【实务导师谈形势】安全审查背景下的《数据安全法》企业合规实务
作为“沪航”贸易高质量发展项目的一部分,我们将持续发挥“国际经贸人才实训平台”的优势与作用,邀请各个领域经验丰富的实务导师,在上海市商务委员会的指导下,于“上海公平贸易“公众号和”法嘉LAWPLUS“公众号上开设“实务导师谈形势”专栏,结合国际最新动态及热点事件焦点通报,为企业提供第一手的法律合规指导。
欢迎大家关注、转发。
2021年6月10日,作为我国首部数据领域专门性立法的《数据安全法》正式出台并将于2021年9月1日起生效实施。2021年7月2日,网络安全审查办公室启动对滴滴出行的网络安全审查。2021年7月4日,国家互联网信息办公室(“网信办”)发布责令下架滴滴出行APP的决定。2021年7月5日,网络安全审查办公室启动对运满满、货车帮、BOSS直聘的网络安全审查。2021年7月10日,网信办公布《网络安全审查办法(修订草案征求意见稿)》(“《网络安审办法(征求意见稿)》”)。结合近期系列网络安全审查案件及《网络安审办法(征求意见稿)》的相关修订内容(例如将数据处理者的数据处理活动纳入安审范围等),不难看出数据安全已经和网络安全紧密关联,成为安全审查中非常重要的合规风险关注点。在网络安全审查已经开始发威并逐渐强化完善、国家对网络安全和数据安全的监管愈发严格的背景下,数据安全法及相关配套的数据安全审查制度势必会对企业的数据行为产生深远影响。有鉴于此,本文拟简要分析《数据安全法》所涉及的部分重点实务问题,为企业的相关业务布局提供合规建议。
一、个人信息保护是否落入《数据安全法》的监管范围?
《数据安全法》第53条明确规定了处理个人信息也须满足《数据安全法》的相关规定。从近期网信办针对滴滴、满帮集团和BOSS直聘的网络安全审查案来看,个人信息保护的合规业已和国家层面的网络安全、数据安全紧密关联。
以跨境电商的场景为例,数据安全合规评估(包括安全审查)的重要考量因素包括(1)上市地(如适用);(2)网络安全及数据服务方面的供应商;(3)数据链路;(4)数据处理的方式、方法(如明文、加密、去标识化等);(5)服务器所在地;(6)业务性质(to B、to C或to G);(7)电商销售的产品种类等。除境外上市主体外,控制或运营境外电商平台的境内关联实体(特别是管理运营企业内部大数据中台的集团公司)也在《数据安全法》的强势监管视野内。
另须注意的是,《个人信息保护法(草案)》将可能在今年内完成第三次审议并正式出台,未来个人信息保护还须严格遵守《个人信息保护法》及其配套规则的具体规定,并遵循先前颁布的《信息安全技术个人信息安全规范》等国家标准。
二、如何理解《数据安全法》中数据安全审查制度的适用范围?
结合《数据安全法》的条文表述及近期对滴滴、满帮集团等多家企业的网络安全审查,数据安全审查的适用范围将涵盖全链路、全周期的数据处理行为(如收集、传输、共享、融合等),并与网络安全审查紧密相关。同时,专门的数据安全审查办法目前仍在研究制定过程中,并可能在未来与网络安全审查制度并行适用。
针对现阶段的执法特点,相关企业须关注如下要点:
(1)从行为角度看,数据跨境及供应链安全(既包括采购安全,也包括最终用户、最终用途的安全等)是目前数据安全及网络安全审查的最突出关注点;
(2)从行业角度看,客运、货运等泛交通运输物流、汽车、金融、医疗健康、AI及大数据等行业是本轮安全审查执法的行业聚焦;
(3)从资本市场的角度看,短期内敏感行业的企业海外上市可能会遭到较大阻力(例如汽车、人工智能、大数据、信息通讯等领域的企业),而拟上市企业须谨慎评估境外上市所触发的安全审查之风险(例如《网络安审办法(征求意见稿)》规定掌握超过100万用户个人信息的企业海外上市必须报经网络安全审查办公室批准);
(4)从执法对象来看,数据安全及网络安全审查已不仅仅针对《网络安全法》下所规制的关键基础设施运营者(“CIIO”);
(5)从程序角度看,现阶段主要以依职权启动调查为主,但强烈建议企业在必要情况下应主动履行安全审查的申报义务(如赴美上市、或在合规自查中发现潜在安全风险等情况)。
三、实务中如何落实《数据安全法》中的分类分级义务?
数据分类分级并不是行业内全新的概念。金融业、工业、电信业等行业主管部门先前均出台过相关的规章或行业标准等。针对已经存在数据分类分级指南指引的行业,相关企业可以根据业务实际情况并结合相关指南指引的要求,部署内部数据的分类分级。
针对尚未出台专门分类分级指引的行业,相关企业应首先根据不同的业务线、业务板块,全面系统地梳理数据资产,将不同性质的数据进行分别的归类管理和保护。例如对于跨境电商企业来说,涉及消费者的地址、寄送物品、运输工具等的地理位置信息(包括位置追踪),应与涉及消费者的姓名、电话、消费记录等一般个人数据进行隔离部署。根据我们的经验,对数据进行分类通常应考虑如下因素:(1)数据的性质(例如在跨境技术合作的场景下,由于数据之于技术的附着性,合规评估须考虑技术本身是否可能存在如出口管制、国家安全等相关风险);(2)数据的敏感程度(例如在跨境货物买卖的场景下,货物流通的位置数据等即较为敏感);(3)数据处理的方式;(4)数据的数量等。
四、实务中如何界定“重要数据”及“核心数据”?违反相关“重要数据”和“核心数据”管理规定的法律后果是什么?
