数据安全立法架构的基本确立——《数据安全法》八大要点解析丨威科先行
作者丨刘新宇、吴豪雳
中伦律师事务所
* 本文为威科首发文章,转载请注明
2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数据安全法》”或“正式稿”)由第十三届全国人民代表大会常务委员会第二十九次会议表决通过,将于2021年9月1日正式施行。自2020年6月28日,《中华人民共和国数据安全法(草案)》(以下简称“《草案一审稿》”)提交第十三届全国人大常委会第二十次会议进行初次审议,到2021年4月《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“《草案二审稿》”)提交至第十三届全国人大常委会第二十八次会议二次审议,再到此次表决通过,历时仅逾1年。
《数据安全法》全文共七章,合计五十五条,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展,规定了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放等内容。作为我国数据安全领域的基础性法律,《数据安全法》基本确立了我国数据安全立法的基本架构。接下来,我们将结合《草案一审稿》及《草案二审稿》对《数据安全法》进行逐条解读,以期帮助大家更好地了解《数据安全法》的重点内容。
要点一、明确了《数据安全法》的适用范围
就适用范围而言,《数据安全法》第二条基本沿袭了《草案一审稿》和《草案二审稿》的规定,不仅明确《数据安全法》适用于在中国境内开展的数据处理活动,亦赋予了《数据安全法》必要的域外适用效力,即对于在中华人民共和国境外开展的、损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的数据处理活动,我国也会依法追究其法律责任。赋予《数据安全法》必要的域外适用效力,符合当前数据竞争背景下通过国内立法扩张数据安全方面的管辖权的国际潮流,有利于提高我国在国际数据竞争中对数据活动的掌控力和话语权,维护我国的数据主权完整和数据利益。
同时,《数据安全法》第三条对适用范围中的“数据”“数据处理”等关键概念进行了明确定义,基本同《草案二审稿》一致。在数据的定义上,《数据安全法》将包括电子形式和其他形式的数据都纳入监管范畴,填补了既有立法的空白点,有助于开展针对非网络空间的数据活动的监管。在数据处理的定义上,《数据安全法》采取了“列举+兜底”的形式,明确了数据处理活动包括数据的“收集、存储、使用、加工、传输、提供、公开”等,与《民法典》中“个人信息的处理”的定义相对应。
要点二、初步规划数据安全管理工作的顶层设计和监管分工
考虑到数据安全管理工作对于维护国家数据主权,提升国家数据核心竞争力的重要意义,如何在数字时代规划数据安全管理工作的顶层设计和监管分工,保障数据安全管理工作有效开展亦是《数据安全法》需要回应的话题。基于此,《数据安全法》对数据安全管理工作的顶层设计和监管分工进行了初步规划。
在顶层设计上,《数据安全法》第五条规定,“中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。”由于几乎所有监管部门都需要履行一定的数据安全管理职责,如何协调各部门之间的数据安全工作亦成为需要规划的重要问题。相较于《草案一审稿》和《草案二审稿》,正式稿首次提出了“国家数据安全工作协调机制”,并将统筹重要数据目录制定(第二十一条)、统筹数据安全风险信息的获取、分析、研判、预警(第二十二条)的职责明确由国家数据安全工作协调机制实施,有利于从宏观层面避免各部门间的“争相管辖”或“互相推诿”,提高数据安全管理效率。
在监管分工上,《数据安全法》第六条基本确立在集中领导下各部门、各地区分工负责的管理模式,具体体现为国家网信部门统筹网络数据安全监管+公安机关、国家安全机关依职责监管数据安全+各地区、各部门承担主体责任+各行业主管部门承担本行业监管职责,强调了数据安全管理工作的统一性,也兼顾了各地区、各部门和各行业的差异性。当然,实践过程中各地区和各行业主管部门之间的权责如何分配和协调还有待监管实践进一步探索。
要点三、完善数据分类分级保护制度
《数据安全法》在《网络安全法》第二十一条提出的“数据分类”要求的基础上,进一步从法律层面完整地提出了数据分类分级保护制度。实践中,数据分类分级有利于最大程度地平衡数据安全和数据利用,最大限度地释放数据价值。正式稿延续了《草案二审稿》对于分类分级的基本架构规划,明确了站在国家角度、自上而下的数据分类制度将成为我国数据安全的基本性制度。
