“数据安全与我无瓜?”- 不,你还有不到两个月准备时间!
“数据安全与我无瓜?”- 不,你还有不到两个月准备时间!
作者:复恩法律 谭玥
听朋友圈说,最近法律界有一件大事发生:作为我国数据安全领域内的“基本法”——《中华人民共和国数据安全法》(以下简称为《数据安全法》)正式颁布了,并将于2021年9月1日正式实施。
在数字信息技术急速发展的大背景之下,《数据安全法》既是应对国内数字经济发展过程中与日俱增的数据安全隐患为个人和机构的合法权益所带来的威胁的纲领,也是保护我国在全球数据主权竞争过程中隐藏在数据安全之下的国家安全与利益的利器。
“这么高大上的内容,与我们这些平平无奇的公益机构大概是没什么关系吧?”
“是不是只有DD这样的大机构,才适用《数据安全法》呀?”
先别着急下结论,做一个小测试来判断一下。
1. 机构的业务活动是否会涉及一些实地考察、访谈或问卷等形式的调研工作?
2. 机构的业务活动中是否会涉及研究报告等含有数据内容的产出?
3. 机构日常运营中是否会用到自己的理事、监事、员工、实习生等人员的姓名、年龄、联系信息等个人信息?
4. 机构日常运营中是否会用到自己的捐赠人、受益人、志愿者等人员的姓名、年龄、联系信息等个人信息?
5. 机构的官网、公众号、微博等线上平台是否载有各种有关项目、捐赠或者平台用户的相关信息?
只要上述问题中有一个问题的答案是肯定的,那么机构的工作很可能就属于到《数据安全法》所规制的内容了。
现在我们先来看一下《数据安全法》中的几个重点:
01
与众多法律法规和国际条约交叉或衔接
《数据安全法》虽然重要,但并不是我国出台的第一部与数据相关的法律法规文件。在此之前,已经陆陆续续出台了一些法律法规、规范性文件、和其配套的法规制度等。而对于数据安全合规的把控需要结合整个法律环境,只依据《数据安全法》一部法律是完全不够的。下表是对数据安全相关法律法规和国际条约的梳理。
表1
类型 | 名称 | 时间/效力状态 |
国际声明倡议 | 金砖国家领导人厦门宣言 | 2017 |
第五轮中德政府磋商联合声明 | 2018 | |
二十国集团领导人布宜诺斯艾利斯峰会宣言 | 2018 | |
中俄总理第二十五次定期会晤联合公报 | 2020 | |
二十国集团领导人利雅得峰会宣言 | 2020 | |
中国—东盟关于建立数字经济合作伙伴关系的倡议 | 2020 | |
全球数据安全倡议 | 2021 | |
中阿数据安全合作倡议 | 2021 | |
法律法规 | 民法典 | 现行有效 |
数据安全法 | 2021.09.01生效 | |
网络安全法 | 现行有效 | |
个人信息保护法(草案二次审议稿)征求意见 | 征求意见 | |
个人信息出境安全评估办法 | 征求意见 | |
个人信息和重要数据出境安全评估办法(征求意见稿) | 征求意见 | |
儿童个人信息网络保护规定 | 现行有效 | |
出口管制法 | 现行有效 | |
保守国家秘密法 | 现行有效 | |
反外国制裁法 | 现行有效 | |
地方性法规、政府规章、规范性文件 | 深圳经济特区数据条例 | 2022.01.01生效 |
贵州省大数据发展应用促进条例 | 现行有效 | |
贵阳市大数据安全管理条例 | 现行有效 | |
西安市政务数据资源共享管理办法 | 现行有效 | |
天津市促进大数据发展应用条例 | 现行有效 | |
天津市数据安全管理办法(暂行) | 现行有效 | |
天津市数据交易管理暂行办法 | 现行有效 | |
海南省大数据开发应用条例 | 现行有效 |
02
适用范围广、且含有必要的境外适用空间
机构是否成立在中国境内、机构的数据相关活动是否在中国境内开展等都不是判断是否适用《数据安全法》的标准。因为从境内角度来说,《数据安全法》是以数据的处理和安全监管这两种行为为规制对象的;而从境外角度来说,它是以行为后果为触发条件的。也就是说,境内的任何数据处理和安全监管行为均受《数据安全法》管辖,一些数据处理行为,即使是在境外发生的,但若损害到我国国家安全、公共利益、公民或组织合法权益的数据处理,则也受《数据安全法》管辖。
同时,这里的数据包括以任何形式记录的任何信息,处理则包括了收集、存储、使用、加工、传输、提供、公开等各种行为。
03
实行数据的分类分级管理
不只是《数据安全法》,在此之前出台的《网络安全法》等有关数据安全的法律中,也强调了对数据进行分类等级管理和保护的有效数据治理原则。根据目前的法律规定,数据的分类分级包括两种:法定分类分级和机构自行分类分级。
1. 法定分类分级
法定的分类分级是法律直接规定的数据种类和级别,不允许机构进行更改。目前数据的法定分类分级包括以下几种:
表2
种类 | 内容范围 |
国家核心数据 | 关系国家安全、国民经济命脉、重要民生、重大公共利益的数据。[1] |
重要数据 | 尚待“重要数据目录”和“重要数据具体目录”出台。[2]
