亚洲欧美日一线高本道_在线播放中文字幕无码免费_国产精品色午夜小视频_国产成人MV在线观看


管理培訓搜索
18318889481 13681114876

合規(guī)
| 《數(shù)據(jù)安全法》解讀與企業(yè)合規(guī)管理的三個建議當前您所在的位置:首頁 > 合規(guī) > 企業(yè)合規(guī)中心 > 企業(yè)合規(guī)管理

日前,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“《數(shù)據(jù)安全法》”)正式通過并公布,自2021 年9月1日起施行。在信息經(jīng)濟時代,數(shù)據(jù)已成為新興的生產(chǎn)要素,是國家基礎(chǔ)性和戰(zhàn)略性資源,同時,數(shù)據(jù)安全需求也越發(fā)凸顯,已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題。

筆者指出,企業(yè)應當開始評估自身業(yè)務活動是否收集、處理重要數(shù)據(jù)與國家核心數(shù)據(jù),并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法,以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求,以確保在《數(shù)據(jù)安全法》正式實施之前,建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施。此外,對于業(yè)務活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口、涉及個人信息收集與處理、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言,還應當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求。

要 點

1. 企業(yè)在相應搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級標準時,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級保護標準中分類分級標準是否為強制標準,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過程當中所適用的分類分級標準。

2. 重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標準很可能于近期出臺,相關(guān)企業(yè)首先應當就此加以關(guān)注,以及時判斷自身是否屬于重要數(shù)據(jù)處理者的范圍。

3. 對于重要數(shù)據(jù)跨境傳輸而言,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,仍適用《網(wǎng)絡安全法》的要求,即關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲;因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估。

一、前言

2021年6月10日,《中華人民共和國數(shù)據(jù)安全法》已由中華人民共和國第十三屆全國人民代表大會常務 委員會第二十九次會議于2021年6月10日正式表決通過,正式公布,并將于2021年9月1日正式實施。

二、概述

(一)立法背景

自2020年6月28日以來,《數(shù)據(jù)安全法》經(jīng)歷了三次審議與修改,終于2021年6月10日正式表決通過, 并確定將于2021年9月1日正式實施。

在此之前,中國未就數(shù)據(jù)安全領(lǐng)域設置具有針對性的上位法,主要零散分布于其他法律法規(guī)及其相關(guān)司法解釋等文件中予以體現(xiàn)。具體而言,包括但不限于以下內(nèi)容:

1. 《網(wǎng)絡安全法》中對關(guān)鍵信息基礎(chǔ)設施運營者就個人信息和重要數(shù)據(jù)出境前設置了安全評估制度的要求(例如,第三十七條等);對網(wǎng)絡運營者設置了建立用戶信息保護制度的要求,與收集、使用個

人信息的要求(例如,第四十條、第四十一條等)。

2. 《民法典》明確規(guī)定個人信息保護為民事權(quán)利之一,即自然人的個人信息受法律保護。任何組織 或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息(例如,第一百一十一條等)。

3. 《刑法》修正案及其司法解釋就出售或者非法提供、竊取或者非法獲取公民個人信息的犯罪及刑罰予以了定義與補充(例如,刑法修正案(七)、刑法修正案(九)、《關(guān)于辦理侵犯公民個人信息刑事案件使用法律若?問題的解釋》等)。

(二) 立法意義

《數(shù)據(jù)安全法》由七個章節(jié)、55條法律條文組成,涵蓋了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放及相關(guān)法律責任等具體規(guī)定。

作為中國首部針對數(shù)據(jù)安全領(lǐng)域的立法,本法明確了國家對數(shù)據(jù)安全的監(jiān)管范圍、確立了相關(guān)監(jiān)管機關(guān) 對數(shù)據(jù)安全的監(jiān)管地位、闡明了維護數(shù)據(jù)安全的核心意義等,為數(shù)據(jù)安全各領(lǐng)域后續(xù)立法工作(例如, 個人信息保護法等)與安全監(jiān)管工作提供重要法律依據(jù)。

三、重點內(nèi)容解讀

本文將結(jié)合《數(shù)據(jù)安全法》的具體規(guī)定與中國法律法規(guī)項下其他相關(guān)規(guī)定,對《數(shù)據(jù)安全法》中的重點內(nèi)容予以解讀,分析其與其他數(shù)據(jù)安全領(lǐng)域相關(guān)規(guī)定的聯(lián)系,研判法律要求的具體變化,形成立法形勢預判,供企業(yè)參考。