具体而言,一方面,《数据安全法》明确了由国家数据安全工作协调机制统筹、协调重要数据目录的制定工作,解决了《草案一审稿》直接将重要数据的管理权限下放到各地方和各部门,可能带来的地区之间、部门之间划分标准的冲突问题;亦解决了现行有效规定中多数采取由企业自主进行数据分类分级,导致企业自主划分时优先考虑保护自身利益而非关注数据安全的问题。另一方面,在国家制定重要数据目录的基础上,《数据安全法》明确由各地区、各部门在其职权范围内确定各自地区、行业或领域的具体目录,这有助于在统一的基准之上进一步提高各地区、各部门以及各部门监管的相关行业、领域实施重要数据保护的颗粒度和针对性,有利于重要数据保护工作的有序开展。
要点四、明确重要数据的监管要求
在《网络安全法》在法律层面首次提到“重要数据”的相关保护要求以来,重要数据的范围、识别和具体保护要求,一直是颇受业界关注的问题。《数据安全法》在《网络安全法》的基础上进一步明确了重要数据的监管要求,志在加强重要数据保护,有效维护国家安全及社会公共利益。
就《数据安全法》单独针对重要数据提出的具体保护要求来看,主要包括明确数据安全负责人和管理机构(第二十七条)、定期开展风险评估并报送风险评估报告(第三十条)、实施出境安全管理(第三十一条)等。当然,若重要数据的处理活动影响或可能影响国家安全或“重要数据”属于管制物项的,也需要遵守数据安全审查制度和数据出口管制的要求。
尽管《数据安全法》并未给出“重要数据”的界定方法,但结合《数据安全法》第二十一条对重要数据目录的制定要求,考虑到不同行业、不同地区对“重要数据”的认定可能存在较大差异,重要数据的识别和界定方法或可能将更多由各部门、各地区通过出台部门规章、地方法规规定。例如,近日出台的《汽车数据安全管理若干规定(征求意见稿)》第三条即对汽车行业的重要数据进行了界定。但该等做法是否会进一步延续还有待后续立法实践观察。
要点五、明确了数据安全审查制度
《数据安全法》立法的一大亮点是在第二十四条规定了数据安全审查制度,对影响或可能影响国家安全的数据活动进行国家安全审查。数据安全审查制度的审查范围和重点是“是否影响或者可能影响国家安全的数据活动”。考虑到数据在国际竞争中的地位和作用,数据安全审查对于捍卫国家数据主权,维护数据安全有重要意义。此外,《数据安全法》亦明确“安全审查决定”为最终决定,这意味着数据安全审查的决定一经作出即告生效,企业或可能没有相应的救济途径,这也侧面体现了数据安全审查的重要性。
对于数据安全审查的审查主体、审查流程、审查内容等方面,《数据安全法》未进行具体规定,应会通过后续的具体配套规定予以明确。可供类比的是,《网络安全法》第三十五条提出了“网络安全审查”要求,后续监管部门即基于此出台了《网络安全审查办法》。基于此,建议企业审慎关注后续配套规定的立法进展。
要点六、建立健全数据交易管理制度
作为数字时代的重要战略资源,数据具有相当的商业价值。《数据安全法》第十九条明确了建立健全数据交易管理制度的要求,体现了国家对合法数据交易的支持,或将有利于推动数据的挖掘和利用,促进数据流动,最大限度地实现数据商业价值的最大化。
同时,《数据安全法》第三十三条从事数据交易中介服务的机构提出了具体的管理要求,明确其应要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。实践中,数据交易一般在大数据交易所和企业自主运营的数据交易平台进行,由于在法律层面缺乏对数据交易中介服务机构的直接监管规定,各中介服务结构的数据保护水平参差不齐,数据交易发展相对较为粗放。《数据安全法》第三十三条体现了国家约束、规范数据交易中介服务机构,促进数据交易发展的决心,或有利于推动数据交易合法合规发展。
要点七、规定跨境数据流动的监管要求
在数字时代,数据跨境流动愈发常态化,由于数据跨境流动往往涉及到各国的网络空间主权、数据主权和数据安全,实践中一直是各国进行数据立法时重点关注的部分。《数据安全法》用多个条文对跨境数据流动进行了规制,进一步明确了在跨境数据流动中的监管要求,具体如下:
条文序号 | 内容 |
第十一条 | 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动 |
第二十四条 | 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定 |
第二十五条 | 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制 |
