九万里风鹏正举:《数据安全法》已来,企业当如何乘风?
作者:
陈际红 蔡鹏 韩璐 骆天
七大合规义务和六项应对策略
引言
2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)正式发布并将于2021年9月1日起施行。《数据安全法》在二审稿的基础上进行了针对性的修改和补强规定:
新设国家核心数据管理制度,对于关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行重要数据之上的更加严格的管理。
增加保障弱势群体正当需求的条款,一方面鼓励公共服务的智能化,另一反面要匹配“适老化”等设计。
建立国家层面的数据安全工作协调机制,避免“九龙治水”或监管盲点。
增加国家机关在履职中对数据的保密义务,规定政务系统建设和数据处理的受托方的安全义务。
加大违法行为处罚力度。
《数据安全法》监管思路已跃然纸上,企业未来合规工作的重点方向已明。考虑到从颁布到正式实施不到三个月的准备期,企业需要尽快理解法律规定的义务,对比查找企业的合规差距,立即实施合规整改。此前我们持续跟踪《数据安全法》的立法进程,针对《数据安全法》(草案)及《数据安全法》(草案二审稿)分别进行了详细的解读。[1]本文将从《数据安全法》正式生效后企业应当满足何种合规义务,如何通过合规工作满足法律要求,降低合规风险,为企业提供可理解、可操作、可落地的《数据安全法》落地建议。
一.
《数据安全法》明确七大合规义务
作为我国“数据安全领域的基础性法律”,《数据安全法》重点关注数据安全保障制度方面的建设,包括:数据分类分级保护、重要数据保护、国家核心数据保护、数据安全风险预警机制、数据安全应急处置机制、数据国家安全审查机制等。上述制度建设看似多为自上而下的“顶层设计”与“制度构建”,然而其背后却蕴含着企业应遵守的法律义务,对企业的合规工作影响重大。对于企业而言,《数据安全法》的以下方面尤其值得关注:
合规义务一:数据分类分级保护
《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”
实际上,数据分类分级保护的监管思路并非在《数据安全法》中首次提出。在此前的立法实践中,诸如《工业数据分类分级指南(试行)》、《证券期货业数据分类分级指引》、《个人金融信息保护技术规范》等部委指引性文件及行业标准,对特定行业的数据分级分类具体标准进行了一些有益的尝试。
《数据安全法》中的数据分类分级保护与此前立法中出现的数据分级分类保护相比,有相似之处,但又有显著的区别。在评定要素上,二者均将“保护对象遭到篡改、破坏或非法获取”等行为所产生的危害程度作为原则性标准,体现了监管思路的一致性。然而,在分类主体方面,此前立法中出现的数据分级分类保护制度均要求所规范主体开展数据分类分级,而《数据安全法》则以监管机构的视角,对不同类型数据采取不同的监管措施和法律要求,即“国家建立数据分类分级保护制度”。此种“自上而下”的监管路径,更有利于从国家层面明确所需维护的国家和公共利益、个人合法权益,判断其是否得到充分的保护,也有利于统一的管理和监督工作。对于企业来说,自然应当遵循此种数据监管的新路径,开展自身数据分类分级工作,或将已有的分类分级体系与国家行将出台分类分级保护制度进行有机衔接。
合规义务二:重要数据与核心数据保护
《数据安全法》第二十一条还规定了国家核心数据及重要数据的保护制度。
重要数据制度中,区分了重要数据目录和重要数据具体目录。重要数据目录由国家数据安全工作协调机制统筹协调有关部门制定,形成国家级的重要数据目录;而各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。
国家核心数据为本次《数据安全法》正式稿中新增制度,其重要程度及保护严格程度将高于重要数据。此次《数据安全法》虽未规定国家核心数据的具体管理义务,但已明确提出将对其实施更加严格的制度化管理。可以预见,有关部门将针对国家核心数据制定配套的法规,进一步加强管理。
自《中华人民共和国网络安全法》(以下简称“《网络安全法》”)生效后,重要数据的范围、识别和流动监管,一直是业界关注的焦点问题。《数据安全法》一方面通过“重要数据保护目录”的方式来明确重要数据的范围,另一方面围绕重要数据保护提出了全方位的监管要求,包括数据安全负责人和管理机构的设置、定期开展风险评估并发送风险评估报告、重要数据出境安全管理等。企业所处理的数据一旦纳入重要数据保护目录的范畴,则上述管理要求就将转化为企业所必须遵守的合规义务。
重要数据的保护也体现了中央事权与具体地方、部门管理权限之间的合理协调。《数据安全法》明确将“确定重要数据目录”一项纳入中央事权范畴,有助于从宏观层面把握重要数据的监管方向,形成重要数据认定统一标准;同时也赋予各地区、各部门细化确定本地区、本部门以及相关行业、领域的重要数据具体目录的权利,使得重要数据的认定能够与具体区域、领域的实际情况有机结合,确保真正重要的数据被纳入目录中,得到有效保护。