目前可以参考: (1)2017年全国信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”。 (2)与机构业务和领域相关的行业标准或政策性文件,如中国人民银行《金融数据安全 数据安全分级指南》、工信部《车联网信息服务用户个人信息保护要求》、工信部《工业数据分级分类指南(试行)》、工信部《电信和互联网行业数据安全标准体系建设指南》等。 |
关键信息基础设施运营者在境内收集和产生的重要数据 | 经相关部门认定的公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要行业和领域的运营者所首届和产生的重要数据[3],例如: (1)广电网、电信网等基础信息网络所载数据; (2)智能交通系统、供水管网信息管理系统、银联交易系统、社保信息系统等所载信息; (3)政府门户网站等电子政务系统所载数据; (4)百度、阿里、腾讯等用户数量众多的网络服务商系统所载数据。 进一步的具体指导性文件和标准仍在制定中。 |
个人信息 | 与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[4] |
敏感个人信息 | 一旦泄露或者非法使用,可能导致个人受到 歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息[5] |
儿童个人信息 | 不满14周岁的未成年人的个人信息[6] |
2. 机构自行分类分级
对于无法归类到上述法定分类分级中的数据信息,机构可以参照其在经济社会发展中的重要程度以及遭到篡改、破坏、泄露或非法利用后可能造成的危害程度自行分类和分级。
04
限制特殊数据跨境流动
促进数据跨境流动的安全与自由是《数据安全法》确定的原则,因此在鼓励一般数据跨境流动的基础上,《数据安全法》对部分特殊数据的跨境流动设置了一定的限制和监管措施,主要可分为以下几类:
表3
种类 | 限制措施 |
在境内收集和产生的个人信息 | ● 境内储存[7] ● 满足下列前置条件,可向境外提供[8]; (1)向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项之后取得个人的同意; (2)通过国家网信部门组织的安全评估/经专业机构进行个人信息保护认证/按照国家网信部门制定的标准合同与境外接收方订立合同并监督 |
关键信息基础设施运营者在境内收集和产生的重要数据 | ● 境内储存[9] ● 向境外提供之前,需按照国家网信部门会同国务院有关部门制定的办法进行安全评估[10] |
其他数据处理者在境内收集和产生的重要数据 | 尚待国家网信部门会同国务院有关部门制定相关要求[11] |
出口管制物项的数据 | 被列入物项出口管制清单(《中国禁止出口限制出口技术目录》)的、与管制物项相关的技术资料等数据需要向国家出口管制管理部门提出申请许可后才能进行数据出境。[12] |
外国司法或者执法机构请求提供的、存储于中国境内的数据 | 需经相关主管机关批准才可提供[13] |
05
强调数据交易及市场秩序的合规性
1. 对于数据处理服务的资质要求
部分数据处理服务需依法取得许可证后才可提供[14],例如增值电信业务经营许可证、在线数据处理与交易处理业务经营许可证、网络文化经营许可证、互联网药品信息服务资格证、涉外调查许可证等。
2. 对于数据交易中介服务机构的责任要求
《数据安全法》明确规定了对接数据买方和卖方的中介机构需要负责的工作内容,包括要求数据提供方说明数据来源、审核交易双方的身份、留存审核和交易记录。[15]
3. 禁止不正当竞争和垄断行为
继2020年初的《<反垄断法>修订草案(公开征求意见稿)》和《国务院反垄断委员会关于平台经济领域的反垄断指南》对有关互联网这一数据市场平台的反垄断规则进行规定后,《数据安全法》也强调了不得通过非法方式获取数据或开展其它数据处理活动来排除和限制竞争。
06
强调对其他国家的反制措施
从一定角度来看,《数据安全法》同时也是中国家对于国际间数据主权竞争的一个正面回应。这不仅体现在法律起草和出台的时间与背景环境,还体现在法律正文中对于反制措施的明确规定,即如果其他国家和地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性措施,中国可以视情况采取反制措施。[16]而配合我国于今年6月10日出台和生效的《反外国制裁法》,反制措施包括了不予签发签证、不准入境、注销签证或者驱逐出境;查封、扣押、冻结在我国境内的动产、不动产和其他各类财产;禁止或者限制我国境内的组织、个人与其进行有关交易、合作等。
如今距离《数据安全法》生效已经不足两个月,公益机构应当如何来准备相应的合规工作呢?我们准备了一份To do list供大家参考。
Step 1-进行机构数据盘点,并建立分类分级制度
(1)将机构以往所有行政管理和业务活动所涉及到的所有数据(以下简称为“历史数据”)进行汇集。