(一)立法核心目的

從《數(shù)據(jù)安全法》第一條中我們可以得知,此項立法繼承了《網(wǎng)絡安全法》《民法典》等法律以及國際數(shù)據(jù)保護立法趨勢中對公民、組織合法權(quán)益保障,對數(shù)據(jù)處理活動予以規(guī)范,促進數(shù)據(jù)開發(fā)利用的核心目的。

此外,此次立法中另一項被延續(xù)的重要的目的在于維護國家主權(quán)、安全和發(fā)展利益。此項立法基于這一目的實現(xiàn)所規(guī)定的具體要求除保護中國公民個人信息以及中國境內(nèi)重要數(shù)據(jù)安全以外,還可能成為反制外國司法或執(zhí)法機構(gòu)調(diào)查中的跨境證據(jù)采集法律法規(guī)(例如,美國 云法案 )的有效手段。

(二)適用范圍

根據(jù)《數(shù)據(jù)安全法》第二條第一款的規(guī)定,本法的適用范圍為在中華人民共和國境內(nèi)開展的數(shù)據(jù)處理活動及其安全監(jiān)管活動。

但是與此同時,第二條第二款規(guī)定在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的,將依法追究法律責任,據(jù)此可知第二條第二款未直接將境外開展數(shù)據(jù)處理活動納入本法的適用范圍內(nèi)。我們初步判斷,設置本條款的主要目的在于在國家的合理立法范圍權(quán)力內(nèi),通過作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ)的《數(shù)據(jù)安全法》,確立境外開展的數(shù)據(jù)處理活動需符合中國法律的相關(guān)規(guī)定的要求,以《個人信息保護法(草案二次審議稿)》為例:該草案規(guī)定某些特定的在中國境外處理中國境內(nèi)自然人個人信息的活動也屬于草案的適用范圍。

值得注意的是,《數(shù)據(jù)安全法》的適用范圍排除了涉及國家秘密的數(shù)據(jù)處理活動及其監(jiān)管,即涉及國家 秘密的數(shù)據(jù)處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

(三)關(guān)鍵定義

1. 數(shù)據(jù)的范圍:電子數(shù)據(jù)與非電子形式記錄的數(shù)據(jù)

《數(shù)據(jù)安全法》第三條第一款給出了對數(shù)據(jù)的定義,即指任何以電子或者其他方式對信息的記錄。此處的定義與《個人信息保護法(草案二次審議稿)》中個人信息的定義的描述類似,具體而言包括了電子數(shù)據(jù)以及非電子形式記錄的數(shù)據(jù)。

在此之前,中國法律項下未就數(shù)據(jù)這一概念予以具體定義,但是在《網(wǎng)絡安全法》中,有網(wǎng)絡數(shù)據(jù)的定義,即通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。因此,需要注意的是,《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ),其項下所指數(shù)據(jù)范圍要大于此前立法中的概念,也意味著未來的立法趨勢中,非電子形式記錄的數(shù)據(jù)可能也會納入各具體數(shù)據(jù)安全領(lǐng)域法律規(guī)定的適用范圍內(nèi)。

2. 數(shù)據(jù)處理的含義

《數(shù)據(jù)安全法》第三條第二款對數(shù)據(jù)的 處理 與《民法典》第一千零三十五條所描述的處理一致,即收集、存儲、使用、加工、傳輸、提供、公開等。

(四)數(shù)據(jù)安全監(jiān)管體系

根據(jù)《數(shù)據(jù)安全法》,建立健全數(shù)據(jù)安全治理體系應當堅持總體國家安全觀。中央國家安全領(lǐng)導機構(gòu)作 為研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重 要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制的關(guān)鍵機關(guān)。各行業(yè)主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責,國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡數(shù)據(jù)安全和相關(guān)監(jiān)管工作。鑒于上述《數(shù)據(jù)安全法》的要求,數(shù)據(jù)監(jiān)管將按照行業(yè)予以劃分,各行業(yè)內(nèi)的所有數(shù)據(jù)保護監(jiān)管,包括數(shù)據(jù)出境審批、落實數(shù)據(jù)分類分級保護制度等權(quán)力,實際落實到了各行業(yè)主管部門。

此外,根據(jù)《數(shù)據(jù)安全法》的要求,國家將建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。

