《数据安全法》与企业合规

自2020年7月《数据安全法(草案)》(以下简称“一审稿”)出台后, 数据安全与数据开发利用引发广泛关注, 时隔近一年, 历经两次审议, 《数据安全法》(以下简称“《数安法》”)于2021年6月10日正式表决通过, 并将于2021年9月1日正式实施。一审稿面世至今, 我们始终密切关注《数安法》框架下数据要素与数据交易、数据分类分级与重要数据、数据安全审查、数据跨境流动等方面的合规要求, 剖析企业的数据安全保护义务与责任, 相关文章详见《安全与发展并重——<数据安全法(草案)>要旨与解读》《能力越大, 责任越大——数据分类分级制度评述》《网安法、个保法、数安法下的法律责任》等。

中国作为走在互联网行业发展前列的国家, 通过完善数据治理法律体系来助力产业发展, 提升国家竞争力, 是势在必行的。值得注意的是, 作为《国家安全法》在网络及数据领域的延伸, 《数安法》要保护的绝不仅仅是数据安全, 而是通过数据安全来保护国家安全。尽管其本身多为原则性规定, 企业仍需重视《数安法》的重要意义。基于业务实践观察, 笔者选取《数安法》与企业最密切相关的若干问题着重分析, 以期为企业抽丝剥茧, 针对《数安法》的生效和后续配套法规的应对、如何尽早落实数据安全责任提供合规建议。

一

确定数据安全主管部门

• 由中央国家安全委员会统筹组建国家数据安全工作协调机制; 统筹协调各地区、各部门制定重要数据目录。

《数安法》规定, 中央国家安全领导机构负责国家数据安全工作的决策和议事协调。同时, 在《数据安全法(草案第二次审议稿)》(以下简称“二审稿”)的基础上, 《数安法》新增条款, 规定中央国家安全领导机构“统筹建立国家数据安全工作协调机制”。《数安法》是《国家安全法》的下位法, 此处修订则可以理解为由中央国家安全委员会统筹组建国家数据安全工作协调机制。根据《数安法》, 国家数据安全协调机制的工作内容包括: (1)统筹协调有关部门制定重要数据目录, 加强重要数据的保护; (2)统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

在此前的一审稿和二审稿中, 重要数据保护方面规定由各地区、各部门按照数据分类分级保护制度, 确定本地区、本部门以及相关行业、领域的重要数据具体目录, 这一规定曾引发企业担忧, 即各地区对数据分级分类不统一时, 如何保证数据流动的合规性成为难题。可以预见的是, 国家数据安全工作协调机制建立后, 数据分级分类保护相关政策将得以协调, 在国家层面, 国家数据安全工作协调机制为企业的数据跨境流动合规提供指导, 后续还可能出台划分各监管部门职责界限、协调管辖冲突相关文件, 建议企业密切关注。

企业应从国家安全高度正确认识《数安法》, 加强作为与企业联系最为紧密的行业主管部门的沟通, 在主管部门制定本行业中的数据分级分类政策及重要数据目录时适时提供意见和建议。

二

建立自上而下的数据分类分级保护制度

• 从国家层面建立“自上而下”的数据分类分级保护制度。不同于以往将数据分类分级义务施加于企业, 《数安法》明确提出国家、各地区、各部门将确立相应的分类分级保护标准、重要数据目录及重要数据保护措施。

• 《数安法》首次提出“国家核心数据”的概念, 将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”划为“国家核心数据”。“国家核心数据”是立足于国家安全, 对部分重要数据的更高程度的保护。

  
  

《数安法》关于数据分类分级的规定属于原则性规定, 后续必定需要相关政府部门来制定有关重要数据、国家核心数据的划分标准、数据类型、保护等的具体要求。在现有法律体系下, 部分地区和行业已从数据分类分级的角度出台法律法规指导和规范数据相关活动, 例如《贵州省大数据安全保障条例》《天津市数据安全管理办法(暂行)》等地方立法和《证券期货业数据分类分级指引》《工业数据分类分级指南(试行)》《金融数据安全 数据安全分级指南》等行业指引。随着《数安法》的正式颁布和生效, 未来在国家、地区、行业层面, 将颁布更多、规范效力更强的重要数据目录, 重要数据的认定标准也将逐渐清晰。

对于企业而言, 国家层面的数据分类分级保护制度将主要落于重要数据的识别和保护上, 企业的数据处理活动一旦涉及重要数据, 应履行设立数据安全负责人和管理机构、定期开展风险评估并报告、境内存储数据并实行出境安全管理等责任。建议企业先从重要数据的识别和管理出发, 进一步完善现有的数据分类分局保护制度。此外, 不同行业将确定受特殊监管的行业数据类型和范围及其处理标准, 企业可据此识别内部数据的类型和性质, 并予以不同程度的管理和保护。

