廣告合規(guī)法務 企業(yè)合規(guī) 藥企合規(guī) 企業(yè)廉潔合規(guī) 企業(yè)合規(guī)管理 上市公司合規(guī) 企業(yè)合規(guī)管理
日前,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“《數(shù)據(jù)安全法》”)正式通過并公布,自2021 年9月1日起施行。在信息經(jīng)濟時代,數(shù)據(jù)已成為新興的生產(chǎn)要素,是國家基礎(chǔ)性和戰(zhàn)略性資源,同時,數(shù)據(jù)安全需求也越發(fā)凸顯,已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題。
筆者指出,企業(yè)應當開始評估自身業(yè)務活動是否收集、處理重要數(shù)據(jù)與國家核心數(shù)據(jù),并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法,以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求,以確保在《數(shù)據(jù)安全法》正式實施之前,建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施。此外,對于業(yè)務活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口、涉及個人信息收集與處理、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言,還應當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求。
要 點
1. 企業(yè)在相應搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級標準時,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級保護標準中分類分級標準是否為強制標準,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過程當中所適用的分類分級標準。
2. 重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標準很可能于近期出臺,相關(guān)企業(yè)首先應當就此加以關(guān)注,以及時判斷自身是否屬于重要數(shù)據(jù)處理者的范圍。
3. 對于重要數(shù)據(jù)跨境傳輸而言,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,仍適用《網(wǎng)絡安全法》的要求,即關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲;因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估。
一、前言
2021年6月10日,《中華人民共和國數(shù)據(jù)安全法》已由中華人民共和國第十三屆全國人民代表大會常務 委員會第二十九次會議于2021年6月10日正式表決通過,正式公布,并將于2021年9月1日正式實施。
二、概述
(一)立法背景
自2020年6月28日以來,《數(shù)據(jù)安全法》經(jīng)歷了三次審議與修改,終于2021年6月10日正式表決通過, 并確定將于2021年9月1日正式實施。
在此之前,中國未就數(shù)據(jù)安全領(lǐng)域設置具有針對性的上位法,主要零散分布于其他法律法規(guī)及其相關(guān)司法解釋等文件中予以體現(xiàn)。具體而言,包括但不限于以下內(nèi)容:
1. 《網(wǎng)絡安全法》中對關(guān)鍵信息基礎(chǔ)設施運營者就個人信息和重要數(shù)據(jù)出境前設置了安全評估制度的要求(例如,第三十七條等);對網(wǎng)絡運營者設置了建立用戶信息保護制度的要求,與收集、使用個
人信息的要求(例如,第四十條、第四十一條等)。
2. 《民法典》明確規(guī)定個人信息保護為民事權(quán)利之一,即自然人的個人信息受法律保護。任何組織 或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息(例如,第一百一十一條等)。
3. 《刑法》修正案及其司法解釋就出售或者非法提供、竊取或者非法獲取公民個人信息的犯罪及刑罰予以了定義與補充(例如,刑法修正案(七)、刑法修正案(九)、《關(guān)于辦理侵犯公民個人信息刑事案件使用法律若?問題的解釋》等)。
(二) 立法意義
《數(shù)據(jù)安全法》由七個章節(jié)、55條法律條文組成,涵蓋了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放及相關(guān)法律責任等具體規(guī)定。
作為中國首部針對數(shù)據(jù)安全領(lǐng)域的立法,本法明確了國家對數(shù)據(jù)安全的監(jiān)管范圍、確立了相關(guān)監(jiān)管機關(guān) 對數(shù)據(jù)安全的監(jiān)管地位、闡明了維護數(shù)據(jù)安全的核心意義等,為數(shù)據(jù)安全各領(lǐng)域后續(xù)立法工作(例如, 個人信息保護法等)與安全監(jiān)管工作提供重要法律依據(jù)。
三、重點內(nèi)容解讀