(五)數(shù)據(jù)安全制度

1. 數(shù)據(jù)分類分級保護制度

《數(shù)據(jù)安全法》確立建立數(shù)據(jù)分類分級保護制度,要求對數(shù)據(jù)實行分類分級保護。此處,我們判斷“分類”,指根據(jù)不同的產(chǎn)業(yè)類型對數(shù)據(jù)進行分類保護,而“ 分級”,指根據(jù)不同的數(shù)據(jù)類型設置不同的等級保護要求。例如,工業(yè)和信息化部就工業(yè)數(shù)據(jù)分類分級于2020年2月27日發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南》,根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后,可能對工業(yè)生產(chǎn)、經(jīng)濟效益等帶來的潛在影響,將工業(yè)數(shù)據(jù)分為一級、二級、三級等3個級別。此外,例如中國證券監(jiān)督管理委員會于2018 年發(fā)布了《證券期貨業(yè)數(shù)據(jù)分類分級指引》行業(yè)標準?!稊?shù)據(jù)安全法》奠定了未來各行業(yè)主管部門基于其數(shù)據(jù)監(jiān)管權(quán)力,通過制定數(shù)據(jù)分類分級指引與行業(yè)標準、開展有關(guān)執(zhí)法監(jiān)管活動,落實數(shù)據(jù)分類分級保護制度中的重要趨勢。

對于此,我們提請相關(guān)企業(yè)注意,在相應搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級標準時,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級保護標準中分類分級標準是否為強制標準,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過程當中所適用的分類分級標準。即使當執(zhí)法所依據(jù)的分類標準為指引或推 薦性標準,相關(guān)企業(yè)仍應當嚴格按照相應標準執(zhí)行數(shù)據(jù)分級分類保護制度。

2. 重要數(shù)據(jù)與國家核心數(shù)據(jù)

(1)重要數(shù)據(jù)

《數(shù)據(jù)安全法》授權(quán)國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)各地區(qū)、各有關(guān)部門制定重要數(shù)據(jù)目錄。重要數(shù)據(jù) 的概念首次在《網(wǎng)絡安全法》中提出,并對重要數(shù)據(jù)的某些跨境傳輸、特別保護提出了具體要求, 但是沒有予以具體的界定,實際的認定中也存在模糊的情形。我們初步判斷,未來有關(guān)部門根據(jù)《數(shù)據(jù)安全法》的要求制定的重要數(shù)據(jù)目錄,將作為《網(wǎng)絡安全法》中界定重要數(shù)據(jù) 的重要依據(jù)。

值得留意的是,2017年4月網(wǎng)信辦發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,但是遲遲未有新立法動向。在此項征求意見稿中,重要數(shù)據(jù)指與國家安全、經(jīng)濟發(fā)展,以及社會公共利益密切相關(guān)的數(shù)據(jù)。我們理解,該范圍可能會作為有關(guān)部門制定重要數(shù)據(jù)目錄的參考標準。

各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。對于此,我們判斷行業(yè)主管部門除通過發(fā)布指引、行業(yè)標準等文件落實數(shù)據(jù)分類分級保護制度以外,還很可能基于其數(shù)據(jù)監(jiān)管權(quán)力,制定本行業(yè)的重要數(shù)據(jù)目錄,具體劃定本行業(yè)中受《數(shù)據(jù)安全法》規(guī)制的重要數(shù)據(jù) 。

(2)國家核心數(shù)據(jù)

《數(shù)據(jù)安全法》還首次提出了國家核心數(shù)據(jù)的概念,即關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大 公共利益等數(shù)據(jù),并要求對此類數(shù)據(jù)實行更加嚴格的管理制度。違反國家核心數(shù)據(jù)管理制度,危害國家主權(quán)、安全和發(fā)展利益的主體,可能面臨由有關(guān)主管部門處一千萬元以下罰款,并根據(jù)情況責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,依法追究刑事責任。

此外值得注意的是,由于《數(shù)據(jù)安全法》的適用范圍排除了涉及國家秘密的數(shù)據(jù)處理活動及其監(jiān)管,此處國家核心數(shù)據(jù)并非指涉及國家秘密的數(shù)據(jù)。

目前,《數(shù)據(jù)安全法》中暫未就針對國家核心數(shù)據(jù)的更加嚴格的管理制度予以展開規(guī)定,我們推斷有關(guān)部門可能會在后續(xù)立法工作中予以更為細化的解釋,有關(guān)公司應當特別予以跟蹤關(guān)注。

3. 數(shù)據(jù)安全審查制度

《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全審查制度,要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國 家安全審查,并賦予了依法作出的安全審查決定最終決定的效力。

