随着信息技术和生产生活紧密融合,各行各业的数据迅猛增长,并汇聚融合,对经济、社会和人民生活都产生了革命性的影响。数据安全已成为事关国家安全与社会经济发展的重要课题。基于此,2021年6月10日,第十三届全国人大常委会第二十九次会议审议并通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”),并于2021年9月1日起施行。
《数据安全法》共七章五十五条,与《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《数据安全管理办法(征求意见稿)》(以下简称“《数据安全管理办法》”)相比,有较大的创新和突破,从国家法律的层面,对于国家与数据活动实施者两个角色,规定了一系列提升数据安全治理和数据开发利用水平的原则、制度与措施,落实主体责任;为适应电子政务发展的需要,建立数据流通利用与安全管理的要求。正如新华社所评述,“制定数据安全法是维护国家安全的必然要求。数据是国家基础性战略资源,没有数据安全就没有国家安全。”
一、《数据安全法》正式稿相较于二审稿的修改亮点
(一)建立工作协调机制,完善数据安全领域治理体系
《数据安全法》第五、六条明确了数据安全领域内治理体系的顶层设计,即中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究和制定重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责;并且,由公安机关和国家安全机关承担其范围内的监管职责;最后由国家网信部门统筹协调网络数据安全的监督管理工作,这与国家网信部门的一贯职责与功能是配套和衔接的。
从以上表述可以看出,相较于《数据安全管理办法》和《网络安全法》所涉及的监管部门权属划分,《数据安全法》既有保留也有突破。在网络监管方面,《数据安全法》沿袭了“网信部门+公安部门+国务院其他下属机构联动”的监管体系,但值得注意的是,《数据安全法》首次将数据安全全局决策统筹工作升格至中央国家安全领导机构,与《国家安全法》保持一致,从侧面巩固了数据安全在国家安全体系中的重要地位,以基本法成文化的方式将数据安全工作上升至国家安全最高监管和行动决策的层级。
尽管我国近年来持续加快对数据以及个人信息保护方面的立法进度,比如《民法典》人格权编中对个人信息保护做出了原则性规定,出台了包括《网络安全法》、《数据安全管理办法》、《信息安全技术 个人信息安全规范》等一系列法律法规、部门规章和国家标准,但仍然存在法律效力有限、规定分散、体系不完备的问题。《数据安全法》此次将数据安全集中、专门地反映在一部基本法中,完善了我国在数据保护领域的立法架构,也为后续配套文件的跟进提供了坚实的基础。
总体来说,国家从战略和规划层面上重视数据的保护与应用,也意味着企业需要更加谨慎地处理数据,不但需从自身角度,还要从维护国家利益层面上履行数据安全保护义务、承担社会责任,不得危害国家安全与社会、公共利益。
(二)明确关系国家安全、国民经济命脉等重要数据的重要性
《数据安全法》第四条规定,维护数据安全,应当坚持总体国家安全观。这一概念是以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托的全方位国家安全体系。这条规定呼应了《国家安全法》第二十五条所提出的,国家应建设网络与信息安全保障体系,提升网络与信息安全防护能力,维护国家网络空间主权、安全和发展利益。在各国数据博弈深化的国际背景下,主权已经不再局限于一国领土而是拓展至网络空间中的数据和设施,数据要素已经成为国家基础性和战略性资源,数据安全已经成为国家安全不可或缺的组成部分。应对数据可能带来的非传统领域的国家安全风险与挑战,切实维护和确立国家数据主权、安全和发展利益,正是当今时代赋予的新课题。
《数据安全法》第二十一条第二款则进一步强调关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
这一点也在罚则部分有所体现,《数据安全法》最终稿新增的第四十五条第二款明确,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下的罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
(三)进一步完善保障政务数据的规定
为保障政务数据安全,并推动政务数据开放利用,《数据安全法》第五章对国家机关收集、使用、运用数据的行为、能力提出了要求(第三十七条到四十三条)。国家机关为履行法定职责的需要收集、使用数据时,应当对其在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供(第三十八条)。
其次,第四十条对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务做出了规定,并明确受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。国家机关还应按照规定及时准确公开政务数据,制定开放目录,构建互联互通、安全可控的开放平台(第四十一、四十二条)。
