近期,互联网监管重锤频出,有关数据安全的讨论也被推上了风口浪尖。7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知指出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。早前,在今年6月,第十三届全国人大常委会第二十九次会议审议后通过了《中华人民共和国数据安全法》,并将于9月1日起正式施行。相关法律法规相继出台,面临史上最严格的数据监管时代,手握海量用户数据的中国互联网企业该如何规范经营?对此,创新工场法务部门整理了《数据安全法》下的企业合规要点,供企业的数据活动参考。以下:
2021年6月10日,第十三届全国人大常委会第二十九次会议审议后通过《中华人民共和国数据安全法》(以下简称“《数安法》”),该法将于2021年9月1日起正式施行,作为我国数据安全领域内的“基础性法律”和我国国家安全领域内的“重要法律”,其首次将数据安全集中、专门地反映在一部基本法中。《数安法》作为以《国家安全法》为代表的国家安全法律体系的重要组成,也将与《网络安全法》及目前已经二次审议的《个人信息保护法》共同构成数据信息领域更为完整的基础性法律体系。 根据《数安法》,在中国境内开展的数据处理活动及其安全监管,适用该法,同时也在境外适用上,在中国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。 《数安法》适用对象的范围非常广泛,对于在境内实施任何数据收集、存储、使用加工、传输、提供、公开等行为的组织和个人,均应遵守这一法律规定。 作为数据安全领域出台的首部法律,《数安法》对适用主体并无限制,对适用主体从进行数据处理活动这一客观行为着眼,而非将适用主体限定在某一个类型的主体范围内,实际上从客观层面旨在最大程度地保证不同层次、不同环节的数据安全。 《数安法》明确界定,“数据”是指任何以电子或者其他方式对信息的记录;而“数据处理”则包括数据的收集、存储、使用、加工、传输、提供、公开。 根据上述定义,“数据”所涵盖的范围十分广泛、在目前政务、企业逐步向数字化转型的过程之中,几乎会囊括生产、经营、管理各方各面所产生的信息记录。同时,《数安法》附则也明确规定,涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定;在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守相关的法律、行政法规的规定,因此《数安法》并不包括对于国家秘密的数据处理活动。但是,统计、档案工作中的、以及涉及个人信息的数据处理活动,除了应遵守《数安法》之外,还应遵守相关法律法规的要求。这也为其他特别法律法规的完善(包括即将出台的《个人信息保护法》)预留了空间。此外,值得关注的是,《数安法》整体对于数据安全的保护提出了相对原则性和概括性的监管要求,但对于具体的适用细则和规制重点尚待后续结合相关配套细则进一步明确。 从《数安法》整体框架设计来看,不难看立法机构对于数字经济与数据安全之间的平衡有序发展的关注。《数安法》总则中明确了国家保护公民、组织与数据有关的权益,鼓励数据合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展;第二章也强调了对于数据安全与发展的支持。相关支持措施包括:(1)实施大数据战略、推进数据基础设施建设、数字经济发展规划设计;[1](2)支持开发利用数据提升公共服务的智能化水平;[2](3)加强数据开发利用和数据安全技术研究;[3](4)促进数据人才培养[4]等鼓励和支持数字经济发展、数据开发利用的总体战略和方针,同时也明确要求制定数据开发利用技术和数据安全的相关标准;[5](5)促进数据安全检测评估、认证等服务;[6](6)建立健全数据交易管理制度[7]等。 正式落地的《数安法》首次提出了“国家数据安全工作协调机制”,其负责统筹协调有关部门制定重要数据目录、统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。同时规定中央国家安全领导机构承担国家数据安全工作的决策与议事协调作用,并研究制定、指导实施国家数据安全战略和重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。在此工作协调机制之下,沿袭了“网信部门 – 公安部门 – 国务院其他下属机构联动”的监管体系: (1)各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责; (2)工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责; (3)公安机关、国家安全机关在各自职责范围内承担数据安全监管职责; (4)国家网信部门负责统筹协调网络数据安全和相关监管工作。[8] 《数安法》确立了一系列数据安全领域的基本制度,将成为我国数据安全管理与保护、数据流通与应用的基础,一定程度也为后续数据安全立法和实务指引了方向。这些制度主要包括:
1. | 数据交易管理制度 |
具体要求 | |
对应条款 | |
2. | 数据分级分类保护制度 |
具体要求 | 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取,非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分级分类保护 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度 各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门、相关行业、领域的重要数据保护目录,对列入目录的数据进行重点保护
|
对应条款 | |
3. | 重要数据保护制度 |
