数据安全法即将生效:企业需要知道的几件事


2021年09月14日

作者:刘毅

2021年8月20日发表于FuJae Partners

前言

    《中华人民共和国数据安全法》(以下简称“《数据安全法》”)已由全国人大常委会于2021年6月10日通过,并将于2021年9月1日起正式施行。作为数据领域首部基础性法律及国家安全领域的重要组成,《数据安全法》展现了中国政府在数据安全领域的严格监管态度。本文将主要讨论在当前数据安全领域监管环境下,企业应当采取何种合规措施以应对监管。

 

  • 数据概念的新定义及适用范围

《数据安全法》第3条:

本法所称数据,是指任何以电子或者其他方式对信息的记录。

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

作为我国数据领域的第一部基础性法律,《数据安全法》首次对数据这一概念做出明确定义,即以电子或非电子形式(例如纸质文件)记录的信息均可称为数据。此外,《数据安全法》还规定在中国境内开展数据处理活动的,适用本法。上述规定使得《数据安全法》的适用范围几乎涵盖了数据的生命周期全程。但是,凡是在中国境内开展数据处理活动的数据处理者,都将落入《数据安全法》的监管范围内吗?

对此,我们参考了国家互联网信息办公室(以下简称“网信办”)在2019年发布的《数据安全管理办法(征求意见稿)》。该意见稿第2条规定,纯粹为家庭和个人事务的数据活动不适用该管理办法。鉴于此规定,我们理解,除单纯处理家庭和个人事务的私人数据处理者外,其他涉及到公众、或为商业目的开展数据处理活动的主体(例如企业),应当遵守《数据安全法》规定的数据安全保护义务。违反规定的,需要承担相应法律责任。值得注意的是,当企业处理内部员工的个人数据时,还需考虑适用《中华人民共和国民法典》、《个人信息保护法》(尚未生效)等法律法规中关于个人信息处理的规则。

  • 数据安全制度

《数据安全法》在第三章以专章的形式向公众介绍了数据安全制度,包括数据分类分级保护、数据安全审查、出口管制等制度。我们将分析上述规定对企业可能产生的影响,并提出相应的合规建议,供企业参考。

  1. 数据分类分级保护制度

数据分类分级保护并非《数据安全法》全新提出的概念,此前,若干行业/领域的主管部门已经针对本行业/领域的数据发布了分类分级指南,例如《工业数据分类分级指南(试行)》、《证券期货业数据分类分级指引》、《健康医疗数据安全指南》等,这些指南均规定了该行业/领域数据的分级分类标准细则。对此我们建议,企业应当对自身所处行业/领域的主管部门发布的“数据分类分级指南”保持密切关注,并以此为标准开展企业内部的数据分类分级工作。

《数据安全法》还规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据具体目录,加强对重要数据的保护。但《数据安全法》没有对何为“重要数据”进行定义。结合《信息安全技术 数据出境安全评估指南》、《个人信息和重要数据出境安全评估办法(征求意见稿)》等文件中对重要数据的定义,我们理解,重要数据是指与国家安全、经济发展以及公共利益密切相关的数据。而重要数据具体目录是由各地区、各部门按照本地区、本部门以及相关行业、领域的具体分类分级指南确定的,因此,企业还应当注意自身所在地区、行业/领域公布或拟公布的重要数据具体目录,以明确自身是否属于重要数据的处理者。因为较之一般的数据处理者,《数据安全法》对重要数据的处理者设置了额外的数据安全保护义务,对此我们将在下文中进行阐述。

此外,《数据安全法》还首次提出了“国家核心数据”这一概念,并规定对其实行更加严格的管理制度。但由于我国目前尚未出台国家核心数据的评判标准,其管理制度的“严格”也仅在法律责任上有所体现(罚款数额最高可达1000万元),故针对国家核心数据的严格监管还需要更多配套法律法规的出台使其真正落地。

  1. 数据安全审查制度

《数据安全法》第24条:

