给予警告,可以并处十万元(人民币,下同)以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款”。

 

这一法律责任的增设体现了二审稿对于合法合规向境外执法机构提供数据的重视,这也与国际环境的发展息息相关。如引言中所述,数据管辖权之争愈演愈烈。2018年3月,美国通过《澄清域外合法使用数据法》(The Clarifying Lawful Overseas Use of Data Act, CLOUD Act,以下简称“《云法案》”),使得执法部门可依据搜查令直接调取境外数据。欧盟则于2019年7月发布了《美国云法案对于欧盟个人信息保护法律框架以及欧盟-美国关于跨境电子取证协议谈判影响的初步法律评估》(Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence,以下简称“《评估》”)。《评估》明确指出,根据欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)的规定,《云法案》并不能成为向美国传输个人数据的合法性基础。与此同时,全球各国政府跨法域调取数据的情况也越来越常见,根据苹果公司2020年的透明度报告,仅2020年上半年,苹果公司就收到来自超过50个国家及地区的执法机构,共计28,276个数据调取请求。越来越多的中国科技公司走向世界,在主要的经济区都拥有重要的市场份额,故进一步完善对于境外执法机构调取数据的规制尤为重要。二审稿通过第三十五条再次强调中国对严格限制数据出口的态度,配以单独条款明确罚则,防范中国数据不当被境外司法或执法机构获取的风险。

 

重点修订四:鼓励行业自律,建立行业规范

 

相较于第一稿草案,第二稿草案新增了第十条,即 “相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”,强调了行业自律在数据安全规范方面的作用,提出了行业数据安全行为规范这一概念,并鼓励各行业组织积极制定适用于本行业的数据安全行为规范,加强行业自律,通过行业内的指导进一步提升数据保护水平。

 

笔者认为这虽然不是一个强制要求,但也将是未来数据安全保护监管及合规自证体系中一个重要的部分。在《数据安全法(草案)》或者今年拟推动的《个人信息保护法(草案)》出台前,多为在法律法规、国家标准层面的规制手段,但由于数据本身对应的场景极具多样性与专业性,法律法规进行落地时可能会存在天然的障碍。该条款通过凸显行业自律的作用,让行业作为规制的一环,从而加强规则的适用性以及与时俱进的能力。

 

行业自律也为世界其他主要法域国家常见的规制手段。例如,GDPR第四十条及四十一条就早已提出了行为准则(点击可跳转)(Code of Conduct)这一理念,鼓励有起草行为准则的行业协会或者其他实体制定适合行业的最佳实践。这样的行业最佳实践在通过认证之后,可以成为一个有效的自愿性问责工具。除此之外,这对于一些小微型企业而言也是一个能够有效降低合规成本的方案。二审稿这一概念的提出,也是数据安全监管思路与框架向国际社会中数据保护监管水平较高的地区看齐的重要一步。

 

重点修订五:拓宽、提高罚则的横向范围与纵向上限,增强震慑力

 

横向而言,二审稿相较于一审稿:一方面增加了两种适用于罚则的情况,即第三十四条不配合公安机关、国家安全机关因维护国家安全或者侦查犯罪调取数据以及第三十四条未经批准向境外司法或者执法机构提供数据的处罚;另一方面,增加了罚则的种类,一审稿项下,不论是对开展数据活动的组织、个人还是直接负责的主管人员或直接责任人员,罚则种类为罚款以及吊销数据交易中介机构的执照或许可,而二审稿项下,除了对开展数据活动的组织、个人还是直接负责的主管人员或直接责任人员罚款外,还增加了对开展数据活动的组织、个人“暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的罚则类型;对于数据交易中介机构,增加了“暂停相关业务、停业整顿”的处罚类型。

 

纵向而言,二审稿相较于一审稿对于罚款的上限也进行了提高。在一审稿项下,对于开展数据活动的组织、个人罚款最高金额为一百万元、最低金额为一万元,在二审稿项下,将最高金额提高至五百万元、最低金额提高至五万元;在一审稿项下,对于直接负责的主管人员和其他直接责任人员罚款最高金额为十万元、最低金额为五千元,在二审稿项下,将最高金额提高至五十万元、最低金额提高至一万元。总体上,通过升格罚责的数额,来震慎并预防违法行为发生。

 

重点修订六:强化应对境外歧视措施的对等态度,维护中国企业的利益

 

针对境外采取的歧视性的禁止、限制或者其他类似措施,二审稿第二十五条相较于一审稿强化了应对态度,将根据实际情况采取“相应的措施”,修改为“对等措施”。当下,腾讯、华为等企业不时面临境外采取的限制性或者歧视性经济制裁措施,意图打压中国企业在外国的发展,该条款明确了我国维护中国企业利益的决心,无疑给中国企业打了一枚强心剂。

 

重点修订七:明确数据处理活动不应排除、限制竞争

 

对于违反其他法律、行政法规的援引条款,一审稿第四十七条仅提及了通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的依照有关法律、行政法规的规定处罚,二审稿第四十九条在此基础上,进一步明确开展数据处理活动“限制、排除竞争”的场景。

 

当下,随着《国务院反垄断委员会关于平台经济领域的反垄断指南》的出台以及罚款金额的震慑性,平台反垄断也成为企业的热点话题,该条款明确了数据处理活动也不应该排除、限制竞争,对于怎样的数据处理活动可以产生排除、限制竞争的效果,留待反垄断局或在个案中进一步说明。

 

重点修订八:建立与网络安全等级保护制度相衔接的数据安全管理制度

 

二审稿第二十六条在一审稿的基础上强调了数据安全管理制度的建立应基于网络安全等级保护制度,这使得二审稿能够更好地与现有的数据保护相关法律法规及规制思路相配适。已经建立网络安全等级保护制度的企业能够更好地衔接数据安全管理制度的要求,进一步提升整体的网络安全及数据保护水平。

 

总结

 

如中共中央、国务院在《关于构建更加完善的要素市场化配置体制机制的意见》中指出的,数据已经成为改革方向和相关体制机制五大生产要素之一。作为人口大国和制造大国,我国数据生产量巨大,其中蕴含巨大的价值以及力量。通过《数据安全法》搭建数据安全保护的上层建筑,为维护个人、组织的合法权益,维护国家主权、安全和发展利益提出宏观但实际的要求。

 

二审稿的修改历经了接近一年的酝酿,通过对比分析变动以及未调整之处,实际可以推出未来企业合规至少要采取的措施,例如内部搭建数据分级分类管理制度、数据出境制度、数据对外提供要求等。建议企业在关注相关立法动态、配套法规、标准的同时,提前布局,以在前期便确保合规,符合发展要求。

 

请点击文末“相关下载”,查阅一审稿与二审稿对比表

相关下载