《数据安全法》虽未对政务数据进行定义,但可以根据今年6月17日浙江省发布的全国首部公共数据开放办法《浙江省公共数据开放与安全管理暂行办法》(下称《公共数据暂行办法》)对“公共数据”的界定汲取经验。公共数据指各级行政机关以及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源。联系实际而言,可能包含政府才有权利采集的数据,如资源、税收数据,政府在提供服务过程中所收集的公民消费和档案数据,如社会保险、水电数据,政府履行监管职责所采集的数据,如人口普查、食品药品监管等数据。
政务数据的利用与开放是加快政府数字化转型,推进电子政务建设的重要步骤。在收集、使用数据时,政府必须依法定职责和法律规定,健全安全管理制度,将责任落到实处;监督可能涉及的第三方,保障政务数据安全;遵循公正、公平、便民的原则,及时、准确地公开政务数据,实施“清单式管理”,构建统一互通的政务开放平台,将政务数据赋能价值扩到最大,利用数据更好地服务经济社会发展。
对于企业而言,如果在实践中遇到国家机关委托存储、加工政务数据的情形,受托方应配合国家机关完成审批程序,履行法律法规、合同约定的数据安全保护义务,采取必要的技术和组织措施保障政务数据安全,不擅自留存、使用、泄露或者向他人提供政务数据,并确保获得委托处理政务数据方的授权同意。当然,关于审批程序与企业关于处理政务数据的具体安全义务,还期待相关法规与标准后续进一步细化与支撑。
(四)明确对老年人的特殊保护
《数据安全法》相较于二审稿增加了第十五条,即明确提出支持智能化公共服务的发展,且要求应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。这并不是第一次专门针对老年人的利益需求提出特殊要求。例如,工业和信息化部在今年4月就发布《互联网网站适老化通用设计规范》和《App适老化通用设计规范》,助力老年人、残疾人等重点受益对象平等便捷地获取、使用互联网信息,充分体现了国家在发展过程中的人文关怀,保障老年用户的信息安全。
(五)加大对违法行为的处罚力度
《数据安全法》第六章规定了开展数据活动的组织、个人、数据交易中介机构、国家机关、监管工作人员等主体违反法律规定、未履行义务应承担的法律责任。去年公开的《数据安全管理办法》对于违反法律义务作出的是“一刀切”的罚则,即,“依违规情节,给予网络运营者公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。”本次《数据安全法》的规定针对不同违法行为设置不同的罚责,与《网络安全法》体例保持基本一致,规定了各主体违反法律规定可能承担的不同责任。
比如,有关部门发现数据活动存在较大安全风险的,可以按照规定的权限和程序约谈相关组织、个人并要求采取整改措施。这一规定旨在尽可能从源头消除安全隐患,以最低成本预防安全事故的发生。
开展数据活动的组织、个人未履行数据安全保护义务或未采取必要措施的,可能遭到警告和罚款,直接负责的主管人员个人也可能被处以罚款;如果违法行为性质恶劣或造成严重后果,罚款金额可高达一千万元人民币,并可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照,与《网络安全法》第六章规定同步。然而这一数字与《欧盟通用数据保护条例》(以下简称“GDPR”)规定的最高两千万欧元罚款尚有一定的距离,对于掌握千万用户数据的产业龙头企业或采买亿万字段信息的大数据巨头而言,威慑力度虽然也较为有限,但至少也是一个良好示范的起步。
另外,为避免非法来源数据交易的乱象,《数据安全法》第四十七条还规定了针对数据交易中介机构的处罚规则,即相关机构可能被没收违法所得、罚款、吊销营业执照,直接责任人也会被处以罚款,重拳出击规制数据交易行为,应引起相关机构的特别关注。
《数据安全法》第四十八条明确了不配合公安机关、国家安全机关因维护国家安全或者侦查犯罪调取数据的处罚以及未经批准向境外司法或者执法机构提供数据的处罚。《数据安全法》第四十六条还明确了非法对外提供重要数据的处罚。除了对开展数据活动的组织、个人、直接负责的主管人员或直接责任人员罚款外,还可对开展数据活动的组织、个人责令“暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。
二、《数据安全法》重要规制与红线要求
(一)以国家主权为立法出发点,兼顾数据保护与利用
《数据安全法》第一条指出,本法的立法目的为 “保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益”,从中可以提炼出“保护和利用并举”与“维护国家利益”两项主要的立法宗旨。具体来看:
《数据安全法》第七条明确表示,“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。可见,维护数据安全和促进数据开发利用是相辅相成的车之两轮。数据开发利用为数据安全提供了技术的支持和概念的革新,数据安全为数据开发利用提供了基础的保障和稳固的底盘。通览全文,对于数据,《数据安全法》并非采取久束湿薪似的保护,而是鼓励对其进行合法利用,从数据中挖掘、开发出更大的经济价值。这一点在《数据安全法》第五章“政务数据安全与开放”中也有突出体现。