早在2020年4月27日,國家互聯(lián)網(wǎng)信息辦公室,國家發(fā)展和改革委員會,工業(yè)和信息化部,公安部,財政部,商務部,中國人民銀行,國家市場監(jiān)督管理總局,國家廣播電視總局,國家保密局,國家密碼管理局十二個國家部門聯(lián)合制定、發(fā)布了于2020年6月1日生效的《網(wǎng)絡安全審查辦法》,以確保關(guān)鍵信息基礎(chǔ)設施供應鏈安全,進而保護關(guān)鍵基礎(chǔ)設施網(wǎng)絡安全與業(yè)務安全,并維護國家安全。我們推斷,《網(wǎng)絡安全審查辦法》可能會作為《數(shù)據(jù)安全法》項下各領(lǐng)域數(shù)據(jù)安全審查工作模式的藍本,形成多部門聯(lián) 合審查工作機制作為審查主管部門可能成為數(shù)據(jù)安全審查的趨勢,從而能夠有效應對數(shù)據(jù)安全問題的內(nèi)在復雜性。

4. 數(shù)據(jù)安全應急處置機制

《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應急處置機制,要求在發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息。

5. 管制物項數(shù)據(jù)的出口管制

根據(jù)《數(shù)據(jù)安全法》的規(guī)定,對與維護國家安全和利益、履行國際義務相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。

《出口管制法》明確指出管制物項的范圍包括技術(shù)資料等數(shù)據(jù)。具體而言,《出口管制法》第二條規(guī)定,國家對兩用物項、軍品、核以及其他與維護國家安全和利益、履行防擴散等國際義務相關(guān)的貨物、技術(shù)、服務等物項(以下統(tǒng)稱管制物項)的出口管制,適用本法。前款所稱管制物項,包括物項相關(guān)的技術(shù)資料等數(shù)據(jù)?!稊?shù)據(jù)安全法》在數(shù)據(jù)保護領(lǐng)域立法中,明確技術(shù)資料等數(shù)據(jù)出口屬于出口管制監(jiān)管范圍內(nèi),若予以出口需申請相應出口許可證,從而進一步確保了涉及限制出口的兩用物項技術(shù)資料的安全。

6. 針對數(shù)據(jù)歧視的對等措施

《數(shù)據(jù)安全法》中設置了一項針對數(shù)據(jù)歧視的比較特別的規(guī)定,即任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。

對等措施 的設置多存在于貿(mào)易法與投資法領(lǐng)域,例如《外商投資法》《出口管制法》等。在作為數(shù)據(jù)安全領(lǐng)域重要法律基礎(chǔ)的《數(shù)據(jù)安全法》中加入對等措施,反映出立法機關(guān)將數(shù)據(jù)安全、數(shù)據(jù)技術(shù)認 定為中國企業(yè)壯大發(fā)展的關(guān)鍵要素,也反映出中國立法機關(guān)在復雜國際背景下未?綢繆的努力。

(六)數(shù)據(jù)安全保護義務

《數(shù)據(jù)安全法》第四章具體規(guī)定了開展數(shù)據(jù)處理活動的主體應當遵循的數(shù)據(jù)安全保護義務。具體而言, 從事數(shù)據(jù)處理的組織與個人應當關(guān)注以下主要數(shù)據(jù)安全保護義務:

1. 一般義務

首先需要注意的是,《數(shù)據(jù)安全法》所規(guī)定的一般義務適用主體范圍約束的是 開展數(shù)據(jù)處理活動。因此,凡開展《數(shù)據(jù)安全法》所約束范圍內(nèi)的數(shù)據(jù)處理活動的主體,均需履行一般義務。這?的所指的一般義務主要包括:

(1)建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓。

(2)采取相應的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。

(3)利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動,應當在網(wǎng)絡安全等級保護制度的基礎(chǔ)上,履行數(shù)據(jù)安全保護義務。具體指在符合《網(wǎng)絡安全法》項下網(wǎng)絡安全等級保護制度的要求下,采取包括但不限于制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡安全負責人,采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術(shù)措施,監(jiān)測、記錄網(wǎng)絡運行狀態(tài)與網(wǎng)絡安全事件,采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施,履行具體的數(shù)據(jù)安全保護義務。

(4)加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應當立即采取補救措施。

(5)發(fā)生數(shù)據(jù)安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

(6)收集數(shù)據(jù),應當采取合法、正當?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)。

