中国网络安全与数据保护:关于《数据安全法》你所需要理解的关键内容
2021年6月10日,第十三届全国人大常委会三读通过《数据安全法》,该法将于2021年9月1日起施行。该法不仅对中国的数据安全实践意义重大,也将对处理中国数据的外国组织和个人产生深远影响。
本文重点介绍了该法的关键条款,并阐述了我们的观点。
背景
关键条款和我们的观察
1
关键概念和监管机构
《数据安全法》中的关键概念包括:
数据:是指为电子或非电子形式对信息的记录;
数据活动:包括数据的收集、存储、加工、使用、传输、提供、交易和公开;
数据安全:是指通过采取必要措施,保障数据得到有效保护和合法使用,并持续处于安全状态的能力。
不同部门根据地域和行业特点对本地区、本部门工作中的数据安全负监管职责。但是,该法并未没有明确界定这些权限的范围,这将使得不同部门间权力产生重叠。
中央国家安全领导机构负责与国家数据安全工作有关事项的决策和咨询,负责指导实施相关战略和政策。值得注意的是,该法的最终版提出了国家数据安全工作协调机制(“机制”),该机制将由中央国家安全领导机构建立。目前尚不清楚该机制将如何构建和运作。《数据安全法》规定该机制将协调有关部门(一)制定重要数据目录;(二)加强关于风险信息的获取、分析、研判、预警工作。
地方政府将负责地区的数据安全,各行业主管部门负责本行业的监管。公安机关和国家安全机关将承担监管职责。国家互联网信息办公室(“网信办”)负责统筹协调网络数据安全和相关监管工作。网信办和上述中央国家安全领导机构建立的协调机制都负责协调工作,二者职责似乎有重叠。
2
重要数据和核心数据保护
分级分类保护制度
《数据安全法》提出了分级分类保护的制度框架。该分级分类制度的依据为:(1)数据在经济社会发展中的重要程度;和(2)数据破坏、泄露或非法利用对国家安全、公共利益和个人合法权益造成的损害。地方政府和行业监管机构都应确定本地区、本行业、本部门的重要数据保护目录,目录中的数据将得到重点保护。
工业和信息化部(“工信部”)和中国证券监督管理委员会目前都发布了确定数据级别和类别的指南。根据工信部的指南,数据通常根据其在相关业务中的使用情况进行分类,而保护级别则由数据破坏、泄露或非法利用对行业的运营和经济影响来确定。
目前尚不清楚《数据安全法》之下的分级分类保护制度是否会遵循工信部这一做法,该法也未明确分级分类与监管机构和地方政府起草的重要数据保护目录的效力如何相互作用。此外,地方政府和行业监管机构发布的目录可能会产生冲突,而该法目前并未涉及如何解决此类冲突。
重要数据和核心数据
《数据安全法》终稿没有定义重要数据,也没有规定确定数据的级别或类别的规则。值得注意的是,该法引入了国家“核心数据”的新概念,即与国家安全、国民经济命脉、重要民生和重大公共利益相关的数据。核心数据将受到更严格的保护。
核心数据这一新概念的引入使得重要数据的概念更加不明确。一些法规和标准的草案曾尝试对重要数据作出定义。例如,在《数据安全管理办法(草案)》中,重要数据被定义为一旦泄露可能直接影响国家安全、社会稳定、公共健康和安全的数据,不包括公司经营管理信息和个人信息,但这一定义尚未被官方采纳。
《数据安全法》中核心数据的定义与上述重要数据的定义之间似乎存在实质性的重叠。立法机关或政府更有必要澄清重要数据和关键数据之间的界限。定义重合引发的一个重要问题是,重要数据的定义是否会涵盖某些不属于核心数据的不太重要的数据,这可能会扩大现在说提议的“重要数据”所涵盖的范围。
风险评估
重要数据的处理者须对数据活动定期开展风险评估,并向监管机构报送报告。报告应包括以下信息:重要数据的种类和数量;数据的收集、存储、加工和使用情况;数据安全风险和应对措施。
《数据安全法》定义了数据活动,但很遗憾的是没有定义数据处理者或数据处理行为。我们希望未来的实施细则能以与《民法典》等其他法律相一致的方式来对其进行界定。
数据安全负责人及管理机构
重要数据的处理者应设立数据安全负责人和管理机构以负责数据保护。该法目前没有进一步详细说明如何指定此职位的合适人员或规定其职责。
强调网络安全等级保护制度的重要性
网络安全等级保护制度(“等保”)是《网络安全法》所构建的关键网络安全保护制度。《数据安全法》强调,等保制度将构成履行利用互联网开展数据处理活动的数据安全保护义务的基础。随着《数据安全法》的颁布,我们预计有关等保制度的执法活动也会加强。
3
影响外国主体和外商投资的措施
国家安全审查