三

数据跨境流动

• 《数安法》第二条规定了我国在数据安全监管方面的域外效力, 即当中国境外的数据处理活动“损害中国国家安全、公共利益或者公民、组织合法权益”时, 应当被追究法律责任。

• 《数安法》建立安全审查、出口管制、反制措施和数据调取审批机制, 搭建数据跨境流动安全管理框架, 实现数据跨境流动的全方位监管。

• 重要数据的境内存储和跨境传输规定逐渐明朗, CIIO以外的其他数据处理者需密切关注立法动态。

在反制措施方面, 《数安法》与二审稿规定一致, 即“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制或者其他类似措施的, 中国可以根据实际情况对该国家或者地区对等采取措施”, 需要注意的是, 《数安法》颁布当日, 《反外国制裁法》颁布并生效, 数据安全反制措施或将配合《反外国制裁法》的规定, 以进一步维护我国国家利益、维护公民和组织的合法权益。

在二审稿的基础上, 《数安法》对境外执法机构调取我国境内存储的数据的规定予以修订, 进一步明确了外国司法、执法机构请求提供数据时, 我国主管机关以双边、多边条约以及平等互惠原则为基础进行处理; 境内的组织、个人向外国司法或者执法机构提供存储于中国境内的数据, 必须经中国主管机关批准, 企业应当根据《数安法》的规定, 配合相关审批程序。

《数安法》第三十一条在沿袭《网络安全法》的规定, 要求CIIO必须境内存储重要数据的基础上, 明确了“其他数据处理者”在重要数据出境管理方面亦有相关义务, 亦有可能被要求在跨境传输前进行安全评估。尽管目前具体政策尚未出台, 企业在与境外数据接收方签订合同时应充分考虑未来跨境传输数据受限增加履约成本或引发违约责任的可能, 故建议企业在相关合同中明确将政策调整纳入免责事由。此外, 合同中应明确限制境外接收方私自向境外司法、执法机关提供境内数据, 如需提供, 应事先告知并以境内审批为准。

四

处罚力度不断加大

• 从一审稿、二审稿至最终稿, 我们发现, 《数安法》对违法行为的处罚力度不断加大。指的注意的是, 针对重要数据的违规出境新设单独罚则, 罚款最高可达1000万元(对企业)/ 100万元(对责任人员)。

从一审稿、二审稿至最终稿, 我们发现, 《数安法》对违法行为的处罚力度不断加大: 

• 就违反国家核心数据管理制度、危害国家主权、安全和发展利益的行为, 《数安法》作出了上限为1000万元罚款的处罚规定, 并明确犯罪行为的刑事责任。

• 针对重要数据的违规出境, 《数安法》新设单独的罚则, 且显著加重了企业和相关责任人员的法律责任(“5万元以上50万元以下”提高至“10万元以上100万元以下”), 尤其是对于造成严重后果的情形课以更高的罚款数额(企业罚款由“50万元以上500万元以下”提高至“100万元以上1000万元以下”, 相关责任人员罚款由“5万元以上50万元以下”提高至“10万元以上100万元以下”)。

• 针对未经批准向境外司法执法活动提供数据的行为, 区分一般违法后果和严重违法后果, 则未来企业的相关行为可能受到最高500万元的罚款处罚, 甚至可能因此中断或终止经营, 包括暂停相关业务、停业整顿、吊销相关业务许可证或营业执照。

《数安法》的多项罚则针对数据出境行为, 反映了在强调数据主权的国际形势下, 国家对数据出境的严格监管态势。因此, 企业在衡量数据出境的问题上必须重视相关规定, 密切关注后续相关部门出台的细则, 在跨境提供数据前更加审慎和警惕。

结语

总体而言, 《数安法》下各项制度亟待具体的配套法规和细则予以落地实施, 毫无疑问将对企业的业务运营和内部治理产生深远影响。企业在未来的产品设计和市场布局中将越来越多地考虑数据合规的要求, 建议企业尽早梳理内部的数据治理现状和业务需求, 明确潜在的风险点并且区分整改优先级别, 在数据合规方面做到提前部署, 掌握主动权。

作者:

往期分享

安全与发展并重——《数据安全法(草案)》要旨与解读

能力越大, 责任越大——数据分类分级制度评述

网安法、个保法、数安法下的法律责任

个人信息保护法和数据安全法二审稿对跨国金融机构的影响