《数据安全法(草案)》解读与企业合规义务
目前,数据要素已经成为国家基础性和战略性资源,数据安全已经成为国家安全不可或缺的组成部分,为了应对数据可能带来的非传统领域的国家安全风险与挑战,切实维护和确立国家数据主权、安全和发展利益,2020年6月28日,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下简称“《草案》”)进行了审议,并面向社会公众征求意见。
本文将就《草案》做部分解读,以期帮助企业了解《草案》的立法精神,梳理合规要点,厘清合规义务。
《数据安全法(草案)》解读
一、《草案》与其他法律存在区别
《草案》侧重数据安全,维护国家利益,兼顾数据保护和利用,属于国家安全法律体系的一部分。
《网络安全法》侧重于保护网络空间安全,主要从关键信息基础设施相关的数据、重要数据、个人信息等方面对网络运营者进行规制。因此,《网络安全法》也和《草案》存在部分交叉和重叠:比如,《草案》涵盖了《网络安全法》个人信息以及记录信息的所有数据。
而即将出台的《个人信息保护法》则侧重于对个人信息的保护。
二、《草案》确立了多部门监管的监督体系
《草案》第六条:中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。
《草案》第七条:各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。
工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规 的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《草案》确立了多部门监管、交叉协作的监督体系,最上层由中央安全领导机构负责数据安全工作的决策和统筹协调;其次,公安机关、国家安全机关、国家网信部门在各自职责范围内承担数据安全监管职责;再次,工业、电信、自然资源、卫生健康等行业主管部门承担本行业、本领域的数据安全监管职责。最终形成部门、行业组织、企业、个人共同参与的数据安全保护工作的大环境。
三、《草案》调整范围扩大
《草案》将数据定义为一切对信息的记录,将数据和信息进行了区分。《草案》调整的“数据活动”包含数据处理的全生命周期,同《民法典》中关于个人信息处理的规定基本一致。但需要注意的是,既然《草案》采取列举式定义法,那么应当尽可能全面地列举可能出现的数据处理活动,比如数据的“共享”、“删除”及“销毁”这几种典型的数据处理活动,建议后续对数据活动的列举能在现有的基础上进一步完善,加入“共享、销毁、删除”等典型数据活动情形保证数据在全生命周期内得到保护,为企业合规落地提供更多的确定性。
四、《草案》规定了特定或者说有限的域外效力
《草案》第二条:在中华人民共和国境内开展数据活动,适用本法。
中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
《草案》仅规定了在境内开展数据活动适用本法,虽然规定了“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”,但依然不同于严格意义上的域外效力,而仅属于以“后果论”的具有特定的或称有限的域外效力。
与之相比,欧盟《一般数据保护条例》(GDPR)的域外效力注重“行为论”,即GDPR不仅在所有成员国范围内直接具有法律约束力,而且明确规定,境外的企业,但凡涉及处理欧盟公民的个人信息,均受到GDPR的规制。GDPR正是因为有强大的域外管辖效力,而引起全世界各国的高度重视。
与此同时,《草案》并没有对“境内开展数据活动”进行定义,在具体执行方面可能会遇到障碍。比如:一家外国公司运营的网站出现数据泄露,其中包括其在中国客户的信息和资料。但这家外国公司的主要营业机构、存储服务器均不在国内,是否应当受到《草案》的管辖?
《信息安全技术数据出境安全评估指南》(以下简称“《指南》”)就“境内开展业务”做出了规定:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。
虽然《指南》已就“境内开展业务”的定义做出了初步的界定,但《指南》法律层级较低,在实际操作的过程中存在适用效力的问题,此外“境内开展业务”与“境内开展数据活动”仍不能完全划等号,因此建议《草案》对在“境内开展数据活动”进行定义,以明确受规制的数据活动内容,减少争议。
五、《草案》支持政务数据的开放与利用
《草案》第四十条:具有公共事务管理职能的组织为履行公共事务管理职能开展数据活动,适用本章规定。
《草案》第三十四条、三十五条、三十六条对国家机关收集、使用、运用数据的行为、能力提出要求;
第三十七条对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务做出规定;
第三十八条、三十九条要求国家机关按照规定及时准确公开政务数据,制定开放目录,构建互联互通、安全可控的开放平台。
目前政务数据依然存在着数据利用率低、对接渠道不精准、存在信息孤岛、平台未打通等现象,不能最大程度地利用政务数据,服务企业与社会。《草案》对于政务数据的开放,回应了近年各地方关于政务数据资源共享、公共数据开放与管理、大数据发展应用等的立法需求,有利于促进政府数据的开发和利用。
六、《草案》强调对数据的出口管制
《草案》第二十三条:国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。
对于国际争议解决案件中的中国当事人,《草案》将成为企业不提供数据的合法依据,虽然在其他法律法规中对此类问题进行了间接规定,但《草案》总体还是从更高的法律层级上填补了这方面的空白。但需要注意的是,《草案》未说明哪些数据属于出口管制物项,也未明示针对数据出口管制有哪些具体措施。在贸易领域的出口管制,一般来说管制物项是与履行国际义务和维护国家安全相关的,需要获得许可后才可出口,数据的出口管制是否可以进行类比?《草案》对此还未做出回应。此外,对于需要向哪个机关申请数据的出口许可,《草案》也没有给予答案,建议在《草案》后续的调整过程中对此点也予以明确。
