其他
陈宇萱:《数据安全法》若干问题评析及探讨
The following article is from 元合法律研究院 Author 陈宇萱
感谢作者授权北大法律信息网推送。
一、数据分类分级保护制度
二、数据安全标准体系
三、关于数据出境的规定
四、政务数据安全与开放
五、加大行业规范作用
六、企业合规建议
在当前各主权国家就数据的有效开发、利用以及数据主权的维护展开激烈博弈的国际环境下,本法通过贯彻落实总体国家安全观、聚焦数据安全领域的风险险患,加强国家数据安全工作的统筹协调,将切实提升国家数据安全保障能力,有效应对数据安全领域中国家安全风险与挑战。其标志着中国信息数据安全法律体系的进一步健全,对有关部门和机构如何更好地进行监管以及相关企业进行数据合规都提供了更多的指引和更高的要求。
本法分为七章,包括五十五条,确立了数据分类分级管理、数据安全审查、数据风险评估、监测预警、重要数据出境管理和应急处置等基本制度。本文主要针对其中若干值得注意的要点进行分析和评述,以期为相关企业的经营活动及行业发展提供一些参考意见。
一、数据分类分级保护制度
确立分级分类保护制度,对不同等级不同类别的数据采用富有弹性的管理方法,是在数据安全性和数据的流通和利用对于数字经济的重要性之间寻求平衡的结果。然而,本法并没有对分级根据给出具体规定。《网络安全法》和《数据安全管理办法(征求意见稿)》仅提到“重要数据”,并未作进一步解释。
相较而言,《信息安全技术数据出境安全评估指南(草案)》在《重要数据识别指南》(附录A) 就重要数据给出的规定颇具参考价值,“是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据”,同时在指南中列举了27个行业的重要数据及其主管部门以供参考。虽然该识别指南中列举的重要数据并非穷尽式列举,但对行业主管部门、监管部门、相关企业提供了较为清晰的指引。
虽然《数据安全法》对于数据分级的确定还有待进一步的规定和目录,其较之《个人信息保护法》(二审稿)第四条将匿名化信息完全排除在规制之外的设计而言,显然更为合理,更加符合技术的发展现状。《个人信息保护法》(二审稿)第4条规定本法所称“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”可以理解匿名化信息对应于欧盟《一般数据保护条例》(GDPR)Recital (26)的anonymous information,也即“不能关联到已识别的或可识别的自然人的信息”,数据保护的原则不适用于这一类数据。
设立匿名化信息的概念,旨在排除理论上无法再次复原的信息,是在数据主体权益、数据控制者或处理者对数据的使用和处理权、数据的利用和流通对于公共事业及社会福祉的正面作用之间寻求平衡的结果。然而,匿名化信息事实上是一种理想化的信息处理结果,具有无法被复原、无法用于识别自然人的性质。随着技术的发展,在实践中很难做到绝对的匿名化,例如Vitaly Shmatikov等人对社交网络、基因数据、位置数据、信用卡数据、浏览记录、源代码等领域的跨库逆匿名化技术进行研究后认为,“高维度数据内在的可逆匿名性是极高的”,并得出“33比特的熵值就足以在世界人口中唯一地识别出个人”的结论。
因此,可以认为匿名化信息的排除实际上是GDPR立法时对于技术发展的前瞻性不够所导致的漏洞,各国的立法活动对此应进行借鉴。《数据安全法》将数据定义为“以电子或任何其他方式对信息的记录”, 规定的规制对象未明显排除匿名化(可以理解为采取了必要措施而处于有效保护和合法利用状态)的数据,并且在《重要数据识别指南》(附录A)中指出数据包括原始数据和衍生数据,那么有理由认为作为规制对象的数据包括采取了必要措施后的数据,从而为对匿名化数据进行有限规制留有余地。
随着本法的实施,如何确定重要数据将很大程度上取决于各地区、各部门制定的重要数据目录以及诠释,而各行业主管部门也会根据行业发展变化,重新明确本行业重要数据的定义和范围,并对重要数据目录进行适当调整和替换。类似地,关于核心数据的保护和分类标准也有待进一步的落实和规定。企业应当密切关注相关标准和目录的制定和调整。
二、数据安全标准体系