《数据安全法》第七条亦明确规定,国家鼓励数据的合理有效利用、保障数据的有序自由流动。可见,从国家层面对数据利用的态度,是审慎且包容的,采用监管与发展并重。既不因噎废食地完全封闭,又非不加甄别地全盘接受,通过激励相容的制度设计,力求达到二者可持续发展的平衡,最终令数据安全和数据利用协调一致。
(二)适用对象:主客体范围广泛
《数据安全法》第二、三条规定了其适用对象为“在我国境内开展的数据处理活动”。其中“数据”是指任何以电子或者其他方式对信息的记录;“数据处理”是指数据的收集、存储、使用、加工、传输、提供、公开等行为。此外,《数据安全法》附则部分还明确,涉及国家秘密和军事数据的活动,应分别适用《保守国家秘密法》和中央军事委员会另行制定的规则。另外,“开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定”。考虑到我国《个人信息保护法》也已经提交到全国人大常委会进行第三次审议,《数据安全法》明确规定个人信息也属于数据的一种,将另由特别法律规制,这为即将出台的《个人信息保护法》预留了空间。由此分析,《数据安全法》适用对象的范围非常广泛,对于在境内实施任何数据收集、存储、使用等行为的组织和个人,不论主体身份,不论处理的数据数量、频率如何,均应遵守这一法律规定。
1. 适用主体
首先,《数据安全法》没有对适用主体进行限制。《数据安全管理办法》规定适用的主体主要是网络运营者,即网络的所有者、管理者和网络服务提供者,《网络安全法》的义务主体亦然。这一表述覆盖的范围可能延展到网络服务的方方面面,已然十分广泛,但《数据安全法》在此基础上更进一步,对适用主体从开展数据活动这一客观行为入手,而非将适用主体限定在某一个类型的主体范围内,更加扩大了适用的范围,最大限度地保障不同层次的数据安全,进而达到数据在有效保护下的合法利用目标。
国际上,对数据安全进行专门立法的情况不多,以色列《数据安全管理条例》规定适用主体为数据库控制者(Database Controller),再细分为基础、中等、严格三种保护水平。大多数国家的做法是将数据安全作为一个章节规制在个人信息或隐私保护法案中,如《加州消费者隐私保护法》(以下简称“CCPA”)和GDPR对受规制的主体提出具体要求(比如,对企业/组织有一定营业机构/收入的要求);美国各州法案中也存在保障数据安全的条款,适用对象包括收集使用个人信息的组织(例如:加州民法典)、医疗健康机构(康涅狄格州保险信息和隐私保护法案)、互联网服务提供者(明尼苏达州法典)等。《数据安全法》没有对适用主体做出特别的设定,实际上从客观层面能够达到对数据保护的最大化效果。
2. 适用客体—“数据”与“数据处理”
《数据安全法》对于适用客体即“数据”和“数据处理”进行了较为宽泛的定义。在之前的法律法规或国家标准文件中,如《网络安全法》从关键信息基础设施相关的数据、重要数据、个人信息三个类别对网络运营者进行规制;而后续亟待出台的《个人信息保护法》将侧重对个人信息进行保护。而《数据安全法》则规定,不论呈现形式(电子/其他方式)、不论收集方式(通过网络/非通过网络)、不论数据的内容(可识别身份的个人信息/与国家安全、经济发展以及社会公共利益密切相关的重要数据/其他数据),数据泛指一切对信息的记录。这一定义在我国的立法至今可属创新之举,将“数据”外延界定义为摈弃一切修饰词的客观载体,区分了“数据”与“信息”的概念,有效避免了主语与宾语同一的非有效解释。《网络安全法》、《个人信息保护法》和《数据安全法》适用客体的范围类型如下图:
《数据安全法》中对“数据处理”的内涵采取了列举式定义法,提出“收集、存储、使用、加工、传输、提供、公开”等一系列行为及活动。这一定义的逻辑,基本参考了《民法典》[1]的定义逻辑。
联系对比GDPR中数据“处理(process)”的概念以及《信息安全技术 个人信息安全规范》中数据全生命周期的理解,《数据安全法》没有明确涵盖数据“共享”、“删除”及“销毁”这几种典型的数据处理活动。其次,“加工”、“交易”等名词可能源于企业实务中的说法,但在法律层面上,对这些概念的内涵及适用情形有待后续在配套的法规、国家标准中进一步明确。
如上所述,《数据安全法》所规定的适用范围非常广泛,除了大数据公司等视数据为“血液”进行运营的企业需要特别关注以外,一切可能处理数据的政府、组织和个人也都落在了《数据安全法》规制的范围之内。
技术的更新与普及使人们普遍享受到大数据带来的快捷与便利,但一些组织为了获得更多的经济利益,将数据采集、加工和利用等准入门槛却越降越低。如果监管缺乏有力的法律依据,更难以实现对数据市场有效的调控和管理。因此,《数据安全法》的出台将所有与数据有关的活动均纳入调整范围之中,能在基本法层级系统、集中地规范数据安全和利用,为有效监管数据活动提供强有力的法律基础。
同时,《数据安全法》亦规定了一定的域外适用性,以应对国际空间中数据成为各国在合作与抗衡上的博弈,具体请见下文分析。
(三)明确域外效力
《数据安全法》第二条规定,“在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”。这一规定体现了维护国家安全和数据主权的立法宗旨,赋予《数据安全法》以必要的域外适用效力。