(7)法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,應當在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。該項義務銜接了各行業(yè)主管部門關(guān)于個人信息保護的數(shù)據(jù)處理規(guī)則,形成了上位法依據(jù)。此外,值得注意的是,根據(jù)此項義務描述,不僅個人數(shù)據(jù)的收集、使用需滿?合法性、正當性原則,其他數(shù)據(jù)也要需要具有相應的合法性與正當性?;诖?,我們初步預見目前針對個人信息保護的制度未來可能會擴大、借鑒適用到其他數(shù)據(jù)保護法律法規(guī)的內(nèi)容當中。

(8)法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務應當取得行政許可的,服務提供者應當依法取得許可。

(9)有關(guān)組織、個人應當配合公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)。

上述《數(shù)據(jù)安全法》所要求用于確保數(shù)據(jù)安全保護的一般義務,與ISO27001《數(shù)據(jù)安全管理體系》中的部分基本元素相吻合,如制定數(shù)據(jù)保護制度政策,采取例如加密技術(shù)等技術(shù)措施及物理環(huán)境安全保障措施、訪問管理措施、操作管理措施等其他必要措施保障數(shù)據(jù)安全,制定應急預案以應對數(shù)據(jù)安全事件,并關(guān)注與有關(guān)法律法規(guī)的要求合規(guī)等。

若開展數(shù)據(jù)處理活動的主體違反以上(1)(2)(3)(4)(5)項一般義務的要求,可能會面臨由有關(guān)主管部門責令改正,給予警告,直至責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處以二百萬元以下的罰款。

若違反第(9)項一般義務的要求,拒不配合數(shù)據(jù)調(diào)取的,可能將面臨由有關(guān)主管部門責令改正,給予警告,并處以五十萬元以下的罰款。

對于(6)(7)(8)項一般義務而言,由于各數(shù)據(jù)安全領(lǐng)域具有其自身的特殊性(例如個人信息具有內(nèi)在敏感性,涉及個人信息處理的相關(guān)義務要求與對應違法處罰一般更為嚴格),雖然未在《數(shù)據(jù)安全法》直接規(guī)定具體的違法處罰措施,但是我們判斷具體的罰則將在具體的實施條例及其他相關(guān)法律法 規(guī)中予以明確。

2. 重要數(shù)據(jù)處理者特別義務

目前,重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標準很可能于近期出臺,相關(guān)企業(yè)首先應當就此加以關(guān)注,以及時判斷自身是否屬于重要數(shù)據(jù)處理者的范圍。根據(jù)《數(shù)據(jù)安全法》的要求,重要數(shù)據(jù)處理者需要履行以下特別義務:

(1)要求重要數(shù)據(jù)處理者任命數(shù)據(jù)安全負責人和管理機構(gòu),以落實數(shù)據(jù)安全保護責任。

(2)要求重要數(shù)據(jù)處理者對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告。具體而言,風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應對措施等。

若開展數(shù)據(jù)處理活動的主體違反以上重要數(shù)據(jù)處理者特別義務,可能會面臨由有關(guān)主管部門責令改正,給予警告,直至責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處以二百萬元以下的罰款。

3. 重要數(shù)據(jù)跨境傳輸特別要求

對于重要數(shù)據(jù)跨境傳輸而言,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,仍適用《網(wǎng)絡安全法》的要求,即關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲;因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估。

此外,《數(shù)據(jù)安全法》規(guī)定,其他數(shù)據(jù)處理者(即,非關(guān)鍵信息基礎(chǔ)設施的運營者)在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務院有關(guān)部門制定。我 們判斷,有關(guān)部門可能會出臺針對非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法。雖然《個人 信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》的出臺可能性已經(jīng)非常小,但是其中有關(guān)非關(guān)鍵信息基礎(chǔ)設施的運營者重要數(shù)據(jù)出境安全評估的標準以及相關(guān)要求仍可能作為立法部門參考的重要依據(jù)。

若違反《數(shù)據(jù)安全法》規(guī)定向境外提供重要數(shù)據(jù),可能會面臨由有關(guān)主管部門責令改正,給予警告,責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處一千萬元以下的罰款。

4. 數(shù)據(jù)交易中介服務機構(gòu)特別要求

《數(shù)據(jù)安全法》對于從事數(shù)據(jù)交易中介服務的機構(gòu)提供服務的過程當中,設置了特別的要求,即應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄。