本文將結(jié)合《數(shù)據(jù)安全法》的具體規(guī)定與中國法律法規(guī)項下其他相關(guān)規(guī)定,對《數(shù)據(jù)安全法》中的重點內(nèi)容予以解讀,分析其與其他數(shù)據(jù)安全領(lǐng)域相關(guān)規(guī)定的聯(lián)系,研判法律要求的具體變化,形成立法形勢預判,供企業(yè)參考。
(一)立法核心目的
從《數(shù)據(jù)安全法》第一條中我們可以得知,此項立法繼承了《網(wǎng)絡安全法》《民法典》等法律以及國際數(shù)據(jù)保護立法趨勢中對公民、組織合法權(quán)益保障,對數(shù)據(jù)處理活動予以規(guī)范,促進數(shù)據(jù)開發(fā)利用的核心目的。
此外,此次立法中另一項被延續(xù)的重要的目的在于維護國家主權(quán)、安全和發(fā)展利益。此項立法基于這一目的實現(xiàn)所規(guī)定的具體要求除保護中國公民個人信息以及中國境內(nèi)重要數(shù)據(jù)安全以外,還可能成為反制外國司法或執(zhí)法機構(gòu)調(diào)查中的跨境證據(jù)采集法律法規(guī)(例如,美國 云法案 )的有效手段。
(二)適用范圍
根據(jù)《數(shù)據(jù)安全法》第二條第一款的規(guī)定,本法的適用范圍為在中華人民共和國境內(nèi)開展的數(shù)據(jù)處理活動及其安全監(jiān)管活動。
但是與此同時,第二條第二款規(guī)定在中華人民共和國境外開展數(shù)據(jù)處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的,將依法追究法律責任,據(jù)此可知第二條第二款未直接將境外開展數(shù)據(jù)處理活動納入本法的適用范圍內(nèi)。我們初步判斷,設置本條款的主要目的在于在國家的合理立法范圍權(quán)力內(nèi),通過作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ)的《數(shù)據(jù)安全法》,確立境外開展的數(shù)據(jù)處理活動需符合中國法律的相關(guān)規(guī)定的要求,以《個人信息保護法(草案二次審議稿)》為例:該草案規(guī)定某些特定的在中國境外處理中國境內(nèi)自然人個人信息的活動也屬于草案的適用范圍。
值得注意的是,《數(shù)據(jù)安全法》的適用范圍排除了涉及國家秘密的數(shù)據(jù)處理活動及其監(jiān)管,即涉及國家 秘密的數(shù)據(jù)處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。
(三)關(guān)鍵定義
1. 數(shù)據(jù)的范圍:電子數(shù)據(jù)與非電子形式記錄的數(shù)據(jù)
《數(shù)據(jù)安全法》第三條第一款給出了對數(shù)據(jù)的定義,即指任何以電子或者其他方式對信息的記錄。此處的定義與《個人信息保護法(草案二次審議稿)》中個人信息的定義的描述類似,具體而言包括了電子數(shù)據(jù)以及非電子形式記錄的數(shù)據(jù)。
在此之前,中國法律項下未就數(shù)據(jù)這一概念予以具體定義,但是在《網(wǎng)絡安全法》中,有網(wǎng)絡數(shù)據(jù)的定義,即通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。因此,需要注意的是,《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ),其項下所指數(shù)據(jù)范圍要大于此前立法中的概念,也意味著未來的立法趨勢中,非電子形式記錄的數(shù)據(jù)可能也會納入各具體數(shù)據(jù)安全領(lǐng)域法律規(guī)定的適用范圍內(nèi)。
2. 數(shù)據(jù)處理的含義
《數(shù)據(jù)安全法》第三條第二款對數(shù)據(jù)的 處理 與《民法典》第一千零三十五條所描述的處理一致,即收集、存儲、使用、加工、傳輸、提供、公開等。
(四)數(shù)據(jù)安全監(jiān)管體系
根據(jù)《數(shù)據(jù)安全法》,建立健全數(shù)據(jù)安全治理體系應當堅持總體國家安全觀。中央國家安全領(lǐng)導機構(gòu)作 為研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重 要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制的關(guān)鍵機關(guān)。各行業(yè)主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責,國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡數(shù)據(jù)安全和相關(guān)監(jiān)管工作。鑒于上述《數(shù)據(jù)安全法》的要求,數(shù)據(jù)監(jiān)管將按照行業(yè)予以劃分,各行業(yè)內(nèi)的所有數(shù)據(jù)保護監(jiān)管,包括數(shù)據(jù)出境審批、落實數(shù)據(jù)分類分級保護制度等權(quán)力,實際落實到了各行業(yè)主管部門。
此外,根據(jù)《數(shù)據(jù)安全法》的要求,國家將建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。
(五)數(shù)據(jù)安全制度
1. 數(shù)據(jù)分類分級保護制度
