礼德公告|中国通过新的数据安全法
2021年6月10日,中国最高立法机关全国人民代表大会常务委员会通过了《中华人民共和国数据安全法》(“数安法”),该法将于2021年9月1日起生效。
这是中国首部综合性的数据安全法。数安法旨在规范有关任何种类数据的收集、储存、处理、使用、提供、交易和发布等各方面事务,这也是对2017年6月1日生效的《中国网络安全法》所作的重要补充。数安法将对中国的数据处理活动和业务经营产生深远的影响。本文将重点介绍一些会对在华经营或开展业务的公司产生影响的数安法新规。
域外效力
对于在中国境外的数据处理活动,如果损害中国的国家安全或公共利益或中国公民或组织合法权益的,那么数安法也会适用,并对其进行规范。因此,如果您处理在中国产生或收集的数据,即使不发生在中国境内,您也应当特别注意数安法的域外效力。
境外开展的调查和诉讼
数安法规定,基于任何外国司法机构或执法部门提出的要求而提供中国实体或个人在中国储存的数据的,须经主管部门的事先批准。违反规定的公司可能被处以最高500万元人民币的罚款,负责人可能被处以50万元人民币的罚款。
中国公司,包括在中国设立的外商投资企业,为参加境外调查或诉讼之目的,依赖于其他司法辖区法律下所允许的“隐私盾”,而将数据从中国传输至境外时应当谨慎。
数据的分类和分级保护制度
数安法基于特定类型的数据对中国的国民经济、国家安全和公共利益以及社会的重要性,以及安全事件所带来的危害程度,规定了数据分类分级管理和保护制度。
越是重要和核心的数据,越是受到更严格的管理和保护要求。尤其应当注意的是:
( i )
重要数据的处理者必须进行定期风险评估,并向主管部门提交评估报告。该等报告须包含所处理数据的类型和数量、对数据处理活动的描述,面临的数据安全风险及其应对措施等。
( ii )
国家对影响或可能影响国家安全的数据处理活动进行国家安全审查,依法做出的安全审查决定为最终决定。预计中国政府将适时制定并发布关于实施程序的更多详细规定。
( iii )与中国国家安全、国家利益或履行国际义务相关的特定数据可能被视为管制物项,并受到出口管制。
此外,数据安全法要求各地区和各部门针对具体地区或行业制定自己的重要数据保护目录。近期,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》,规定了汽车行业重要数据的范围。
数据本地化的要求
数安法重申了《中国网络安全法》对关键信息基础设施经营者在中国收集和产生的重要数据的本地化要求。如果关键信息基础设施经营者(如很可能被纳入关键信息基础设施经营者的金融科技、数据电信、基础设施和公共医疗行业等)未能遵守本地化要求,并向国外提供重要数据,主管部门可令其暂停或停止业务,甚至撤销其经营许可或营业执照。该关键信息基础设施经营者还可能面临最高1000万元人民币的罚款,其负责人则可能面临最高100万元人民币的罚款。
对于非关键信息基础设施经营者,数安法规定,国家互联网信息办公室将制定和发布单独的跨境传输规则,该等规则将适用于该等非关键信息基础设施经营者所收集和产生的重要数据。
对等的制裁措施
对于其他司法辖区在与数据和数据开发利用技术等有关的领域,针对中国相关的投资、贸易方面所采取的歧视性禁止、限制或者其他类似措施,数安法为中国政府采取对等的措施奠定了法律基础。
数据交易市场
根据数安法,国家将建立开发数据交易市场,改进并规范中国的数据交易管理。数安法规定,从事数据交易中介服务的机构应要求数据提供方说明数据来源,审核交易活动所涉及各方的身份,并妥善留存所有交易记录。
总之,新数安法的颁布将给在全球范围内经营业务并受制于多司法辖区的数据安全要求的公司带来更多挑战。
如果您对本文有任何问题或想了解更多详情,请联系如下作者或您经常合作的礼德律师。
殷之玥(Amy Yin)
礼德律师事务所上海办公室
合伙人
直线电话:+86 21 6032 3108
邮箱:ayin@reedsmith.com
胡佳鸣 (Chairmian Aw)
礼德律师事务所新加坡办公室
顾问律师
直线电话:+65 6320 5367
邮箱:caw@reedsmith.com
推荐往期阅读