第二十六条 | 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施 |
第三十一条 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 |
第三十六条 | 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 |
整体而言,我国在鼓励跨境数据流动的基础上,规定了数据安全审查、数据出口管制、重要数据出境管理、对等反制措施的要求,并明确了针对向境外司法或执法机构提供数据的监管要求。
其中,第三十六条自《草案一审稿》出台以来就受到各界广泛关注。就对向境外司法或执法机构提供存储于中国境内的数据的监管,正式稿的措辞较《草案一审稿》明显加强。“非经批准不得提供”意味着如果不遵照该规定而向境外执法、司法机构提供数据,将明显违反法律的禁止性规定,有助于更好地封堵境外机构的长臂管辖。同时,《数据安全法》第四十八条明确规定了未经主管机关批准向境外的司法或者执法机构提供数据的罚则,为境内的组织、个人拒绝境外司法或执法机构提出的不合理要求提供了更充足的依据。
考虑到跨境数据流动相关监管要求对企业的影响,建议企业尽早做好相关筹划和合规安排,避免因数据流动受限影响正常业务开展,或因违反跨境数据流动的监管规定受到行政处罚。
要点八、规定了相对严苛的行政处罚标准
《数据安全法》第六章规定了相对严苛的法律责任和行政处罚标准,这既体现了立法层面对数据安全问题的重视,也有利于对组织和个人进行相应的威慑。就具体的行政处罚措施而言,包括责令改正、警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。就处罚对象来看,既包括开展数据处理活动的组织、个人,也包括组织中直接负责的主管人员和其他直接责任人员。
《草案一审稿》出台之时,学界和业界均普遍认为设置的行政处罚标准过轻,企业不履行数据安全保护义务的违法成本相对较低。基于此,《草案二审稿》大幅加重了不履行数据安全保护义务的法律责任,提高了罚款金额上限、扩大了处罚对象的范围,并大幅加重了责任形式。而相比较《草案二审稿》,正式稿进一步提高了行政处罚标准,大大增强了对组织、个人能够起到的威慑作用。
就《数据安全法》第六章规定的处罚标准而言,《草案二审稿》规定的罚款金额上限为五百万元,正式稿则一举将这一上限提高至一千万元。企业若违反国家核心数据管理制度且危害国家主权、安全和发展利益(第四十五条),或向境外提供重要数据且情节严重的(第四十六条),则可能面临顶格一千万元的罚款。同时,对于直接负责的主管人员和其他直接责任人员,其可能面临的罚款金额上限亦从五十万元提高至一百万元。在违规成本显著提高的情况下,企业或需要在合规上下更多功夫。
结语
在长时间的等待之后,《数据安全法》终于“千呼万唤始出来”。作为我国数据领域的基础性法律,《数据安全法》对于护航数据安全,助力数字经济发展具有重要意义,其相关规定对于企业在经营过程中开展的相关数据处理活动亦可能产生重大影响。同时《数据安全法》第五十五条明确该法将于2021年9月1日起正式施行,留给企业进行合规筹划和调整的时间已经不多。考虑到《数据安全法》项下的违法成本相对较高,建议企业应结合《数据安全法》的相关条文,充分梳理业务开展过程中既有数据活动的合规性,并及时做好相应的合规安排。
作者简介
刘新宇律师
中伦律师事务所合伙人
金融创新和金融科技行业组牵头人。刘律师的业务领域为网络安全和数据保护、中国内地资本市场、金融产品、诉讼仲裁,擅长的特色行业为金融行业、通讯与技术。刘律师深刻理解数据与隐私保护、网络安全对现代商业的全方位影响,熟悉各种不断涌现的业务场景,并能从企业运营战略的角度为客户提供该领域的“一站式”法律服务。
吴豪雳
中伦律师事务所
在金融科技、网络安全与数据保护、投融资等领域具有丰富的执业经验,自执业以来曾为国内诸多金融机构、互联网企业、科技企业提供法律服务,服务内容主要涵盖日常合规、法律尽职调查、商业模式合规性论证、法律文本撰拟与审核、数据合规与隐私保护等。
威科先行丨网络安全合规模块
集合法规案例查询、更新信息接收、实务问题解决,为您提供全方位实务资源支持,助力您洞悉网络安全精髓,自信决策,合规经营。
申请试用
威科先行丨网络安全合规模块
长按并识别左侧二维码
WHEN YOU HAVE TO BE RIGHT.
想了解更多关于「威科先行」的产品和信息
欢迎长按下方图片,添加「小威」为微信好友