合规义务三:数据跨境流动的合规义务
《数据安全法》第十一条明确了国家促进数据跨境安全、自由流动的基本态度,第二十五条、二十六条、三十一条、三十六条等条文则对数据跨境流动作出了明确规定。
数据跨境流动一直是国家立法、执法所关注的重点。《网络安全法》对重要数据及个人信息的跨境流动做出了原则规定。而作为数据安全领域的基础性法律,《数据安全法》自然也不会回避这一重要问题。
整体来看,《数据安全法》明确了国家将积极开展数据领域国际交流与合作,促进数据跨境安全、自由流动。由此我们可以看出国家对于数据跨境流动问题的基本态度,即鼓励一般数据的跨境流动,重点监管个人信息及重要数据的跨境流动。如企业确有需要进行个人信息和重要数据的出境,则需遵守《网络安全法》、即将出台的《中华人民共和国个人信息保护法》(“以下简称《个人信息保护法》”)及《数据安全法》所明确的合规义务。
与此同时,《数据安全法》把属于管制物项的数据纳入了出口管制对象。出口管制是指对物项的出口采取禁止或者限制性措施,以达到对该物项的使用主体或者用途进行控制的目的。2020年新修订的《中华人民共和国出口管制法》(以下简称“《出口管制法》”)中即将“与物项相关的技术资料等数据”也被纳入了出口管制的范围。此次生效的《数据安全法》顺延该思路,对与履行国际义务和维护国家安全相关的,属于管制物项的数据依法实施出口管制,明确了出口管制在数据活动中的适用。《数据安全法》和《出口管制法》都将管制物项的数据纳入了出口管制对象,足以体现国家对于关键领域的特殊数据出境管理从严的决心。一旦待出境数据落入物项出口管制清单,需要向国家出口管制管理部门提出申请许可后才能进行数据出境。
对于重要数据而言,如前所述,《网络安全法》对于关键信息基础设施运营者规定了重要数据出境的事前安全评估的要求。而《数据安全法》衔接了这一制度,明确关键信息基础设施运营者在境内运营中收集和产生的重要数据出境问题仍适用《网络安全法》的有关规定,同时还增加规定了其他数据处理者对于重要数据出境同样负有安全保护义务,应当遵守国家网信部门会同国务院有关部门制定的管理办法。这一规定,填补了非关键信息基础设施运营者的其他主体在向境外提供重要数据时的监管空白。因此,在《数据安全法》生效后,企业即使不构成关键信息基础设施运营者也同样需要关注重要数据出境的合规义务。
需要注意的是,2020年8月28日修订的《中国禁止出口限制出口技术目录》中,我国将人工智能算法成果、5G通讯技术、航空航天技术等先进领域纳入其中,与此类技术相关的技术资料等数据也将纳入监管范畴。而此类数据又有一定可能构成重要数据。若企业处理的数据落入上述范畴,则将面临重要数据出境及出口管制的双重监管。
除上述规定外,《数据安全法》还新设立了数据主权的保卫机制。2018年美国《澄清境外数据的合法使用法案》(“CLOUD ACT”)签署生效,该法案扩张了美国执法机构获取存储于境外的数据的能力,引发国际社会对数据主权的担忧。《数据安全法》明确规定,向境外司法机构或执法机构提供境内存储的数据需经主管机关批准。此规定彰显了我国捍卫数据主权与国家安全的决心。对于企业而言,此规定不仅是一项应履行的义务,也是一项强有力的保护措施。
合规义务四:针对数据活动的国家安全审查
《数据安全法》第二十四条规定,国家会针对影响或者可能影响国家安全的数据活动进行国家安全审查。
数据是数字经济时代的核心资源,是未来国际间竞争的核心。数据安全与国家安全息息相关。《国家安全法》第五十九条规定,“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。” 作为国家安全的重要组成部分,《数据安全法》响应了《国家安全法》的规定,建立了数据领域的国家安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《数据安全法》虽然未对数据安全审查制度所覆盖的审查范围予以进一步明确,但可以预见的是,随着相关配套法律法规的出台,数据国家安全审查将同网络安全审查一样,成为企业合规工作需要重点关注并落实的合规义务。
合规义务五:数据安全保护义务
《数据安全法》第四章以专章的形式明确了企业开展数据处理活动的安全保护义务,可谓之为企业最直观的合规义务。具体包括建立健全全流程数据安全管理制度;组织开展数据安全教育培训;采取必要保障数据安全的技术措施;进行数据安全风险检测及应对,及时应对处理安全事件;采取合法、正当方式收集数据,并在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要限度等。
《数据安全法》中“第四章 数据安全保护义务”的开篇即明确了开展数据处理活动,应当在网络安全等级保护制度的基础上履行上述数据安全保护义务。这表明了《数据安全法》突出强调网络安全等级保护制度(以下简称“等保制度”)的基础地位。对于企业而言,遵守等保义务,落实等保管理工作,仍将是企业日常网络安全工作开展的重中之重。