随着数据竞争的日益激烈,各国都在试图扩大数据方面的管辖权。2018年3月,美国通过《澄清域外合法使用数据法》(The Clarifying Lawful Overseas Use of Data Act, CLOUD Act,以下简称“《云法案》”),使得执法部门可依据搜查令直接调取境外数据。从美国司法部对外公布的白皮书对《云法案》适用范围作出的官方解释中[2]可以看出,《云法案》绝不仅仅适用于在美国注册成立的公司,境外的公司只要在经营活动中与美国有足够的联系(contacts),就可能触发美国法律的管辖权。欧盟则于2019年7月发布了《美国云法案对于欧盟个人信息保护法律框架以及欧盟-美国关于跨境电子取证协议谈判影响的初步法律评估》(Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence,以下简称“《评估》”)。《评估》明确指出,根据欧盟GDPR的规定,《云法案》并不能成为向美国传输个人数据的合法性基础。
除此之外,去年11月,欧洲数据保护委员会(EDPB)对GDPR第三条进行统一解释,并发布了GDPR地域适用的指南,明确了符合“营业机构”标准或“目标指向”标准其中之一的数据处理者和控制者,均需要遵守GDPR的规定。向欧盟居民提供服务、对欧盟居民进行监控、数据处理活动由设立在欧盟境内的营业机构进行或与其有紧密联系的情形均受到GDPR制约。因此,数据处理活动不以物理边界为限,具有抽象的超越国界和领土的特质。各国为有效保障数据安全、维护国家利益,除了通过国际条约与双边/多边协议进行约定,还通过扩大其国内法的适用范围,以求最大程度地降低跨境数据活动给本国带来的安全风险。
全球各国政府跨法域调取数据的情况也越来越常见,根据苹果公司2020年的透明度报告,仅2020年上半年,苹果公司就收到来自超过50个国家及地区的执法机构,共计28,276个数据调取请求。越来越多的中国科技公司走向世界,在主要的经济区都拥有重要的市场份额,故进一步完善对于境外执法机构调取数据的规制尤为重要。
《数据安全法》现行规定以“后果论”为标准,即如果数据活动造成了对我国国家、社会、公民利益损害的,相关组织和个人应被追究法律责任,确认了我国掌握主动权,以国家利益为主导监管各类数据活动的鲜明立场。然而,《数据安全法》未规定我国执法机构能对境外组织或个人调取信息或要求协助配合的权限,且相比美国《云法案》(即只要在经营活动中与美国有足够的联系(contacts)便可触发美国法律的管辖权)与GDPR(即向欧盟数据主体提供商品或服务或监控欧盟数据主体)的“行为论”,这一规定并没有将我国对数据管辖权的手臂伸得那么长。
然而,《数据安全法》未对第二条适用范围中的“境内开展数据活动”概念进行定义,笔者认为可能会在具体执行上存在一定问题。例如某一德国公司开发的App在我国境内投放运营后,用户在使用过程中出现软件崩溃,发送故障报告至德国公司的过程即构成在我国境内收集数据的活动。虽然德国公司属于境外组织,其主要营业机构、存储服务器均不在国内,但仍然可能受到《数据安全法》的约束。《数据出境安全评估指南(征求意见稿)》将“境内运营”定义为在中华人民共和国境内开展业务,提供产品或服务的活动,而不论运营者是否在境内注册。另外,还提出了几项参考因素以帮助判断,包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。笔者认为,对“境内开展数据活动”的理解可以基于该理解类推借鉴,但期待在后续制定相关的配套政策和办法中进行进一步明确。
(四)提出“数据分类分级保护制度”,明确重要数据的界定责任
一审稿即提出了国家应对数据实行分类分级保护,二审稿进则明确提出了“数据分类分级保护制度”的建立及重要数据目录的确定,发布的正式稿对“数据分类分级保护制度”及“重要数据目录”做出了更为清晰的规定。对数据进行分类分级的主要标准为“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”,这也呼应了《数据安全法》以维护国家安全和网络空间主权为根本的基调,这在数据主权博弈激烈的当下显得尤为重要。同时,根据第二十一条,重要数据是数据分类分级中一个类别,由于其关键性和敏感性需要额外的保护。数据分类分级保护制度的提出是现有数据保护制度框架的一个重要补充。相信在后续配套的法律法规及国家标准出台后,数据分类分级保护制度将与网络安全等级保护制度等类似,成为数据保护工作纲领性的要求与指引。
第二十一条明确了国家将统筹协调有关部门在宏观层面确定重要数据目录,并且要求各地区、各部门应制定适应于地区、部门及相关行业的重要数据具体目录,这种双层保护结构也与《重要数据识别指南(征求意见稿)》的思路相一致。这对于厘清何为重要数据并进一步推进重要数据保护工作而言至关重要。此前,《网络安全法》中虽然提到了重要数据,但并未对其进行展开的阐释或定义,《数据安全管理办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(草案)》虽有对重要数据有定义,但定义也没那么清晰且两者都未生效,指南也不具有法律效力。这对于企业进行重要数据保护工作而言造成了较大的不确定性和操作上的困难。相信随着本法的通过,后续各地区、各部门制定的重要数据具体目录能成为有效的参考,进一步增强数据分类分级保护制度的落地性与实践性。