具体要求 | 《数安法》明确:(1)重要数据的处理者应设立数据安全负责人和管理机构;(2)重要数据处理者应定期对数据处理活动开展风险评估,并向有关主管部门报送风险评估报告,评估报告应包含所处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等 《网络安全法》于2016年首次提出对重要数据的规范,主要包括对关键信息基础设施运营者收集的重要数据提出数据本地化及重要数据出境安全评估。此后发布的相关征求意见稿,例如《信息安全技术 数据出境安全评估指南》(征求意见稿)、《数据安全管理办法(征求意见稿)》对各类重要数据进行了列举及定义,《数据安全管理办法(征求意见稿)》对重要数据的处理也提出了相应要求 关于重要数据的出境安全管理:关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定(即本地存储为原则,出境须经过安全评估[9]);其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定
|
对应条款 | 《数安法》第二十七条 《数安法》第三十条 《数安法》第三十一条
|
4. | 国家核心数据保护制度 |
具体要求 | |
对应条款 | |
5. | 数据安全风险管控制度 |
具体要求 | |
对应条款 | |
6. | 数据安全应急处置机制 |
具体要求 | |
对应条款 | |
7. | 数据安全审查制度 |
具体要求 | |
对应条款 | |
8. | 数据出口管制制度 |
具体要求 | 国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制制度。2020年10月17日发布的《出口管制法》规定了对货物、技术、服务等物项的出口管制要求,并对出口管制进行了定义。 此外,《网络安全法》、《数据安全管理办法(征求意见稿)》及《个人信息保护法》(草案二次审议稿)分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求,但相关具体细则尚未明确。《数安法》第三十一条规定的其他数据处理者的重要数据的处境安全管理办法亦尚未出台。数据出口管制及数据出境安全评估制度之间的配合及衔接有待未来立法的进一步明确
|
对应条款 | |
9. | 歧视性措施反制机制 |
具体要求 | |
对应条款 | |
《数安法》监管框架之下,企业的主要合规义务及对应法律责任如下表所示:
1. | 《数安法》第27条:数据/重要数据安全保护义务 |
合规义务 | |
法律责任 | 一般情况: 拒不改正或造成大量数据泄露等严重后果的: |
2. | 《数安法》第二十九条:风险监与应急机制 |
合规义务 | |
法律责任 | 同1 |
3. | 《数安法》第三十条:重要数据风险评估及报告 |
合规义务 | |
法律责任 | 同1 |
4. | 《数安法》第三十一条:重要数据出境限制 |
合规义务 | |
法律责任 | 一般情况: 情节严重的: |
5. | 《数安法》第三十二条:获取方式合法、正当 |
合规义务 | |
法律责任 | |
6. | 《数安法》第三十三条:数据交易中介的数据来源审核及存档 |
合规义务 | |
法律责任 | |
7. | 《数安法》第三十五条:配合义务 |
合规义务 | |
法律责任 | |
8. | 《数安法》第三十六条:域外数据提供需经主管机构批准 |
合规义务 | |
法律责任 | 一般情况: 造成严重后果的: |
五、政务数据的开放与安全要求
当前数字经济、电子政府的时代背景下,政务数据的价值不言而喻,政务数据的保护更是备受关注。《数安法》在提出对政务数据来源合法性、管理安全性以及电子政务系统安全性要求的基础上,进一步对政务数据公开进行原则性规定,即应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据,依法不予公开的除外。[10]对于政府机关的具体要求则包括国家机关应在法定职责范围内从事数据活动、应建立健全数据安全管理制度、及时准确公开政务数据、建设安全可控的政务数据开放平台等。 值得注意的是,《数安法》要求:(1)国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密,不得泄露或者非法向他人提供;[11](2)国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应经过严格的批准程序,并应监督受托方履行数据安全保护义务。受托方应当按照法律法规要求和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。[12]据此,与政府进行合作,或为政府提供服务的第三方供应商应特别关注此项要求,一方面,准入程序有待后续明确,另一方面,实践中部分政务服务的供应商将政务数据用于其他商业目的的此类行为将被明确定性为违法行为。 鉴于《数安法》所涉领域的广泛性、复杂性,在《数安法》原则规定的基础上,其如何与《网络安全法》、即将出台的《个人信息保护法》等法律及其配套规定有效衔接,相应配套制度如何落地,如何在数据安全的前提下、实现数字经济的稳步有序发展,都将面临挑战,也将会是实践中持续的议题。据报道,《数安法》落地后,各地会依据自身特点出台相应的具体条例与措施,目前,北京、上海、深圳、天津、贵州、安徽等地已启动数据立法,江苏也将公共数据管理办法列入省政府2021年立法工作计划。 作为在数据安全保护中的重要参与者,涉及数据处理活动的企业可以考虑通过以下几个基本方面完善自身数据安全保护制度,降低企业的数据安全合规风险: 1. 保障数据安全,落实数据管理部门以及相关负责人的主体责任;
2. 制定重要数据目录,定期开展数据安全风险评估,出具报告;
3. 定期安全风险监测,对系统进行漏洞扫描;
4. 定期或不定期开展数据安全教育、演练或培训,提高员工数据安全意识与能力;
5. 制定数据安全事件应急预案,及时处置数据安全事件;
6. 确保数据来源合法合规,比如采集用户数据要经过合法授权;
7. 谨慎处理跨境数据处理问题(比如域外冲突管辖与证据调取)。