国家建立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查为最终决定。

虽然《数据安全法》规定了数据安全审查制度,但目前并没有配套的安全审查办法出台。随着《数据安全法》生效日的临近,如何对影响或可能影响国家安全的数据处理活动进行国家安全审查成为了数据处理者关注的焦点。2021年7月10日,《网络安全审查办法(修订草案征求意见稿)》(以下简称“《意见稿》”)发布,相较于现行的《网络安全审查办法》(以下简称“《审查办法》”),《意见稿》将《数据安全法》新增为立法依据,我们理解这也将使其成为数据安全监管的直接法律依据。我们将《意见稿》中其他与《数据安全法》相关的新增内容整理如下,供数据处理企业进行参考:

  • 新增“数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”

现行《审查办法》规定,关键信息基础设施运营者(Critical Information Infrastructure Operator,以下简称“CIIO”)采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。现行《审查办法》仅以CIIO作为审查主体,故适用范围有限。相较而言,《意见稿》则将监管范围扩大至数据处理者这一概念,即无论一家涉数据处理企业是否属于CIIO,其都可能因为开展数据处理活动,影响到了国家安全而需要主动申请网络安全审查,这将使得网络安全审查适用性得到极大程度的提高。

我们理解,当《意见稿》正式施行后,涉数据处理企业需要依据本行业、本领域的预判指南从两方面考虑自身是否存在主动申报网络安全审查的义务:

  • 若企业是CIIO,则其在采购网络产品和服务,或开展数据处理活动时,需要根据预判指南预判企业是否存在影响国家安全的可能性;
  • 如果企业不是CIIO,则根据预判指南预判企业在开展数据处理活动时是否存在影响国家安全的可能性。

[何为关键信息基础设施运营者(CIIO?]

根据2021年8月国务院发布的《关键信息基础设施安全保护条例》规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

上述规定涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。

  • 新增“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”

作为运营者需要主动申报网络安全审查的第二种情形,此规定适用的前提条件包括:(1)掌握超过100万用户个人信息;(2)赴国外上市。

对于准备上市的企业来说,其数据处理的规模达到100万门槛并非难事。结合此前多家赴美上市的中国企业均受到网络安全审查,我们认为此条规定的重点应当在于赴国外上市。《中华人民共和国出境入境管理法》规定,由中国内地前往港澳台地区属于“出境”。因此我们理解,如果一家企业选择在香港进行上市,则应当属于境外上市,而非国外上市。故企业赴港上市不适用此条规定,也即不需要申报网络安全审查。但已经在国外上市的企业是否仍需要申报网络安全审查,《意见稿》并没有给出答案。我们理解,从《意见稿》重视数据保护的立法意图来说,已经在国外上市的企业仍有很大可能需要进行网络安全审查的申报,但具体如何规定还需要后续出台相关细则加以明确。另一方面,企业赴港上市势必涉及到数据跨境的问题,故企业还需遵守《网络安全法》等法律法规中对于数据跨境的规定。

  • 新增“拟提交的IPO材料”为申报网络安全审查应当提交的材料。

《意见稿》施行后,企业若申报网络安全审查,则应当提交以下材料:

  • 申报书;
  • 关于影响或可能影响国家安全的分析报告;
  • 采购文件、协议、拟签订的合同或拟提交的IPO材料等;
  • 网络安全审查工作需要的其他材料。

此外,《意见稿》还将网络安全审查中的特别审查程序时限从45日延长至3个月。对此,我们将网络安全审查程序的大致流程整理如下,供需要申报网络安全审查的企业参考:

  • 审查流程:
  • 网络安全审查办公室(以下简称“网安办”)自收到审查申报材料起,10个工作日内确定是否需要审查,并书面通知运营者(包括CIIO和数据处理者);
  • 网安办认为需要开展网络安全审查的,在向运营者发出书面通知之日起30个工作日内完成初步审查。情况复杂的延长15个工作日;
  • 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。意见一致的,网安办将审查结论通知运营者;意见不一致的,按照特别程序处理,一般应当在3个月内完成,情况复杂的可以适当延长。
  1. 出口管制制度

《数据安全法》第25条:

国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

2020年12月生效的《中华人民共和国出口管制法》已经将“物项相关的技术资料等数据”列入了管制物项的范畴,《数据安全法》再次明确规定了出口管制在数据领域的适用。那么具体哪些管制物项属于我国出口管制对象呢?