(五)对于外国歧视性行动的反制裁措施,维护中国企业利益
《数据安全法》第二十六条强化了应对态度,将根据实际情况采取“对等措施”。当下,腾讯、华为等企业不时面临境外采取的限制性或者歧视性经济制裁措施,意图打压中国企业在外国的发展,该条款明确了我国维护中国企业利益的决心,无疑给中国企业打了一枚强心剂。
随着我国科技企业的兴起和5G等尖端技术的开发,各国针对我国企业的限制性措施层出不穷。仅在过去的一周内,美国联邦通信委员会(FCC)将中国两大电信巨头企业列为国家安全威胁名单,禁止美国公司利用八十三亿美元的政府资金购买这两家公司的设备;印度电子信息技术部以“有损印度主权、国防、国家安全和公共秩序”为由宣布禁用TikTok、微信等59款中国应用,且严格管控检查所有从中国购买的电力设备,以确认其中是否存在恶意软件或木马病毒。
一方面可见,数据安全、网络安全已经成为国际社会普遍认可的国家安全版图之一;另一方面可见,我国所面临的挑战和困难也是十分艰巨的。数据已经成为“黄金”、“石油”,也必然成为新兴“兵家必争之地”。全球围绕数据的争夺日益深化,《数据安全法》的制定不仅需要解决国内数据安全管理的问题,还要为数据出境、跨境合作设计等相关规则制定策略。
针对歧视的反制裁措施在国际私法、贸易等领域已有先例,此次在涉及数据安全、国家安全的基本法中重申这一原则,既表明我国拥护数据自由流动、跨境安全的坚定立场,又对他国如有不正当的歧视待遇行为做出了有力的回应。
此外,《数据安全法》第三十六条对处理外国司法或者执法机构关于提供数据的请求做出了规定。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。即企业在面临境外监管机构的直接执法时,不能直接提供境外监管机构要求的数据,而是需要先行上报给我国主管机关,获得批准后方才可提供。例如,当中国企业虽未在欧盟设有实体,但直接向欧盟境内的数据主体提供商品或监控欧盟数据主体时,受到GDPR域外管辖。在此情况下,如欧盟的数据保护机构依据其职权对企业进行调查,要求企业提供存储于我国境内的相关数据时,中国企业在向我国主管机关报批获准后方可提供。从实践的角度来说,受限于管辖的限制,即便GDPR规定了自身的域外效力,考虑到现实执法的困难程度,实践中也少有案例直接对在欧盟境内没有实体的公司进行处罚。《数据安全法》的第三十六条无疑显示出对部分国家域外长臂管辖执法进行有礼有节的回应态度。只是日后,需要相关部门规章或者国家标准进一步细化具体报批的机关以及相关流程。
(六)强调对数据出口的管制
《数据安全法》第三十条明确了有关关键信息基础设施运营者以及关键信息基础设施运营者以外的其他重要数据处理者将所收集的重要数据出境的规定,要求适用国家网信部门会同国务院有关部门制定的管理办法。我们在《各国个人信息出境实况——兼评<个人信息出境安全评估办法(征求意见稿)>》文中提到过,个人信息与重要数据出境将采用“二轨制”评估的方式,但此前,重要数据出境监管制度并未特别详细地得到明确,且多为征求意见稿的状态,除了《网络安全法》第三十七条较为概括地要求重要数据本地化,只有有极其特殊情况下方才申请主管部门审批出境(实践中估计也鲜有行业主管部门有审批的流程和经验),其他尚无现行有效的法律法规、国家标准明确数据出境的具体合规方案,从而给企业带来了较大的不确定性。在尚无针对重要数据的专门评估办法出台前,各企业预备重要数据评估的,目前仍然参考的是《个人信息和重要数据出境安全评估办法(征求意见稿)》。其中,第九条规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估得情境,包括:
1)含有或累计含有50万人以上的个人信息;
2)数据量超过1000GB;
3)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
4)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
5)关键信息基础设施运营者向境外提供重要数据;
6)其他行业主管或监管部门认为可能影响国家安全和社会利益的。
上述规定仍需要企业及相关组织进行全面的自我评估,但具体出境情况是否适用上述规定存在较大的不确定性,对于企业进行重要数据出境安全管理工作带来较大的挑战。数据安全法通过区分主体的方式,对于重要数据出境的监管办法进行了进一步的明确和补充。关键信息基础设施运营者出境重要数据适用《网络安全法》的规定,其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法,这样的监管思路也使得数据分类分级保护制度能够更好地与关键信息基础设施保护要求相协调。
此外,该条款明确制定数据出境规则的主体为“国家网信部门会同国务院有关部门”,可以体现未来对于数据出境进行规制的法律文件其法律位阶与效力基本是在部门规章的级别,从而加强企业遵守相关义务的必要性。