《数据安全法》首次通过统一立法的形式在几方面加大数据安全标准体系的建设。首先,在数据安全标准建立上,将形成由国务院标准化行政主管部门和国务院有关部门为牵头单位,有企业、社会团体和教育、科研机构等参与的标准制定的组织形式;其次,在技术层面,国家支持数据开发利用和数据安全技术研究,大力发展数据开发利用和数据安全产品、产业体系的建立健全;第三,将进一步促进数据安全监测评估、认证等服务的发展,也即由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准。
目前中国数据安全认证例如有网络安全等级保护测评,主要测评依据GB/T 22239-2019信息安全技术网络安全等级保护基本要求;APP安全认证,其为移动互联网应用程序(App)安全认证,主要认证个人信息安全规范GB/T 35273-2020等系列标准和认证。
随着《数据安全法》的实施和业态的日趋复杂,一方面根据本法确立的指导原则,数据安全标准和相关认证将逐步形成更为完整的标准体系,且在制定标准时也有望逐步形成标准流程,例如根据行业的数据安全风险树立安全控制点,总结现有数据安全技术应对风险的能力,从而建立数据安全技术要求框架;另一方面,随着各种数据安全标准的发布,还可能存在实践中的差异,例如在政务信息共享方面,可能会随着各地规划和建设进度不同,针对实际情况对例如监管内容、监管实现方式和各方机制协调等方面进行调整。对数据合规要求较高的企业来说,将面临需符合更严密且更有针对性的安全标准要求的挑战。
三、关于数据出境的规定
本法第三十一条对重要数据的出境安全管理进行了规定,即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他的数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《网络安全法》对此给出的规定较为概括,根据第三十七条的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,如因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
至于其他数据处理者进行重要数据的评估和申请出境审批,尚无明确的法律法规和国家标准给出具体合规要求和流程指引。有鉴于此,《个人信息和重要数据出境安全评估办法》(征求意见稿)》规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估的第九条,以及《评估指南》中对于数据出境给出的较为详细的规定(附录B),将是企业进行合规主要参考的评估标准。
根据上述规定,企业在进行数据出境安全评估时,可参照以下流程:
首先,根据是否为关键信息基础设施的运营者而分别遵循《网络安全法》和《个人信息和重要数据出境安全评估办法》(征求意见稿)》及其指南的规定;
其次,需要注意《评估指南》规定网络运营者主动向境外机构、组织或个人提供数据,或通过其他途径发布数据的行为,包括其用户使用网络运营者提供的产品或服务的功能,向境外机构、组织或个人提供数据的行为,也即将责任范围扩大为网络运营者及其用户;
第三,制定数据出境计划,计划的内容包括但不限于:a) 数据出境目的、范围、类型、规模;b) 涉及的信息系统;c) 中转国家和地区(如存在);d) 数据接收方及其所在的国家或地区的基本情况;e) 安全控制措施等;
第四,根据《评估方法》(附录B)的流程和判断标准,依据《评估指南》中“合法正当”和“风险可控”作为评估要点,对制定的数据出境计划进行安全评估;
第五,当评估结果显示出境安全风险为极高或高的,个人信息和重要数据不得出境。网络运营者可修正数据出境计划,如采用技术手段处理数据、进行脱敏、提高发送方数据出境的技术和管理能力、要求接收方具备或采取更安全的保护能力和措施等。
之后,对修正后的数据出境计划重新进行评估。
(二)属于管制物项的数据出口 与《出口管制法》第二条规定的“管制物项,包括物项相关的技术资料等数据”相配套,《数据安全法》第二十五条规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
与重要数据出境的要求不同,是否属于出口管制的数据,需要依据《出口管制法》所确立的清单目录和标准来判断。此外,虽然没有对“过、转、通”的数据是否属于数据出口,但是根据《评估指南》的规定看,境外数据经由中华人民共和国中转,未经任何变动或加工处理的情形不属于数据出境。
(三)向外国司法或执法机构提供数据 对于向外国司法或执法机构提供数据,《数据安全法》第三十六条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