《数据安全法》提出了数据安全审查制度。根据该制度,影响(或可能影响)国家安全的数据活动将接受国家安全审查。该法没有明确规定进行安全审查的机构,也没有就如何评估数据活动对国家安全的影响提供指导。有趣的是,尽管这种制度通常是为了审查外国主体的数据活动而设计的,国家安全审查规则并没有将中国主体的数据活动排除在外。这项审查与其他国家安全审查制度之间的关系也未在该法中予以阐释。
出口管制
如果数据属于国家履行国际义务或为维护国家安全而被限制出口的范围,将受到出口管制的限制。《出口管制法》已于2020年12月1日起正式实施,该法规定管制物项包括技术资料等数据。
对不公平待遇的反制措施
如果任何国家或地区对中国在数据或数据开发利用技术方面的投资或贸易采取歧视性的限制、禁止或其他类似措施,《数据安全法》授权政府对该国家或者地区采取相应的反制措施。
向外国司法或执法机关提供数据
《数据安全法》规定,中国主管当局将根据国际条约和协定,或根据平等互惠的原则,处理外国司法机关或执法机关关于提供数据的请求。未经中国政府事先批准,任何组织和个人不得向外国司法或执法机关提供在中国境内储存的数据。该规定适用于在中国存储的任何数据,而不考虑控制数据的组织或个人的国籍。
跨境数据传输
《数据安全法》新增对关键信息基础设施的运营者在重要数据出境时须遵守《网络安全法》的要求。《网络安全法》要求关键信息基础设施的运营者在中国存储其在境内收集和产生的个人信息和重要数据。此外,网信办和其他部门将颁布关于非关键信息基础设施的运营者的数据处理者重要数据出境的法规。我们注意到关键信息基础设施的范围尚未确定。
域外效力
根据《数据安全法》,中国政府有权追究中国境外任何组织或个人进行危害中国国家安全和公共利益、损害中国公民或组织合法权益的数据活动的责任。该法没有具体说明如何对外国组织或个人执行这项法律,也没有具体说明由哪个部门来实施。该域外效力条款所涉及的范围有过于宽泛之嫌,在实践中可能难以实施,但这个概念在该法的终稿中仍然保留。
4
与个人信息保护法规界限模糊
《数据安全法》此前草案规定,个人信息处理活动必须符合个人信息保护法律法规的规定,明确将个人信息处理活动划在数据保护法的管辖范围之外。
但是,这一点在该法终稿中有所变化。该法规定,开展涉及个人信息的数据处理活动 “还”应遵守相关法律法规。《数据安全法》似乎意在将个人信息纳入其管辖范围。虽然该法对数据的定义隐含了个人信息,但立法机构和政府必须阐明《数据安全法》与个人信息法律法规,尤其是与即将出台的《个人信息保护法》的相互关系。
5
数据业务要求
数据处理服务提供商必须获得相关许可证。尚不明确哪些业务将依据该法被界定为数据处理服务,因此数据处理服务可能涵盖广泛的涉及处理数据的服务。《数据安全法》一审稿规定由电信监管机构管理许可证发放,但二审稿中删去了这一规定。由哪个部门负责进行许可,还有待观察。
该法还规范数据交易活动和市场。数据交易中介服务提供者必须要求数据提供者说明数据来源,审核交易方身份,并对审核或交易进行记录。
6
统一的数据安全机制
新《数据安全法》提出,国家将在全国范围内建立集中统一的数据安全风险评估和报告机制,共享相关信息,并提供监测预警。政府亦会建立数据安全应急处置机制,并由有关监管机构实施相应的应急处置措施、消除安全隐患、防止危害扩大、并向社会公众发出安全警示。
7
处罚
《数据安全法》的罚则包括责令改正、警告、对单位及其人员罚款,情节严重的,责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。单位和人员违反一般性规定的罚款上限分别为200万元和20万元。
值得注意的是,违反核心数据保护义务,将被处以200万元以上1000万元以下的罚款,并可被责令停业、吊销相关业务许可证或营业执照。
违反有关数据出境规定和向外国司法或执法机构提供数据的限制的行为,将受到更严厉的处罚。例如,严重违反数据出境义务可能面临高达1000万元人民币的罚款。
如需就相关法律进行咨询,欢迎联系以下律师或您在史密夫斐尔的惯常联系人。
史密夫斐尔律师事务所是领先的全球一体化综合性律所,在全球各主要司法辖区设有26家办公室,拥有约3000位律师。本所根植大中华区市场30余年,北京、上海、香港三个办公室拥有强有力的律师团队,对中国的商业文化有着细致深入的体会和理解,为客户提供高效、优质的全方位法律服务。
史密夫斐尔与上海市自贸区的科伟律师事务所正式联营,通过科伟史密夫斐尔联营办公室 (Herbert Smith Freehills Kewei (FTZ) Joint Operation) 提供中国法及外国法服务。