对此,我们建议企业参考《中国禁止出口限制出口技术目录》以及《商务部、科技部公告2020年第38号—关于调整发布<中国禁止出口限制出口技术目录>的公告》等有关规定,来判断企业出口的数据是否属于我国出口管制对象。若企业需要出口管制清单所列管制物项或临时管制物项,应当向国家出口管制管理部门申请许可。

  • 数据安全保护义务与法律责任

《数据安全法》规定了不同情形下数据处理者应当承担的数据安全保护义务,以及未能履行义务时应当承担的法律责任。我们在下文按照不同情形,分别从一般数据处理者、关键信息基础设施的运营者及数据交易中介机构的视角出发,分析其应履行的数据安全保护义务及对应法律责任。

  1. 一般数据处理者

《数据安全法》第27、29、30条规定了数据处理者应当遵守的数据安全保护义务,并对重要数据的处理者作了额外规定。对此,我们将上述义务整理如下,供一般数据处理者和重要数据的处理者参考:

  • 开展数据处理活动应遵守的义务
  • 建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
  • 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

其中,网络安全等级保护制度这一概念首次出现在《网络安全法》第21条,即为了保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取,篡改,网络运营者(即利用互联网开展数据处理活动的企业)应该履行下列安全保护义务:

  • 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
  • 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
  • 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
  • 采取数据分类、重要数据备份和加密等措施;
  • 法律、行政法规规定的其他义务。

此外,当数据处理的企业判断自己属于重要数据处理者后,还应履行以下义务:

  • 重要数据处理者的额外义务
  • 明确数据安全负责人和管理机构,落实数据安全保护责任。
  • 按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

  1. 关键信息基础设施的运营者

《数据安全法》第31条:

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

由上述规定可知,《数据安全法》在重要数据的出境安全管理问题上,将数据安全保护义务主体分为CIIO和其他数据处理者两类来区别规定。

对于CIIO来说,其具体适用的管理规定为《网络安全法》第37条,即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

对于非CIIO的其他数据处理者来说,则应当遵守国家网信部门和国务院有关部门制定的重要数据出境安全管理办法。但目前尚无有效的法律法规、国家标准来明确具体的合规方案,故我们建议企业对该类细则的出台保持密切关注。

根据《数据安全法》新增的第四十六条的规定,违法向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

  1. 数据交易中介机构

《数据安全法》第33条:

从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

《数据安全法》对“从事数据交易中介服务的机构”并无明确定义,结合我国数据交易现状,我们理解上述机构实际指的是我国各数据交易所。我国数据交易所按照成立部门或结构形式不同,可分为政府类、产业联盟类或商业类,数据供需方涉及政府部门、商业机构、个人等多重主体。

对于拟从事或已从事数据交易中介服务的机构来说,如若未能遵守《数据安全法》所规定的义务,那么根据《数据安全法》第47条,将由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款。没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  1. 境内/境外数据调查

《数据安全法》第35条:

公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

对于违反该义务,拒不配合数据调取的组织或个人,根据《数据安全法》第48条,将由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

《数据安全法》第36条:

中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据

我国对司法或执法领域的数据出境实行严格监管。即不区别数据重要性,非经批准,任何组织、个人不得向外国司法或执法机构提供数据。数据领域主权之争一直是近年来的焦点问题,美国曾在2018年颁布《明确境外数据合法使用的法案》(Clarifying Lawful Overseas Use of Data Act),规定为保护公共安全和打击包括恐怖主义在内的重大犯罪,美国政府有权力调取存储于他国境内数据;但其他国家若要调取存储在美国的数据,则必须通过美国所谓的“适格外国政府”审查,此举无疑破坏了各国在数据主权上的平等。在此前提下,《数据安全法》第36条的规定可以视作我国在维护数据主权上的一次有力回应。

违反本规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

  • 结语

伴随多家赴美上市中国企业接连受到网络安全审查,“数据安全”这一话题又重新回到了大众视野。我们有理由相信,《数据安全法》正式生效后,数据领域的安全审查将会日趋频繁和严格。因此,企业提前了解数据合规风险,做好数据合规准备工作具有重大意义。由于《数据安全法》是我国数据领域首部基础性法律,故其内容大都属于原则性规定,还需更多配套法律法规使其落地。我们将对后续出台的有关细则保持关注,为企业提供更有效的合规计划。

 

(律师助理戴博文亦对本文做出重要贡献)


返回