重要数据也并非行业内全新的概念。早在2017年网信办公布的《信息安全技术数据出境安全评估指南(征求意见稿)》中,附录A就明确针对27个行业提供了重要数据的示例。今年5月网信办公布的《汽车数据安全管理若干规定(征求意见稿)》则给出了汽车行业中重要数据的范围。虽然重要数据的识别目录还有待国家相应主管机构后续进一步明确,但我们建议企业应结合行业特性、业务特征和数据链路等因素,对可能的重要数据进行初筛。有必要指出的是,个人信息(例如指纹、声纹、虹膜等敏感个人信息或达到一定数量的个人信息等)、企业的研发信息(要根据研发场景的敏感程度具体判断)也可能构成重要数据。
核心数据作为《数据安全法》提出的全新概念,其重要程度及保护力度比重要数据的要求更高。目前可以明确的是,涉及国家秘密、军事情报秘密及公开可获得的信息应当不属于核心数据。企业可以综合(1)具体业务所处的行业(例如大数据及人工智能等);(2)数据的敏感程度(例如人类遗传资源等基因数据是很敏感的);(3)相关技术及数据是否落入出口管制的范围(例如《中国禁止出口限制出口技术目录》等相关规定中所列的技术及相关数据)等角度进行评估,并在必要时寻求监管部门的窗口指导。
有必要指出的是,《数据安全法》对于违反重要数据合规义务和核心数据管理制度的规定是较为严格的。违反重要数据相关合规义务的,企业可能面临最高一千万元的行政罚款,并可能被责令暂停相关业务、停业整顿乃至吊销相关业务许可证或者吊销营业执照。违反国家核心数据管理制度的企业除可能面临(1)二百万元以上一千万元以下的罚款;(2)责令暂停相关业务;(3)停业整顿;(4)吊销相关业务许可证;(5)吊销营业执照等行政处罚外,还可能被依法追究刑事责任。
五、对于跨国企业而言,境内数据是否能够传输或共享给境外母公司?
从目前《数据安全法》的条文来看,数据本地化的监管逻辑仍因遵循《网络安全法》的思路,即主要由CIIO承担数据本地化、履行跨境传输事前安全评估等义务。基于当前法律法规的完善,安全评估义务甚至安全审查的申报或调查的启动不会仅仅限于约束CIIO。例如涉及中美之间的数据跨境流动(包括集团内部的数据共享、中美企业的合资合作交易等)将较为敏感。因此,跨国企业能否将境内数据合规地共享给境外母公司须结合其所处的行业、处理的数据性质、数据的敏感程度及数据的处理数量等因素进行综合考量。
六、当境外执法或司法机构要求企业提供中国境内的数据时,企业应履行什么合规义务?
《数据安全法》明确规定了企业未经境内主管机关批准,不得向外国司法或者执法机构提供中国境内的数据。例如对于银行金融机构而言,可能经常面临境外执法机构要求配合提供反洗钱、反腐败合规相关的信息资料。再例如境外数据保护监管机构可能要求企业提供其向中国传输数据或通过中国服务器处理数据的情况(例如近期俄罗斯正部署执行针对俄罗斯境外公司数据使用情况的调查,可能会对涉俄罗斯的跨境电商企业产生一定影响)。
根据《数据安全法》的相关规定,企业如果不遵守向中国主管机关报批义务而擅自向境外司法或执法机构提供境内的相关数据,则不但面临最高500万的罚款,还可能面临暂停某项业务甚至停业整顿等行政处罚的风险。因此,相关企业应高度重视向中国主管机关申请事前批准的合规义务,并保持与监管部门的充分沟通、听取监管部门的指导意见。
实务导师介绍
顾正平律师
北京安杰律师事务所
合伙人
顾正平律师是北京安杰律师事务所创始合伙人,迄今已有超过23年的专职律师经验,服务过上百家全球500强企业和大型国有企业、领军民营企业等。在创办安杰前,顾律师为中伦律师事务所合伙人。在加入中伦前,顾律师曾在年利达(Linklaters)、安理(Allen &Overy)等国际顶级律师所以及国内其他大型律师事务所长期执业。
顾律师专注于反垄断和反不正当竞争、政府监管与合规以及跨境投资并购等业务领域。顾律师是极少数在反垄断和公司并购、合规、TMT等多个执业领域被国际主流法律评级机构(如:钱伯斯、Who’s Who Legal法律名人榜、Legal 500、AsiaLaw等)评定为“顶尖律师”或“推荐的领先律师”的中国律师。
顾律师在国内外权威杂志上发表了很多关于反垄断和合规、公司并购等法律方面的专业文章,受到极大关注并被广泛转载、引用。顾律师为《商法》、《亚洲法律杂志》、《中国律师》、《竞争政策研究》、《财新》及Competition Policy International, 律商联讯、威科等中外法律和财经媒体长期供稿。
往期文章链接🔗:
近期热点活动
2021年度·卓越法务与合规精英班招生简章
全明星天团!剧透2021年度的卓越法务与合规精英班导师阵容!
“沪航”贸易高质量发展之出口管制专题培训顺利举办
数字经济与全球数据治理系列研讨会成功举办
近期热点文章
总法嘉谈 | 自觉带来自由
@律师们,你期盼的“芝麻开门”全明星导师团队来了!
你必须成为自己的首席执行官
从“心智成长”到“总法的365天”,职场进阶之路,你准备好了吗?
【实务导师谈形势】从康文森案看我国行为保全制度下的“禁诉令”