值得注意的是,除了《网络安全法》及《数据安全法》,一些重要数据的出境还需要重点关注行业监管的要求。比如,《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条更是规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行,且除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。
根据《数据安全法》第四十六条规定,非法向境外提供重要数据的,“由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。
(七)明确企业合规义务
《数据安全法》第四章落实了数据活动主体的具体安全保护义务与责任,列举了一系列需要遵守的合规义务,包括开展安全培训、完善制度建设、风险评估监测、报告安全事件、落实数据分类分级等制度等。具体请参见本文第三部分的分析。
(八)强调数据新技术应当符合社会公德与伦理
《数据安全法》第二十八条要求开展数据活动以及研究开发数据新技术应当符合社会公德与伦理,这一条款则对应了近些年诸多颇具争议的数据新技术,例如医疗AI、Deepfake、ZAO换脸技术等。不可否认的是该等技术的背后是数据活动方面的蓬勃创新,但其所导致的伦理道德问题也一直是社会讨论的重点。例如,2017年一位匿名用户使用“Deepfake”技术将《神奇女侠》中女主盖尔·加朵的脸移植到了一部成人电影的女主身上,再辅以技术手段将其完美的融合,之后将其上传到了Reddit成人交流社区,最终因侵犯个人隐私导致视频下架;2019年3月报道,犯罪分子利用Deepfake技术,冒充英国某能源公司母公司CEO的声音,成功诈骗了二十二万欧元。《数据安全法》的第二十八条正是针对此种新技术所带来的身份冒用、侵犯隐私、造成严重社会负面影响等问题进行了回应。然而,《数据安全法》本身没有对违反此条款规定法律责任,可能实际震慑力较为有限。
(九)明确数据处理活动不应排除、限制竞争
对于违反其他法律、行政法规的援引条款,《数据安全法》第五十一条明确开展数据处理活动“限制、排除竞争”的场景。
当下,随着《国务院反垄断委员会关于平台经济领域的反垄断指南》的出台以及罚款金额的震慑性,平台反垄断也成为企业的热点话题,该条款明确了数据处理活动也不应该排除、限制竞争,对于怎样的数据处理活动可以产生排除、限制竞争的效果,留待反垄断局或在个案中进一步说明。
(十)建立与网络安全等级保护制度相衔接的数据安全管理制度
《数据安全法》第二十七条同时强调了数据安全管理制度的建立和网络安全等级保护制度,这使得《数据安全法》能够更好地与现有的数据保护相关法律法规及规制思路相配适。已经建立网络安全等级保护制度的企业能够更好地衔接数据安全管理制度的要求,进一步提升整体的网络安全及数据保护水平。
(十一)鼓励行业自律,建立行业规范
《数据安全法》第十条指出“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”,强调了行业自律在数据安全规范方面的作用,提出了行业数据安全行为规范这一概念,并鼓励各行业组织积极制定适用于本行业的数据安全行为规范,加强行业自律,通过行业内的指导进一步提升数据保护水平。
笔者认为这虽然不是一个强制要求,但也将是未来数据安全保护监管及合规自证体系中一个重要的部分。由于数据处理活动本身对应的场景极具多样性与专业性,法律法规进行落地时可能会存在天然的障碍。该条款通过凸显行业自律的作用,让行业作为规制的一环,从而加强规则的适用性以及与时俱进的能力。
行业自律也为世界其他主要法域国家常见的规制手段。例如,GDPR第四十条及四十一条就早已提出了行为准则(Code of Conduct)这一理念,鼓励有起草行为准则的行业协会或者其他实体制定适合行业的最佳实践。这样的行业最佳实践在通过认证之后,可以成为一个有效的自愿性问责工具。除此之外,这对于一些小微型企业而言也是一个能够有效降低合规成本的方案。数据安全法这一概念的提出,也是数据安全监管思路与框架向国际社会中数据保护监管水平较高的地区看齐的重要一步。
三、企业配套合规义务
对于企业在《数据安全法》项下的合规义务,可以区分为一般企业的合规义务以及处理重要数据的企业的额外义务。
(一)一般企业的合规义务
1. 明确企业自身所控制的受规制数据
如前所述,《数据安全法》所规制的数据极为广泛,不仅包括电子的数据,还包括其他形式的数据,例如员工填表所得的数据。因此,企业首先需要明确企业自身所受《数据安全法》约束的数据范围,并在“数据”这一基本类型的基础上,识别除《数据安全法》外是否须额外受《网络安全法》、日后出台的《个人信息保护法》的规定。
2. 确保数据收集的合法、正当与必要性
根据《数据安全法》第三十二条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的, 应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。除了直接收集外,企业需要特别注意从第三方间接收集数据时,也需要核实第三方数据来源的合法性、正当性,例如进行前期安全尽调、要求第三方签订承诺书、保证书等,并审查自身获取数据是否符合必要性要求。
