安理观法丨强监管态势下企业数据合规应对策略(一)
*本文为《强监管态势下企业数据合规应对策略》第一部分,第二部分请见后续文章。
目前,中国已形成多层次的网络安全和数据保护的法律及监管体系,企业需要深刻理解基于风险差异化管理的监管逻辑,搭建动态符合要求的数据合规体系。
中国对于企业数据业务的合规要求呈现体系化、全方位、严监管的监管态势,因此企业及管理者一旦违反相关合规义务,不仅可能涉及行政责任、民事责任,甚至会面临严重的刑事责任。
企业在建立适用法律体系基准和坐标认知时,应在《国家安全法》以及“总体国家安全观”指引之下,依赖于《网络安全法》《数据安全法》和《个人信息保护法》的基本法律框架,在个人/企业、组织/社会和国家安全三个基本权益保障层次上,并融合法律、技术、管理等多个维度,搭建动态符合监管要求的数据合规体系。
✦
✦
一、中国现阶段法律监管体系
目前中国网络安全及数据合规的法律体系已初步形成,包括法律及司法解释、行政法规、部门规章及规范性文件、国家及行业标准等。具体而言,主要以《宪法》和《国家安全法》为原则,以《网络安全法》《数据安全法》和《个人信息保护法》为核心,以《民法典》《消费者权益保护法》《未成年保护法》《电子商务法》《刑法》、最高人民法院的配套司法解释、《网络安全审查办法》《关键信息基础设施安全保护条例》《儿童个人信息网络保护规定》《数据安全管理办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》《重要数据识别指南(征求意见稿)》《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)等法律法规、相关部门规章、规范性文件、国家标准组成多层次网络安全和数据保护的法律及监管体系。
但是,《网络安全法》《数据安全法》与《个人信息保护法》所关注的角度各有侧重。在主要规制网络基础设施的《网络安全法》基础上,综合管理所有数据的《数据安全法》进一步建立了专门针对数据的安全保护制度体系,《个人信息保护法》则对特定类型的数据——个人信息进行了专门规定,使得在数据相关的概念及规范要求层面,不免出现三部法律重叠与交叉的情况。比如,继《网络安全法》对网络数据的定义予以明确,《数据安全法》在法律层面首次对数据的概念进行了界定,是指任何以电子或者其他方式对信息的记录,传达了该法对于各类数据处理活动的总括适用性。在数据概念之下,基于数据本身属性或所保障的法律价值不同,又囊括了个人信息和重要数据两类法律重点关注的数据。
值得注意的是,国家互联网信息办公室于2021年11月14日发布了《网络数据安全管理条例(征求意见稿)》(下称“《条例》”),作为《网络安全法》《数据安全法》和《个人信息保护法》的配套行政法规,将对三部法律中规定的原则性规范和制度进行内容和流程方面的细化规定。
《条例》的制定出台将弥补此前网络安全和数据保护领域法律规则体系中行政法规层级制度的缺失,逐步完善“法律-行政法规-部门规章、地方性法规以及规范性文件”全位阶的法律规则体系。
二、中国行业监管主体分析
依照前述中国现有网络安全和数据保护监管体系,企业可能面临国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局以及中国证券监督管理委员会至少13个主管部门的全方位监管。
企业需要结合所处行业、现有业务模式、主要业务场景、业务运营中心所在区域,重点关注相关监管主体的监管要求和区域性政策法规标准,以适应监管部门基于针对不同行业特点的风险差异化管理的监管逻辑,搭建动态符合监管要求的数据合规体系。
作者简介
杨博
北京办公室 合伙人
yangbo@anlilaw.com
北京航空航天大学法学学士、民商法学硕士。专业领域为私募股权/创业投资、收购与重组、网络安全与数据合规。
杨博律师拥有15年以上法律及管理工作经验,加入安理前,曾先后供职于国家部委、国内知名VC机构,具有中国执业律师资格、科技情报工程类工程师专业技术资格、基金从业资格等。服务过的客户包括中央直接管理的国有特大型企业、大中型企事业单位,以及知名的创业投资基金和股权投资基金、成长型/创业企业等。曾主持国家发展改革委“中央地方联合创新创业联合研究课题”研究项目,相关立法政策建议获采纳并写入《国务院关于强化实施创新驱动发展战略进一步推进大众创业万众创新深入发展的意见》(国发[2017]37号)。
相关阅读
免责声明
本微信文章仅为交流之目的,不代表安理律师事务所的法律意见或对法律的解读,任何仅仅依照本文的全部或部分内容而做出的作为或不作为决定及因此造成的后果由行为人自行负责,如果您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。