若數(shù)據(jù)交易中介服務機構(gòu)未履行上述要求,則可能面臨由有關(guān)主管部門責令改正,沒收違法所得,責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處違法所得一倍以上十倍以下或一百萬元以下的罰款。

5. 應對外國司法或執(zhí)法機構(gòu)調(diào)查的特別要求

近年來,外國司法或執(zhí)法機構(gòu)(例如,美國BIS、OFAC等監(jiān)管機關(guān))調(diào)查中國境內(nèi)實體的頻率以及由此引發(fā)的制裁、處罰案件越發(fā)增多。美國于2018 年3 月還通過了《海外數(shù)據(jù)合法使用權(quán)明確法案》(CLOUD ACT,多稱為美國 云法案 ),以指導美國執(zhí)法部門依據(jù)合法的搜查令來直接訪問境外的數(shù)據(jù)。

在此背景下,此次《數(shù)據(jù)安全法》的立法明確規(guī)定,非經(jīng)中華人民共和國主管機關(guān)批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機關(guān)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù),并同時聲明中國主管機關(guān)根據(jù)有關(guān)法律和中國締結(jié)或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求。這一立法規(guī)定能夠從法律層面上阻斷外國司法或者執(zhí)法機構(gòu)直接要求相關(guān)實體提供存儲于中國境內(nèi)的數(shù)據(jù)的調(diào)查活動,從而在一定程度上實現(xiàn)對國家主權(quán)、安全和發(fā)展利益的維護。

在此之前,中國境內(nèi)組織、個人在配合外國司法或執(zhí)法機關(guān)調(diào)查時,主要需要關(guān)注數(shù)據(jù)跨境傳輸中的兩類情形,即(1)跨境傳輸?shù)臄?shù)據(jù)構(gòu)成國家秘密,則不得向境外提供,以及(2)關(guān)鍵基礎(chǔ)設施所收集的個人信息、重要數(shù)據(jù)僅可在依法進行了安全評估后能夠向境外提供。《數(shù)據(jù)安全法》實質(zhì)上在此前的基礎(chǔ)上,對組織、個人在配合外國司法或執(zhí)法機關(guān)調(diào)查時所提交數(shù)據(jù)的管控范圍予以了擴張,即擴張至所有數(shù)據(jù)需經(jīng)過有關(guān)主管機關(guān)批準方可向外國司法或者執(zhí)法機關(guān)提供,而不再僅限于上述兩類限制性情形。

若相關(guān)主體未經(jīng)主管機關(guān)批準向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù),可能面臨由有關(guān)主管部門給予警告,責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處五百萬元以下罰款。

(七)政務數(shù)據(jù)管理

《數(shù)據(jù)安全法》對國家機關(guān)收集、使用數(shù)據(jù)(如個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)),以及與數(shù)據(jù)處理受托第三方共享數(shù)據(jù)等方面設置了具體的原則性要求,落實政務數(shù)據(jù)安全。與此同時,《數(shù)據(jù)安全法》還對國家機關(guān)制定了及時、準確地公開政務數(shù)據(jù),構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺等方面的要求,推動政務數(shù)據(jù)開放利用。

四、企業(yè)合規(guī)建議

(一)評估自身業(yè)務的適用性

《數(shù)據(jù)安全法》的適用范圍相較而言,明確擴大了原數(shù)據(jù)安全領(lǐng)域法律法規(guī)的管轄范圍,將管轄范圍延伸至非電子數(shù)據(jù)。因此,相關(guān)企業(yè)需要重新結(jié)合自身業(yè)務操作,研判自身所開展的數(shù)據(jù)處理活動是否屬于《數(shù)據(jù)安全法》的規(guī)制范圍內(nèi),特別是針對非電子數(shù)據(jù)的處理活動予以研判。

此外,相關(guān)企業(yè)還應當研判自身開展業(yè)務是否屬于《數(shù)據(jù)安全法》中所指定的具有特殊義務要求的數(shù)據(jù)處理主體,如重要數(shù)據(jù)處理者、數(shù)據(jù)交易中介服務機構(gòu)、關(guān)鍵信息基礎(chǔ)設施的運營者等,以明確自身應當履行的義務范圍。

(二)建立符合要求的數(shù)據(jù)安全制度,確保義務的履行

《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全制度,治理數(shù)據(jù)安全領(lǐng)域問題。對于相關(guān)企業(yè)而言,建立與《數(shù)據(jù)安全法》要求匹配的內(nèi)部數(shù)據(jù)安全制度是確保合規(guī)操作、完整履行自身義務的重要手段。