未能履行合法、正当、必要收集数据要求的企业,则根据《数据安全法》第五十一条的规定,窃取或者以其他非法方式获取数据,开展数据活动排除、限制竞争,或者损害个人、组织合法权益的,按照有关法律、行政法规的规定处罚,从而进一步援引至《网络安全法》、《刑法》、《反垄断法》以及未来出台的《个人信息保护法》等规定。
3. 数据中介服务机构确定交易主体与交易合法性
根据《数据安全法》第三十三条的规定,从事数据交易中介服务的机构在提供服务时,应当要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。《数据安全法》本身并没有对何为“数据交易中介服务”的定义进行规定,我们结合相关实践,初步分析可能是指《信息安全技术 数据交易服务安全要求》中的“数据交易服务平台”(例如上海数据交易中心等提供数据交易平台的企业)等企业。对于此类企业,根据《数据安全法》的规定,需要数据交易一方说明数据来源,审查交易双方的主体身份以及过往是否存在违规交易记录,并对交易记录进行留存。未能按照《数据安全法》要求进行交易数据提供方的背景审核、记录留存的,则根据《数据安全法》第四十七条的规定,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
从落地的角度来说,“数据交易中介服务”概念(例如是否支持民营企业做成数据交易中介等)、交易记录留存时间等尚未明确规定,可能对实践带来一定的障碍,建议相关企业密切关注相关配套法规动态,以便完成相关合规举措。
4. 设立数据安全管理制度,采取技术和必要措施保障数据安全
根据《数据安全法》第二十七条的规定,开展数据活动应依照法律法规规定,建立健全全流程数据安全管理制度, 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。对于企业而言,一方面需要在企业内部设置相应的数据安全管理制度,例如《数据访问权限管理制度》、《IT管理制度》《外部人员访问审批管理流程》等,对涉及处理数据的员工进行专项培训等;另一方面,需要采取相应的技术措施和其他必要措施,保障数据安全,例如采取进行网络安全等级保护认证,采取数据分类分级存储、加密传输、保存等措施。在这里法案并没有要求公司采取企业所能实现的“最高的”技术措施,而是采取“相应的”措施,没有为企业的合规落地设置过高的要求与挑战。因此,企业可能需要结合不同类别数据的情况、风险等级、技术手段与成本,对数据采取技术和安全保障措施。
根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
5. 对数据分类分级保护
对于数据分类分级制度,《数据安全法》借鉴了今年2月工信部印发的《工业数据分类分级指南(试行)》,以一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度作为标准之一,辅以该数据在经济社会发展中的重要程度,对数据进行分类分级保护。相对应地,企业在开展业务的过程中也针对数据的重要程度、敏感程度对数据进行分类分级的保护,例如对儿童的个人信息应当加密存储。信安标委也正在研发《重要数据分类分级指南》;各行业也在研制本行业的数据分类分级标准,企业也可以关注相关动态,以便提前规划合规义务的落地。
6. 按照要求进行安全检测与评估认证
《数据安全法》第十八条指明了国家对安全检测评估、认证服务的支持态度。目前我国是通过中国网络安全审查技术与认证中心,将强制测评与自愿测评相结合进行定期和年度检测认证或自愿认证,企业可以根据自身业务所对应的要求进行相关检测与评估。笔者认为,对于自愿认证的项目,未来也可考虑采取类似司法鉴定机构清单式管理的做法,由国家有关部门对机构的资质、能力进行考核,认证,并将有权开展评估服务的专业机构予以公告。
7. 发生数据安全事件的报告义务
根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
《数据安全法》本身并没有对“数据安全事件”进行明确的规定,可参考其他法律法规、国家标准。《网络安全法》第四十二条说明“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。《数据安全管理办法》第三十五条也采取了类似的表述,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。《数据安全法》本条款目前的写法虽然呼应了《网络安全法》、《数据安全管理办法》的表述,但可能存在以下问题:
-
“数据安全缺陷、漏洞等风险”与“数据安全事件”之间的关系较为模糊:如果前者只需要立即采取补救措施而不需要上报主管机构的话,那么在《数据安全法》并未对“数据安全事件”作出明确定义的前提下,对于企业落实相关的上报/告知要求存在一定的不确定性;
-
此外,这里没有明确“数据安全事件”是否仅局限于中国境内运营所发生的数据安全事件。如果中国企业在境外发生了数据安全事件是否需要上报?从《网安法》角度看,可能并不需要上报,但如果事件结果也同时影响了中国境内用户呢?