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)分類分級保護制度,要求對數(shù)據(jù)實行分類分級保護。此處,我們判斷“分類”,指根據(jù)不同的產(chǎn)業(yè)類型對數(shù)據(jù)進行分類保護,而“ 分級”,指根據(jù)不同的數(shù)據(jù)類型設置不同的等級保護要求。例如,工業(yè)和信息化部就工業(yè)數(shù)據(jù)分類分級于2020年2月27日發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南》,根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后,可能對工業(yè)生產(chǎn)、經(jīng)濟效益等帶來的潛在影響,將工業(yè)數(shù)據(jù)分為一級、二級、三級等3個級別。此外,例如中國證券監(jiān)督管理委員會于2018 年發(fā)布了《證券期貨業(yè)數(shù)據(jù)分類分級指引》行業(yè)標準?!稊?shù)據(jù)安全法》奠定了未來各行業(yè)主管部門基于其數(shù)據(jù)監(jiān)管權(quán)力,通過制定數(shù)據(jù)分類分級指引與行業(yè)標準、開展有關(guān)執(zhí)法監(jiān)管活動,落實數(shù)據(jù)分類分級保護制度中的重要趨勢。
對于此,我們提請相關(guān)企業(yè)注意,在相應搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級標準時,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級保護標準中分類分級標準是否為強制標準,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過程當中所適用的分類分級標準。即使當執(zhí)法所依據(jù)的分類標準為指引或推 薦性標準,相關(guān)企業(yè)仍應當嚴格按照相應標準執(zhí)行數(shù)據(jù)分級分類保護制度。
2. 重要數(shù)據(jù)與國家核心數(shù)據(jù)
(1)重要數(shù)據(jù)
《數(shù)據(jù)安全法》授權(quán)國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)各地區(qū)、各有關(guān)部門制定重要數(shù)據(jù)目錄。重要數(shù)據(jù) 的概念首次在《網(wǎng)絡安全法》中提出,并對重要數(shù)據(jù)的某些跨境傳輸、特別保護提出了具體要求, 但是沒有予以具體的界定,實際的認定中也存在模糊的情形。我們初步判斷,未來有關(guān)部門根據(jù)《數(shù)據(jù)安全法》的要求制定的重要數(shù)據(jù)目錄,將作為《網(wǎng)絡安全法》中界定重要數(shù)據(jù) 的重要依據(jù)。
值得留意的是,2017年4月網(wǎng)信辦發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》,但是遲遲未有新立法動向。在此項征求意見稿中,重要數(shù)據(jù)指與國家安全、經(jīng)濟發(fā)展,以及社會公共利益密切相關(guān)的數(shù)據(jù)。我們理解,該范圍可能會作為有關(guān)部門制定重要數(shù)據(jù)目錄的參考標準。
各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。對于此,我們判斷行業(yè)主管部門除通過發(fā)布指引、行業(yè)標準等文件落實數(shù)據(jù)分類分級保護制度以外,還很可能基于其數(shù)據(jù)監(jiān)管權(quán)力,制定本行業(yè)的重要數(shù)據(jù)目錄,具體劃定本行業(yè)中受《數(shù)據(jù)安全法》規(guī)制的重要數(shù)據(jù) 。
(2)國家核心數(shù)據(jù)
《數(shù)據(jù)安全法》還首次提出了國家核心數(shù)據(jù)的概念,即關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大 公共利益等數(shù)據(jù),并要求對此類數(shù)據(jù)實行更加嚴格的管理制度。違反國家核心數(shù)據(jù)管理制度,危害國家主權(quán)、安全和發(fā)展利益的主體,可能面臨由有關(guān)主管部門處一千萬元以下罰款,并根據(jù)情況責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,依法追究刑事責任。
此外值得注意的是,由于《數(shù)據(jù)安全法》的適用范圍排除了涉及國家秘密的數(shù)據(jù)處理活動及其監(jiān)管,此處國家核心數(shù)據(jù)并非指涉及國家秘密的數(shù)據(jù)。
目前,《數(shù)據(jù)安全法》中暫未就針對國家核心數(shù)據(jù)的更加嚴格的管理制度予以展開規(guī)定,我們推斷有關(guān)部門可能會在后續(xù)立法工作中予以更為細化的解釋,有關(guān)公司應當特別予以跟蹤關(guān)注。
3. 數(shù)據(jù)安全審查制度
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全審查制度,要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國 家安全審查,并賦予了依法作出的安全審查決定最終決定的效力。