1. 建立數(shù)據(jù)分類分級管理制度

我們建議相關(guān)企業(yè)根據(jù)《數(shù)據(jù)安全法》,建立數(shù)據(jù)分類分級管理制度。鑒于有關(guān)重要數(shù)據(jù)出境以及國家核心數(shù)據(jù)的違法處罰占據(jù)了《數(shù)據(jù)安全法》中最嚴格處罰措施的地位(一千萬元以下的罰款;構(gòu)成犯罪,處以刑事責任),企業(yè)應當特別關(guān)注分類分級管理制度中的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施建立。

企業(yè)應當著手采取措施,開始評估自身業(yè)務活動是否收集、處理重要數(shù)據(jù)與國家核心數(shù)據(jù),并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法,以 及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求,以確保在《數(shù)據(jù)安全法》正式實施之前,建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施。

此外,對于業(yè)務活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口、涉及個人信息收集與處理、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言,還應當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求。

2. 建立數(shù)據(jù)安全審查制度

《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全審查制度,要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國 家安全審查。對于相關(guān)企業(yè)而言,特別是業(yè)務活動涉及處理重要數(shù)據(jù)的相關(guān)企業(yè),應當履行對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門依法報送風險評估報告的義務。

此外,企業(yè)應當繼續(xù)關(guān)注《網(wǎng)絡安全審查辦法》等針對各領(lǐng)域數(shù)據(jù)安全審查的具體辦法的后續(xù)頒布情況,及時依法調(diào)整內(nèi)部數(shù)據(jù)安全審查范圍,以配合國家有關(guān)部門的審查要求。

3. 建立數(shù)據(jù)安全應急處置機制

《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應急處置機制。對于相關(guān)企業(yè)而言,應當履行加強數(shù)據(jù)安全風險監(jiān)測并及時采取補救措施的義務,與發(fā)生數(shù)據(jù)安全事件時及時采取處置措施并上報主管部門的義務。

我們建議相關(guān)企業(yè)搭建內(nèi)部正式數(shù)據(jù)安全風險監(jiān)測與修正機制,并制定書面數(shù)據(jù)安全事件應急預案,以最大程度確保配合有關(guān)部門的調(diào)查與應急處置措施開展,從而防止危害擴大,消除安全隱患。

(三)關(guān)注數(shù)據(jù)安全領(lǐng)域立法動態(tài)

《數(shù)據(jù)安全法》的頒布是中國的數(shù)據(jù)安全領(lǐng)域立法進程中的一項關(guān)鍵的舉措,其頒布標志著數(shù)據(jù)安全立法擁有了具有統(tǒng)領(lǐng)性質(zhì)的上位法。這同時意味著,后續(xù)有關(guān)部門將很可能加大數(shù)據(jù)安全領(lǐng)域立法力度,補充更多針對各領(lǐng)域的具體細化要求。

就目前而言,企業(yè)應當關(guān)注的后續(xù)數(shù)據(jù)安全領(lǐng)域立法,例如《個人信息保護法》等立法進程。此外,相關(guān)企業(yè)還應當重點關(guān)注重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法,以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求等在《數(shù)據(jù)安全法》中規(guī)定了嚴格罰則,但暫未進一步明確具體義務范圍相關(guān)的法律法規(guī)文件頒布情況。