-
再则,《数据安全法》尚未对上报的时间进行要求,而是采用了较为模糊的“及时告知”的表述。作为参考,GDPR在规制数据泄露时,则明确要求数据控制者在可行的情况下,应当在知悉数据泄露事件后的 72 小时内告知。如果仅停留在“及时”上报的层面可能难以有效实现对国家有效控制数据安全事件的目的。
期待《数据安全法》后续的配套法律法规、国家标准等文件能够对前述问题进一步澄清与细化。
根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
8. 境内执法的配合义务
根据《数据安全法》第三十五条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,有关组织、个人应当予以配合。此条款则是从法律的层面明确企业面临公安机关、国家安全机关执法调查时的配合义务。需要提示的是,企业在收到来自公安等其他有关部门协助调查的请求时,应要求其出具相关的执法函件,比如企业可以要求出具《协查函》等方式让公安等文件后进行存档,以便日后作为企业履行企业配合义务提供数据的证明、而非不经查验轻易对外提供用户个人信息。
根据《数据安全法》第四十八条第一款规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。
9. 遇域外执法时的先行报告义务
根据《数据安全法》第三十六条规定,境外执法机构要求提供数据的请求,非经中华人民共和国主管机关批准,我国境内的组织、个人不得提供。例如,当中国企业直接向欧盟境内的数据主体提供商品、须受到GDPR域外管辖时,如欧盟的数据保护机构依据其职权对企业进行调查,要求企业提供相关的数据时,不能径直按照境外执法机构的要求,提供相关的数据,应当先向主管机关报批方可提供。
根据《数据安全法》第四十八条第二款规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
(二)处理重要数据的企业的额外义务
除了做到前述企业的一般合规义务外,对于处理重要数据的企业,还应额外履行以下义务:
1. 设立数据安全负责人和管理机构义务
根据《数据安全法》第二十七条的规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》将必须明确数据安全负责人的企业限定在掌握“重要数据”这个范畴。对于设立数据安全负责人和管理机构义务虽非一项崭新规定,但在设置的要求与对应规制的对象上,与以往的法规还是有所不同。《网络安全法》第二十一条规定网络运营者应当确定网络安全负责人;第三十四条要求关键基础信息设施的运营者应当设定专门的安全管理机构和安全管理负责人;《关键信息基础设施安全保护条例(征求意见稿)》第二十四条要求关键基础信息设施的运营者设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;《信息安全技术 个人信息安全规范》(2020版)第11.1条则要求个人信息控制者应任命个人信息保护负责人和个人信息保护工作机构。
如前所述,《数据安全法》并没有对受《数据安全法》规制的公司或个人作明确的限定,“重要数据的处理者”、“关键基础信息设施的运营者”、“个人信息的控制者”所涵盖的范围,相互间既有所交织,又略有不同,因此企业在落地实践中,应当更加明确自身处理的数据类型,将主要数据类型视为重点合规的对象,设置相关的负责人与保护机构。当然,在企业内部,为了避免多头设置不同类型数据保护的虚拟部门与负责人员,可以设置一套机构管理企业内部不同类型的数据安全。具体可以参阅《国内企业的DPO工作现状与能力发展》一文。
根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
2. 定期开展风险评估义务
根据《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况、面临的数据安全风险及其应对措施等。
企业如果处理的是重要数据,则需要按照要求定期开展风险评估,并向主管部门报告。因此实施本条仍然是定义并识别重要数据为前提。
未能履行此义务的,根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
3. 合法开展数据出境活动义务
《数据安全法》第三十一条明确了重要数据出境时的合规义务,对于属于关键信息基础设施的企业,则需要根据《网络安全法》的要求,履行相关合规义务;对于其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法。由于目前与数据出境相关的配套法规、国家标准尚处于征求意见状态,建议公司密切关注相关立法动态,特别是行业内对于本行业数据出境的特殊要求(例如对于特定数据的本地化存储要求)。
根据《数据安全法》新增的第四十六条的规定,违法向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
注释:
[1] 《民法典》第一千零三十五条:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
[2] 网安寻路人美国司法部“云法案”白皮书中文全文翻译。
“美国对外国公司管辖权的法律限制是基于美国宪法中的约束,并且是美国法院多年来制定的。当公司位于美国时,属人管辖权是最容易确立的。位于美国境外但在美国提供服务的外国公司是否与美国有足够的联系且受美国管辖,是基于对个案中该公司与美国的联系的性质、数量和质量的考查。公司越是有目的地将其行为引导到美国,法院就越有可能认定该公司受美国管辖。例如,美国法院将这一分析应用于涉及网站的民事案件,重点关注网站与其辖区内的客户的互动程度,同时考虑到网站的功能和机制、对客户的任何特定促销、通过网站招揽业务以及客户的实际使用情况等因素。”
请点击“相关下载”,查看《数据安全法》最终稿与二次审议稿内容对比。