合规义务六:数据处理服务的资质及合规经营
《数据安全法》第三十三条对从事数据交易中介服务机构提出保证数据来源合法合规及审核交易双方身份的法律要求。在数据交易中介服务市场高速发展的今天,强调中介服务机构在其中应尽的数据及交易双方身份的审核义务,表明了国家对于数据交易中介服务市场的管理决心及方式,值得企业重点关注。
同时,《数据安全法》第三十四条提出,“提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”。对于数据处理服务的市场准入并非新设资质要求,而是在既有的电信监管框架下重申了相应的资质牌照要求。目前企业日常运营过程中数据处理活动非常普遍,对于企业而言,尤其是专门提供数据处理服务的企业应当结合数据处理活动性质、服务内容及业务模式判断所提供的服务是否落入电信监管等行政许可审批范围,及时办理相应牌照。可以预见,关于数据处理涉及的电信牌照申请及管理将是未来行业监管及审查的重点。
合规义务七:维护数据市场秩序,禁止非法获取数据及实施反竞争行为
《数据安全法》第五十一条规定,采用不正当手段获取数据、破坏竞争秩序或损害他人合法权益的,应当依照有关法律、行政法规的规定处罚。
近年来,企业出于了解市场及竞品情况、数据备份、监控自家投放产品动态、数据报表制定等多种目的,会采用自动化采集技术(如常见的数据爬虫),通过网页采集、公开或非公开应用程序接口(Application Programming Interface, “API”)方式,从第三方平台(部分可能存在直接或间接竞争关系)爬取相关数据(例如用户评论)等。市场亦存在部分企业试图通过不正当手段获取数据,以形成竞争优势。《数据安全法》重申并强调了获取数据的正当性和竞争法秩序,并从立法层面响应了近期关于平台反垄断的监管思路,为围绕数据监管与竞争法监管之间的立法关系处理而进行有益的立法探索尝试,如算法共谋、大数据杀熟等行为有望得到进一步限制。这也为有关互联网企业敲响了警钟,数据合规将更加深入的嵌入企业日常经营和商事交易过程中。
二.
企业合规六大应对策略
合规策略一:落实网络安全等级保护测评备案
企业应当按照《网络安全法》以及《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》等“等保2.0”系列标准要求,梳理全量系统情况,尤其是核心业务系统及涉及云计算、移动互联、物联网、工业控制和大数据等新技术应用系统,落实相应系统的等保测评备案工作,已经完成等保备案的系统还应当根据不同测评级别跟进完成年度测评备案工作。与此同时,企业还应以等保要求为基础完善企业自身有关制度,将等度要求融入管理机制中,构建完善的覆盖人员、组织、制度的管理体系。
合规策略二:建立数据分类分级制度
企业应当根据自身所处行业发展特点、企业经营需要、组织技术管理及数据敏感度等情形,开展内部数据分类分级管理工作,建立相应的管理制度,并针对不同类型、级别数据匹配相应的技术管控措施。分类分级结果与数据存储、权限、脱敏、开发等措施挂钩,实现体系管理。对于已经建立了分类分级管理体系的企业而言,则需要根据重要数据目录的颁布情况对现有体系作出适当调整。
合规策略三:建立重要数据及核心数据保护制度
企业应当结合自身业务特点、后续出台的重要数据目录及核心数据的管理细则,综合识别所掌握数据是否落入重要数据或核心数据的范畴,并相应建立针对重要数据及核心数据的风险评估及管控制度,相应匹配组织架构调整及安全事件的应急预案。
(1)设立数据安全负责人和管理机构
对于涉及处理重要数据的企业而言,应当明确数据安全负责人和管理机构,落实数据安全保护责任。其设置可以参考个人信息保护机构或负责人(DPO)的设置思路,在设置中充分考虑该机构的“权责一致”,即既要使该机构承担《数据安全法》规定的法律义务,对企业数据处理活动承担责任;也要赋予其足够的权利,包括协调各个业务部门的支持和配合的权利,具备对于高风险的数据处理场景业务的决策权利。只有权责统一,才能使该机构真正地发挥对企业数据安全负责的作用,达到该制度的设计初衷。
(2)重要数据处理活动风险评估
涉及处理重要数据的企业应当结合重要数据所处业务特性、应用场景及流转路径,定期开展风险评估工作,包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。相应风险评估方法可以借鉴即将出台的《个人信息保护法》项下规定的个人信息安全影响评估(Personal Information Security Impact Assessment, “PIA”)基本原理和方法论,对具体场景下可能存在的合规风险进行分析,主动出击,提前部署重要数据风险评估工作及评估制度。与此同时,应当及时关注主管部门后续发布的监管细则,从而有效、快速应对后续的监管活动。
合规策略四:针对特定数据处理场景建立相关管理制度