TESG
企業(yè)概況
聯(lián)系我們
專家顧問
企業(yè)文化
黨風建設
核心團隊
資質(zhì)榮譽
合規(guī)監(jiān)管
部門職責
轉(zhuǎn)創(chuàng)中國
加入轉(zhuǎn)創(chuàng)
經(jīng)濟合作
智庫專家
質(zhì)量保證
咨詢流程
聯(lián)系我們
咨詢
IPO咨詢
投融資咨詢
會計服務
績效管理
審計和風險控制
競爭戰(zhàn)略
審計與鑒證、估價
企業(yè)管理咨詢
人力資源戰(zhàn)略與規(guī)劃
融資與并購財務顧問服務
投資銀行
企業(yè)文化建設
財務交易咨詢
資本市場及會計咨詢服務
創(chuàng)業(yè)與私營企業(yè)服務
公司治理、合規(guī)與反舞弊
國企改革
價值辦公室
集團管控
家族企業(yè)管理
服務
數(shù)據(jù)分析
資信評估
投資咨詢
風險及控制服務
管理咨詢
轉(zhuǎn)型升級服務
可行性研究咨詢服務
民企與私人客戶服務
解決方案
內(nèi)控
稅收內(nèi)部控制
稅收風險管理
內(nèi)控管理師
內(nèi)部控制咨詢
信用研究
信用法制中心
風險與內(nèi)控咨詢
無形資產(chǎn)內(nèi)控
企業(yè)內(nèi)控審計
內(nèi)部控制服務
內(nèi)部控制評價
內(nèi)部控制體系建設
內(nèi)部控制智庫
上市公司內(nèi)控
上市公司獨立董事
投行
M&A
資本市場
SPAC
科創(chuàng)板
金融信息庫
IPO咨詢
北交所
ASX
SGX
HKEX
金融服務咨詢
信用評級
上海證券交易所
NYSE
深圳證券交易所
審計
審計資料下載
法證會計
審計事務
審計及鑒證服務
審計咨詢
反舞弊中心
內(nèi)部控制審計
內(nèi)部審計咨詢
國際審計
合規(guī)
銀行合規(guī)專題
合規(guī)管理建設年
海關(guān)與全球貿(mào)易合規(guī)
數(shù)據(jù)合規(guī)專題
反腐敗中心
反壟斷合規(guī)
反舞弊中心
國際制裁
企業(yè)合規(guī)中心
信用合規(guī)專題
證券合規(guī)專題
合規(guī)中心
金融合規(guī)服務
反洗錢中心
全球金融犯罪評論
行業(yè)
新基建
文化、體育和娛樂業(yè)
電信、媒體和技術(shù)(TMT)
投城交通事業(yè)部
房地產(chǎn)建筑工程
醫(yī)療衛(wèi)生和社會服務
可持續(xù)發(fā)展與環(huán)保
全球基礎(chǔ)材料
大消費事業(yè)部
金融服務業(yè)
化學工程與工業(yè)
一帶一路
智慧生活與消費物聯(lián)
數(shù)字經(jīng)濟發(fā)展與檢測
食品開發(fā)與營養(yǎng)
先進制造事業(yè)部
能源資源與電力
消費與工業(yè)產(chǎn)品
運輸與物流
酒店旅游餐飲
科學研究與技術(shù)服務
政府及公共事務
化妝品與個人護理
一二三產(chǎn)融合
生物醫(yī)藥與大健康
新能源汽車與安全產(chǎn)業(yè)
法律
法律信息庫
稅法與涉稅服務
數(shù)字法治與網(wǎng)絡安全
勞動與人力資源法律
金融與資本市場法律
司法研究所
公司法專題
私募股權(quán)與投資基金
債務重組與清算/破產(chǎn)
轉(zhuǎn)創(chuàng)國際法律事務所
轉(zhuǎn)創(chuàng)法信事務所
財稅
法務會計
管理會計案例
決策的財務支持
家族資產(chǎn)和財富傳承
財稅法案例庫
資產(chǎn)評估
財稅信息庫
會計準則
財務研究所
財政稅收
會計研究所
財稅實務
投資咨詢
財務管理咨詢
審計事務
管理
轉(zhuǎn)創(chuàng)智庫
金融研究所
企業(yè)管理研究所
中國企業(yè)國際化發(fā)展
經(jīng)濟與產(chǎn)業(yè)研究
公司治理
氣候變化與可持續(xù)
ESG中心
管理咨詢
轉(zhuǎn)創(chuàng)
咨詢業(yè)數(shù)據(jù)庫
轉(zhuǎn)創(chuàng)網(wǎng)校
生物醫(yī)藥信息庫
建筑工程庫
轉(zhuǎn)創(chuàng)首都
轉(zhuǎn)創(chuàng)教育
轉(zhuǎn)創(chuàng)國際廣東 官網(wǎng)
科研創(chuàng)服
中國轉(zhuǎn)創(chuàng)雜志社
創(chuàng)新創(chuàng)業(yè)
轉(zhuǎn)型升級
技術(shù)轉(zhuǎn)移中心
轉(zhuǎn)創(chuàng)中國
中外
粵港澳大灣區(qū)
中國-東盟
一帶一路
澳大利亞
俄羅斯
新加坡
英國
加拿大
新西蘭
香港
美國
中非平臺
開曼群島
法國
歐洲聯(lián)盟
印度
北美洲
18318889481 13681114876
在線QQ
在線留言
返回首頁
返回頂部
留言板
發(fā)送