七、数据分级与数据安全事件待细化
《草案》第十九条:国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
《草案》第二十七条:开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
《草案》虽然有数据分级保护以及安全报告的要求,但并未就数据的分类标准做明确,同时也未就不同分类的数据应当采取何种保护措施做规定。《草案》也未对“数据安全事件”做出明确的定义,对于企业落实相关的告知要求存在一定的不确定性。
同时,没有明确“数据安全事件”是否仅局限于中国境内运营所发生的数据安全事件。比如,如果企业在境外发生了数据安全事件是否需要上报?从《网络安全法》角度看,可能并不需要上报,但如果事件结果也同时影响了中国境内用户呢?草案需要予以明确。
此外,相较于GDPR对上报时间有72小时的限制,《草案》仅对上报的时间要求“及时”,但未就“及时”做进一步细化,导致企业的上报义务可能仍然难以落实。
八、处罚力度相对有限
《草案》针对不同违法行为设置不同的罚责,重拳出击规制违法数据活动确实颇为亮眼。但就处罚力度来看,相较于GDPR的最高可达2000万欧元或全球年营业额4%(取较高者)的罚款力度,《草案》的罚款数额与GDPR的规定尚有一定的距离,对于掌握大量数据的龙头企业而言,处罚力度可能较为有限。
企业合规义务
一、梳理并明确企业运营所涉及的数据类型
《草案》所涉及的客体极为广泛,包括电子和非电子的数据。因此,企业首先需要明确企业自身所受《草案》约束的数据范围,识别除《草案》外是否须额外受《网络安全法》、日后出台的《个人信息保护法》等法律法规的规定。
二、确保数据活动的合法性
《草案》第二十九条:任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的, 应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。
企业自身在收集数据时应当遵循合法、正当、必要的原则。比如,企业通过刷脸签到收集员工的面部生物数据,可能被认定为不符合必要性原则。此外,企业在同第三方进行数据接收处理等活动时,应当做好必要的调查、签署必要的文件或者要求第三方提供相应的承诺函、证明书等,尽可能确保收集的数据来源合法。
三、数据分类保护
《草案》第十九条:国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。
企业在开展业务的过程应当针对数据的重要程度、敏感程度对数据进行分级分类的保护,比如区分敏感数据和一般数据,对敏感数据予以加密存储等。此外,企业可以关注信息安全标准委员会草拟的《重要数据分级分类指南》,以及参考欧盟GDPR的相关规定,制定企业自己的数据分类保护制度。
四、数据安全报告
《数据安全管理办法(征求意见稿)》第三十五条:发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
虽然目前无论是《草案》还是其他法律法规中有关数据安全事件的定义和报告时间的问题都有待细化和完善,但我们认为企业仍然应当建立更宽泛的安全事件响应机制,覆盖数据的全生命周期,并涵盖电子和非电子数据。对于需要报告的数据安全事件,需要建立跨部门的联合报告、响应管理团队和流程,及时向用户和主管部门报告。
五、数据跨境传输
《草案》第三十三条:境外执法机构要求调取存储在中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。
如果遇到境外执法机构要求企业提供相关的数据时,企业需要先向主管机关报批,得到批准后再提供。需要注意的是,由于数据种类的不同,企业在数据跨境传输时可能受到不同法律的规制,比如《保守国家秘密法》、《网络安全法》、《刑法》、《人口健康信息管理办法》 等等。
对于企业而言,在将收集和运用数据向境外转移时,需评估相关数据是否符合法律法规及行业标准的要求,获得必要审批的同时还需持续审查、核实数据接收者的资质及能力等,签署相应的保证文件并采取一定的应急措施,确保数据跨境传输合规合法,最大程度降低法律风险。
相关研究
-
11-052020
工程量清单项目特征描述不准确导致的争议及规避措施
工程量清单项目的特征决定了工程实体的实质内容,直接决定了工程实体的自身价值(价格),应予以详细而准确的表述和说明。 -
05-292020
企业赴美上市指南
美国的资本市场是以投资人选择为导向,以注册制为原则,赴美上市成功的关键在于企业的基本面和投资人的认可。 -
10-292020
《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析
本文重点参考《<民法典>理解与适用》及《<九民纪要>理解与适用》中的观点,并简析《民法典》《九民纪要》下,合同不成立、无效、被撤销或确定不发生效力的情形和法律后果。 -
02-192020
《治安管理处罚法》五十一条第一款第一项不宜随意适用
这段时间,各地均采取了非常严格的防控措施,两高也相继出台文件,要求严打防控期间的种种破坏防疫工作的违法行为。我们也看到很多媒体在一些短视频平台或者微博这样的社交媒体上,发布一些破坏社会秩序、以及不服执法人员管控的视频,最终这些人都受到了法律的制裁。 -
04-222020
建设工程项目部印章对合同效力的影响及使用时的注意事项
本文将对盖章行为不规范引起的合同效力问题进行分析,主要讨论盖章主体没有权限以及使用未经备案公章盖章的行为效力。
沪公网安备 31011502009353号