企业应当结合自身实际情况,针对特定的数据处理场景进行梳理和识别,如数据出境、数据出口、境外执法调查要求提供境内数据等场景。针对数据出境场景,应当事先建立并部署安全评估制度与内部审查流程机制。审查的重点应当集中在以下几个方面:数据出境的必要性;涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险等。
针对数据出口的特定场景,企业应当事先逐项审查出口数据并评估其是否落入管制清单,并确保取得管制物项出口经营资格,同时履行向国家出口管制主管部门申报并获得许可的义务。如经评估,企业获得有关出口许可的可能性较低,则应相应调整出口数据的整体安排和出口数据类型,以免影响整体业务布局。
企业还应当建立境外执法调查的常规应对策略,结合后续逐步完善的监管审批要求搭建内部事先评估及响应制度,以同步匹配境内审批要求及境外执法调查义务。
合规策略五:建立并完善数据安全管理制度
企业应当结合自身的数据处理活动特性及机构组织特点,建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度。一般而言,企业的数据安全制度应当从安全责任组织管理、员工访问权限管理、信息系统安全管理、应急事件管理等多个维度全面规范企业日常经营流程,根据自身实际设立针对数据安全事件的监测、预警机制、应对数据安全事件的应急响应、报告机制,以及日常数据安全培训、演练机制,提高自身数据安全能力。
同时,好的制度如无法真正落实,则终将成为镜花水月。在日常业务中,企业还需应将制定的制度内化为一种合规能力,真正使数据安全制度嵌入业务流程。例如,业务部门在初步构思一项数据处理活动或涉及一项产品功能之前,则需开始考虑数据安全的有关问题,可通过数据安全风险评估的方式识别可能存在的数据保护风险,从而充分地将数据安全要求内化到构建数据处理活动概念之初,以减少产品的数据安全漏洞,以及后续添加升级时的高昂成本。
合规策略六:建立健全平台竞争策略
企业应当结合自身业务特点,尤其针对核心数据产品、平台、新型技术的开发应用等,提前部署数据获取、数据开发和市场竞争策略。综合人员管理、事先评估审查、技术措施规范等建立数据开发利用的整体管控体系,评估现有技术应用的合规风险,尤其针对诸如爬虫等自动化采集技术、人脸识别技术等新技术开发应用开展风险评估工作,以确保获取数据的合法合规及正当性。同时,企业应当规范自身的市场竞争策略,避免采用非法获取第三方平台数据、侵犯商业秘密等不正当手段,或其他可能引发对竞争秩序的破坏的情况,避免排除竞争的行为。
结语
Conclusion
伴随着《数据安全法》的生效,我国数据活动的监管将迎来一个崭新的时代。同时我们相信,在不久的将来《个人信息保护法》也将顺利通过。届时,由《网络安全法》、《数据安全法》和《个人信息保护法》构成的网络空间监管和数据保护的三驾马车将正式成型。企业应当思考如何乘这股新时代的东风,把握机遇,向上而起。
[注]
[1] 《数据安全法(草案)》观察:构建我国基础性数据安全制度的开端
https://mp.weixin.qq.com/s/LntkCY43ZCEukIFFGxmTsg
《数据安全法(草案)》二审 加强顶层制度衔接 响应当下监管热点”https://mp.weixin.qq.com/s/GEIimmip4TvIx2NOh-_YLA
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护, 知识产权权利保护, 合规和反腐败
特色行业类别:通讯与技术, 健康与生命科学
韩璐 律师
北京办公室 知识产权部
骆天
北京办公室 知识产权部
作者往期文章推荐
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
《网络安全与数据保护2020年度观察》
《新型电商的数据合规路径》
《EDPB<GDPR下数据控制者及数据处理者概念的指南>解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《“抗疫”不忘数据合规:<个人金融信息保护技术规范>评析》
《疫情期间企业个人信息保护十问十答》
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《网络平台法律责任的司法变化与应对——对最高人民法院涉网络和电商两个司法文件的解读》
《电子商务平台责任与消费者权益保护》
《电子商务领域的知识产权和数据保护》
《<电子商务法>实施后的执法、司法回顾及其趋势》
《<电子商务法>实施后的立法回顾及其趋势》
《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》
《新基建主题系列——人工智能技术开发中的知识产权法律风险》
《不打无准备之仗——企业上市如何面对知识产权诉讼争议?(境外篇)》
《不打无准备之仗——企业上市如何应对知识产权诉讼争议?(境内篇)》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。