(2)梳理历史数据,并在这一过程中了解机构运营所涉及到的数据类型、来源、使用方式、使用范围、使用平台、存储方法、存储地点、销毁方法等基本信息。同时根据所了解到的信息,按照前文第三部分“实行数据的分类分级管理”中所列出的类别对历史数据进行分类,并记录下所分的类别。
(3)根据机构的业务范围和近期的战略计划,检查记录的分类类别是否有需要删除或增加的,确认最终版本的机构数据分类。
(4)根据最终版本的机构数据分类制定“机构数据分类制度或指南”,在其中明确规定机构数据分为哪几类、各类别的定义和界定方法、数据分类和统计的负责人等。
Step 2-建立常态化、全流程的数据管理措施
(1)在完成数据分级分类制度或指南的基础上,结合数据的分类和分级搭建机构内部常态化和贯穿数据全生命周期的数据安全管理制度。该制度既要覆盖数据的收集、存储、使用、加工、传输、提供、公开等各个环节,同时还要为不同级别和种类的数据匹配差异化的管理措施,以确保各类数据的合规要求可以满足。
(2)采纳机构业务所涉及的行业通行的数据安全技术措施,确保满足该行业内容相关技术标准和组织管理标准。
(3)机构内部应当定期或不定期地组织开展数据安全教育培训活动
Step 3-建立特定场景的数据管理措施
(1)数据出境
首先,建立出境数据的内部识别审查流程机制和安全评估制度。审查和安全评估的重点主要集中在以下几个方面:数据出境的必要性和成本;数据的类型是否属于有法定出境限制的数据;数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险等。
其次,在上述审查和评估基础上,对是否出境进行决策。可考虑将数据出境作为机构“重大事件”之一,必须经理事会2/3以上投票通过方可执行。同时,根据各地方规定或机构自身的登记管理机关和业务主管单位要求需要就此涉外事项进行重大事项报告的,应当按要求进行审批或报备。
最后,在执行数据出境时,应当与数据接收方就数据的安全等事项签订协议,并监督对方按约定履行相关义务。如遇到任何问题或风险,应及时向相关部门报告。
(2)数据安全事件
加强风险检测,并提前制定在发现数据安全缺陷、漏洞时应当采取的处理方式、补救措施、人员责任,以及相应的向主管部门和所涉第三人进行报告的相关操作。
Step 4-调整合作策略
(1)筛选合作对象。开展涉及到数据内容项目时,机构对于合作对象的尽职调查和筛选标准应当增加以下内容:
- 对方是否为具有较高数据合规义务的主体,如国家核心数据运营者、关键信息基础设施运营者、重要数据运营者、或者其他有关对于经济社会发展非常重要以及对国家安全、公共利益、个人和组织合法权益有重大影响的数据运营者。
- 对方是否为需要相应资质的数据服务提供者,以及对方是否获得了相应的资质或许可证。
- 对方是否拥有完善的数据安全管理制度和措施。
- 对方是否为境外非政府组织或其他含有涉外因素的机构或个人。
(2)筛选合作项目或调整合作内容。开展涉及到数据内容项目时,机构应当考虑该项目所涉及的数据合规风险和成本来决定是否执行该项目,或对该项目的内容进行调整。考量的角度包括:
- 项目涉及的数据中属于具有较高合规要求的数据数量和比例,如国家核心数据、关键信息基础设施运营者在境内收集和产生的重要数据、一般重要数据、出口管制物品数据。敏感个人信息、未成年人信息等。
- 数据的来源是否透明且合法。
- 数据可否存储在境内,是否需要跨境。
(3)修改合作协议。
机构应当针对不同的合作对象和合作内容所涉及的数据类型,制定不同的有关数据处理的协议条款,加入到目前的合作协议模板中。
Step 5-注意相关配套规定和行业标准的出台及更新
目前《数据安全法》刚刚出台,其他相关的法律法规和配套规定仍在征求意见或制定当中。建议各机构对此以及自己业务所属的行业标准等多加关注,及时了解和学习新的要求,并据此对内部规章制度作出调整。
如果你是健康医疗、儿童福利、科研机构或境外非政府组织等公益细分领域,请期待本系列第二篇《给你所服务的公益领域一张针对性的数据安全体检清单》,我们将罗列《数据安全法》项下针对不同公益领域的合规具体要求。
相关索引:
[1] 《数据安全法》第21条第二段
[2] 《数据安全法》第21条第一段、第三段
[3] 《网络安全法》第31条、《网络安全审查办法》第20条
[4] 《个人信息保护法(草案二次审议稿)征求意见稿》第4条
[5] 《个人信息保护法(草案二次审议稿)征求意见稿》第29条
[6] 《儿童个人信息网络保护规定》第2条
[7] 《个人信息保护法(草案二次审议稿)征求意见稿》第36、40条
[8] 《个人信息保护法(草案二次审议稿)征求意见稿》第39、40条
[9] 《网络安全法》第37条
[10] 《网络安全法》第37条
[11] 《数据安全法》第31条
[12] 《数据安全法》第25条、《出口管制法》第12条
[13] 《数据安全法》第36条
[14] 《数据安全法》第34条
[15] 《数据安全法》第33条
[16] 《数据安全法》第26条