2021中国企业家法律风险报告 —— VII . 国家利益:数据安全“紧箍咒”
过去,数据问题一直停留在个人隐私与大数据杀熟等私权领域,但是由“滴滴出行”开始的中概股监管风暴,将数据安全上升到了国家安全层面。如今,互联网巨头及大型科技企业掌握了全民海量数据,不管是出海融资还是数据流通、使用,都容易触发数据对外泄漏的敏感神经,卷入国家利益的角逐战中。
从欧盟的GDPR,到美国的CCPA及中国出台《数据安全法》等一系列法规不难看出,世界主要国家都将数据权利上升到国家主权的高度。网络安全审查、数据安全对很多企业来说,正成为当下不可回避的底线问题。总体来说,企业需要关注以下三个要点,才能从容应对数据方面的国家安全问题。
一、数据收集:从“放肆”到“克制”
技术的迭代,突破了数据存储的瓶颈,在云计算时代,大数据手段的出现,使得多数企业对数据的态度都是先存下来再说,对数据只进不出、只收不删并长期保留。
但从已出台的《网络安全法》《数据安全法》,再到即将出台的《个人信息保护法》,其中一个共通的原则就是对数据的收集、使用要克制,在克制的前提下,企业要结合配套法规的规定,明确收集哪些个人数据是必要的,如果不能收集,就要有相应的取舍。
此外,如果已收集的数据存在安全风险,企业就需要主动采取措施来降低数据的敏感度,例如采取匿名化、去标识化,或者数据分区隔离等安全保护措施。不管是《数据安全法》还是正在酝酿推出的《个人信息保护法》,对违法行为的罚款都相当高昂,后者规定最高可处以5000万元或上一年度企业营收5%的罚款,不难预料,这种天价罚单在未来就会出现。
二、数据保护:从“静态”到“动态”
随着《数据安全法》出台,很多企业已能意识到数据保护的重要性,但不知道从哪里开始保护、无从下手。
首先,企业要建立数据安全相关的管理制度。找到相关法律规定与自身业务相关的内容,根据自身业务发展战略、IT战略、风险容忍度来制定相应的规章制度。企业高层要足够重视,并组织业务部门、法务部门、审计部门、网络技术部门等共同参与组成数据安全治理小组,统筹数据安全工作,形成定期汇报制度。在企业内开展员工培训,树立底线思维,比如如何管理数据?哪些数据能流出企业,哪些不能流出企业?用公司电脑来处理企业数据,还是可以用私人电脑来处理企业数据?
其次,企业要对数据进行分类、定级。把企业所有数据,根据重要性或者风险程度进行定级,对企业来说,如果有形资产都会严格按照会计标准分类,相应的,数据资产也需要明确地分类、定级,对最核心的数据进行妥当地保护。例如个人隐私信息、企业的图纸、程序源代码、生产工艺、配方等知识产权,企业的经营信息,上市公司没有发布的财务信息等,这些都属于企业重要的数据资产。同时,企业在经营过程中可能也会产生很多数据,包括内部的规章、流程、管理制度、员工通讯录,这些数据也需要分级、分类,并确定不同的保护级别。
最后,企业要采用技术手段来支撑相应的管理制度并执行分类、分级结果。尤其是互联网企业,因为业务变化快,收集数据迅速,具有裂变性,所以数据安全保护不是一锤子买卖,制度建设、数据分级分类就要为未来业务留下空间,形成持续动态的保护模式:数据安全制度是一套动态的风险管控措施,数据的价值在于流动,流动的目的在于共享,进而对数据分析、使用,数据才有价值,所以为了保护单纯地把数据“圈”起来也没有价值。
三、数据审查:从“单一”到“综合”
《网络安全法》《数据安全法》及配套规定措施对数据跨境都做了详细规定,企业在数据出境前应当主动做好四个方面的工作:一是,企业要评估出境数据的性质,是否包含个人信息、重要数据、人类遗传资源信息、人口健康信息等受到我国法律法规出境限制的数据类型。二是,如果涉及上述类型数据,就需进一步分析是否具有境内存储的强制性要求,或需要按照相关法律法规规定向相关主管部门申请审批或备案。三是,通过上述审查后,数据出境前还需要依照相关规定进行安全评估。四是,通过安全评估的,涉及个人信息的,出境前还需获得数据主体的授权同意,并与境外接收方签订协议约定双方的权利义务和数据保护责任等。
除了数据跨境,网络安全审查正在成为执法常态。2021年7月10日,网信办官方网站公布了《网络安全审查办法(修订草案征求意见稿)》(以下简称“意见稿”),意见稿从申报网络安全审查的主体,到审查机制相关单位,再到审查范围、审查门槛、申报材料、审查重点和考虑因素等都做出了重大调整,进一步揭示了国家对于网络安全和数据安全的重视程度。意见稿适用对象包括关键信息基础设施运营者以及数据处理者。其中的数据处理者为新增主体,因此即使企业不落入或者不确定是否落入关键信息基础设施运营者范围,若开展数据处理行为影响或可能影响国家安全,也能落入意见稿的监管范围。
而所谓的关键信息基础设施运营者(CIIO)包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益的单位或企业。纵观国内各行业的互联网头部公司,它们提供的服务要么涉及地理信息、地图数据、人口信息、自然资源或者涉及经济数据信息,所以都可能被定位为CIIO。除了这一定性规定,意见稿也提出了定量规定,即掌握超过100万用户个人信息的运营者赴国外上市,也需要主动申报审查,换句话说,掌握海量数据的头部互联网企业也都符合这一定义。
虽然这一要求仅针对企业上市,但也能看出掌握100万用户个人信息的企业(数据处理者),是进行网络安全审查的一个关键标准。此外意见稿将证监会加入网络安全审查工作机制,使参与审查的部委扩大到了13家,由此网络安全审查的重点从采购活动进一步扩展到数据处理活动和国外上市。
意见稿的实施为时不远,可以看出其强调的是核心数据、重要数据的出境安全,也更强调关键基础信息设施的网络安全和数据安全,这些措施有助于构建一个稳定安全的产业发展环境,维护国家安全。虽然核心数据、重要数据的具体认定目前仍存在模糊地带,但相关企业无论体量大小,都需要认真对待网络安全审查。因为对于数据企业而言,最大的不确定性即为行政执法和政策的不确定性。
数据成为新的生产要素已是不争的事实,数据的获得和使用成为决定一个国家经济发展的关键资源。数据也是新的权力来源,数据的流通和管控可以成为影响国际政治关系的新的战略武器,谁掌握了全民数据,谁便掌握了这项“特权”。
传统国际贸易体系和国家治理体系,已不适应数据时代的新要求,崭新的数字化国际规则和国内法律体系正在酝酿,对于企业而言,要敬畏这项新权力,只有认真履行相应义务,树立国家安全观念,将企业利润置于国家利益之下才能行稳致远。
(扫描图中二维码即可下载)