值得注意的是,上述所提供的数据,并不限于重要数据,也不限于是否属于出口管制的数据。此外,主管机关批准提供数据的依据为“有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则”,对此可以解读为即便国际条约、协定和平等互惠原则是据以提供数据的主要原则,此处的“有关法律”仍然留下了一定保留余地,当提供数据有可能损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,对该行为可以不予批准。
四、政务数据安全与开放
根据《个人信息保护法草案》(二审稿)的规定,个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等,从字面看,国家机关所进行的收集和使用之外的其他处理行为在《数据安全法》中确实缺乏规制。然而,根据《草案》第七十二条规定,“个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人” 。该描述是GDPR对数据控制者所下的定义,但是由于《草案》并未对数据控制者和数据处理者进行区分,而是采用简化规则的办法将二者统一称为数据处理者。能够自主决定数据处理目的、处理方式的组织、个人,是数据处理者,而在发生违规从而造成个人数据泄露或其他损害时,该组织、个人应当作为数据处理者承担责任。
因此,如果最终出台的《个人信息保护法》在这点上与《草案》保持一致,当出现国家机关违规进行收集、使用之外的数据处理行为而对个人信息造成泄露或产生其他损害后果时,根据《个人信息保护法》,其作为信息处理者应当承担一定责任。
五、加大行业规范作用
鉴于数据安全所涉及的问题的时效性强、行业专业性高等特点,法律法规的制定和落地往往滞后且立法成本较高,各国都在加大行业自律的作用。《数据安全法》第十条特别规定“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”,强调并鼓励行业组织制定适用于本行业的数据安全行为规范。虽然行业标准在制定的充分性和执行方面存在一定缺点,对于应对场景多变、技术迭代较快且专业度较高的数据安全问题来说,其所具有的实时性和专业性对于企业降低合规成本、政府部门降低立法执法成本、技术行业的跨境合规来说,都具有非常积极的作用。
六、企业合规建议
(一)构建数据的分类分级管理制度 企业应根据所处的行业、根据监管规则要求并参考各地区、各部门制定的重要数据目录及定义和范围,对内部数据资料进行分级分类,并对各个级别数据的风险进行评估,针对不同级别的数据制定相应的管理措施和流程,并设置专业数据监管岗位。
(二)采取符合安全标准的技术措施 企业应高度关注行业内的数据安全标准,并充分了解安全标准在实践中的差异,采取相应的安全等级保护措施,根据数据开发利用和数据安全技术的最新发展,采用最新技术手段并形成多维度的数据安全保护机制。
(三)定期进行风险评估 将数据安全监测评估纳入企业的日常数据合规流程,定期进行数据尤其是重要数据的风险评估,必要时引入第三方评估或认证机构,及时发现数据安全缺陷或漏洞并进行补救。
(四)建立数据出境管理制度 针对相关部门制定的重要数据目录中的数据,参照《个人信息和重要数据出境安全评估办法》(征求意见稿)》及其指南中关于重要数据出境的规定和程序指引,建立完善出境数据评估和申请流程。对于可能涉及到出口管制物项的数据,参照出口管制清单和相关标准,完成合规评估。
(五)加强数据安全培训教育并建立数据安全事件应急预案
开展员工数据安全教育培训,增强数据安全意识,根据《信息安全技术 网络安全事件应急演练指南》(GB/T 38645-2020),制定《数据安全应急响应预案》,并定期进行安全事件应急演练。一旦发生数据安全事件,应当启动应急预案,采取相应的应急处置措施,及时向有关部门汇报并向相关公众发布警示信息。
责任编辑 | 李妍靓
审核人员 | 张文硕本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
▼往期精彩回顾▼对照 |《数据安全法》二次审议稿vs正式文本
重磅!《数据安全法》草案与二次审议稿对照表
王倩云:人工智能背景下数据安全犯罪的刑法规制思路
夏伟:技术中立并非侵犯公民个人信息挡箭牌
王锡锌 彭錞:个人信息保护法律体系的宪法基础
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能