早在2020年4月27日,國家互聯(lián)網(wǎng)信息辦公室,國家發(fā)展和改革委員會,工業(yè)和信息化部,公安部,財政部,商務部,中國人民銀行,國家市場監(jiān)督管理總局,國家廣播電視總局,國家保密局,國家密碼管理局十二個國家部門聯(lián)合制定、發(fā)布了于2020年6月1日生效的《網(wǎng)絡安全審查辦法》,以確保關(guān)鍵信息基礎(chǔ)設施供應鏈安全,進而保護關(guān)鍵基礎(chǔ)設施網(wǎng)絡安全與業(yè)務安全,并維護國家安全。我們推斷,《網(wǎng)絡安全審查辦法》可能會作為《數(shù)據(jù)安全法》項下各領(lǐng)域數(shù)據(jù)安全審查工作模式的藍本,形成多部門聯(lián) 合審查工作機制作為審查主管部門可能成為數(shù)據(jù)安全審查的趨勢,從而能夠有效應對數(shù)據(jù)安全問題的內(nèi)在復雜性。
4. 數(shù)據(jù)安全應急處置機制
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應急處置機制,要求在發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息。
5. 管制物項數(shù)據(jù)的出口管制
根據(jù)《數(shù)據(jù)安全法》的規(guī)定,對與維護國家安全和利益、履行國際義務相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。
《出口管制法》明確指出管制物項的范圍包括技術(shù)資料等數(shù)據(jù)。具體而言,《出口管制法》第二條規(guī)定,國家對兩用物項、軍品、核以及其他與維護國家安全和利益、履行防擴散等國際義務相關(guān)的貨物、技術(shù)、服務等物項(以下統(tǒng)稱管制物項)的出口管制,適用本法。前款所稱管制物項,包括物項相關(guān)的技術(shù)資料等數(shù)據(jù)?!稊?shù)據(jù)安全法》在數(shù)據(jù)保護領(lǐng)域立法中,明確技術(shù)資料等數(shù)據(jù)出口屬于出口管制監(jiān)管范圍內(nèi),若予以出口需申請相應出口許可證,從而進一步確保了涉及限制出口的兩用物項技術(shù)資料的安全。
6. 針對數(shù)據(jù)歧視的對等措施
《數(shù)據(jù)安全法》中設置了一項針對數(shù)據(jù)歧視的比較特別的規(guī)定,即任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。
對等措施 的設置多存在于貿(mào)易法與投資法領(lǐng)域,例如《外商投資法》《出口管制法》等。在作為數(shù)據(jù)安全領(lǐng)域重要法律基礎(chǔ)的《數(shù)據(jù)安全法》中加入對等措施,反映出立法機關(guān)將數(shù)據(jù)安全、數(shù)據(jù)技術(shù)認 定為中國企業(yè)壯大發(fā)展的關(guān)鍵要素,也反映出中國立法機關(guān)在復雜國際背景下未?綢繆的努力。
(六)數(shù)據(jù)安全保護義務
《數(shù)據(jù)安全法》第四章具體規(guī)定了開展數(shù)據(jù)處理活動的主體應當遵循的數(shù)據(jù)安全保護義務。具體而言, 從事數(shù)據(jù)處理的組織與個人應當關(guān)注以下主要數(shù)據(jù)安全保護義務:
1. 一般義務
首先需要注意的是,《數(shù)據(jù)安全法》所規(guī)定的一般義務適用主體范圍約束的是 開展數(shù)據(jù)處理活動。因此,凡開展《數(shù)據(jù)安全法》所約束范圍內(nèi)的數(shù)據(jù)處理活動的主體,均需履行一般義務。這?的所指的一般義務主要包括:
(1)建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓。
(2)采取相應的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。
(3)利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動,應當在網(wǎng)絡安全等級保護制度的基礎(chǔ)上,履行數(shù)據(jù)安全保護義務。具體指在符合《網(wǎng)絡安全法》項下網(wǎng)絡安全等級保護制度的要求下,采取包括但不限于制定內(nèi)部安全管理制度和操作規(guī)程,確定網(wǎng)絡安全負責人,采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術(shù)措施,監(jiān)測、記錄網(wǎng)絡運行狀態(tài)與網(wǎng)絡安全事件,采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施,履行具體的數(shù)據(jù)安全保護義務。
(4)加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應當立即采取補救措施。
(5)發(fā)生數(shù)據(jù)安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
(6)收集數(shù)據(jù),應當采取合法、正當?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)。
(7)法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,應當在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。該項義務銜接了各行業(yè)主管部門關(guān)于個人信息保護的數(shù)據(jù)處理規(guī)則,形成了上位法依據(jù)。此外,值得注意的是,根據(jù)此項義務描述,不僅個人數(shù)據(jù)的收集、使用需滿?合法性、正當性原則,其他數(shù)據(jù)也要需要具有相應的合法性與正當性?;诖?,我們初步預見目前針對個人信息保護的制度未來可能會擴大、借鑒適用到其他數(shù)據(jù)保護法律法規(guī)的內(nèi)容當中。
(8)法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務應當取得行政許可的,服務提供者應當依法取得許可。
(9)有關(guān)組織、個人應當配合公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)。
上述《數(shù)據(jù)安全法》所要求用于確保數(shù)據(jù)安全保護的一般義務,與ISO27001《數(shù)據(jù)安全管理體系》中的部分基本元素相吻合,如制定數(shù)據(jù)保護制度政策,采取例如加密技術(shù)等技術(shù)措施及物理環(huán)境安全保障措施、訪問管理措施、操作管理措施等其他必要措施保障數(shù)據(jù)安全,制定應急預案以應對數(shù)據(jù)安全事件,并關(guān)注與有關(guān)法律法規(guī)的要求合規(guī)等。
若開展數(shù)據(jù)處理活動的主體違反以上(1)(2)(3)(4)(5)項一般義務的要求,可能會面臨由有關(guān)主管部門責令改正,給予警告,直至責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處以二百萬元以下的罰款。
若違反第(9)項一般義務的要求,拒不配合數(shù)據(jù)調(diào)取的,可能將面臨由有關(guān)主管部門責令改正,給予警告,并處以五十萬元以下的罰款。
對于(6)(7)(8)項一般義務而言,由于各數(shù)據(jù)安全領(lǐng)域具有其自身的特殊性(例如個人信息具有內(nèi)在敏感性,涉及個人信息處理的相關(guān)義務要求與對應違法處罰一般更為嚴格),雖然未在《數(shù)據(jù)安全法》直接規(guī)定具體的違法處罰措施,但是我們判斷具體的罰則將在具體的實施條例及其他相關(guān)法律法 規(guī)中予以明確。
2. 重要數(shù)據(jù)處理者特別義務
目前,重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標準很可能于近期出臺,相關(guān)企業(yè)首先應當就此加以關(guān)注,以及時判斷自身是否屬于重要數(shù)據(jù)處理者的范圍。根據(jù)《數(shù)據(jù)安全法》的要求,重要數(shù)據(jù)處理者需要履行以下特別義務:
(1)要求重要數(shù)據(jù)處理者任命數(shù)據(jù)安全負責人和管理機構(gòu),以落實數(shù)據(jù)安全保護責任。
(2)要求重要數(shù)據(jù)處理者對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告。具體而言,風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應對措施等。
若開展數(shù)據(jù)處理活動的主體違反以上重要數(shù)據(jù)處理者特別義務,可能會面臨由有關(guān)主管部門責令改正,給予警告,直至責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處以二百萬元以下的罰款。
3. 重要數(shù)據(jù)跨境傳輸特別要求
對于重要數(shù)據(jù)跨境傳輸而言,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,仍適用《網(wǎng)絡安全法》的要求,即關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲;因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估。
此外,《數(shù)據(jù)安全法》規(guī)定,其他數(shù)據(jù)處理者(即,非關(guān)鍵信息基礎(chǔ)設施的運營者)在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務院有關(guān)部門制定。我 們判斷,有關(guān)部門可能會出臺針對非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法。雖然《個人 信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》的出臺可能性已經(jīng)非常小,但是其中有關(guān)非關(guān)鍵信息基礎(chǔ)設施的運營者重要數(shù)據(jù)出境安全評估的標準以及相關(guān)要求仍可能作為立法部門參考的重要依據(jù)。
若違反《數(shù)據(jù)安全法》規(guī)定向境外提供重要數(shù)據(jù),可能會面臨由有關(guān)主管部門責令改正,給予警告,責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處一千萬元以下的罰款。
4. 數(shù)據(jù)交易中介服務機構(gòu)特別要求
《數(shù)據(jù)安全法》對于從事數(shù)據(jù)交易中介服務的機構(gòu)提供服務的過程當中,設置了特別的要求,即應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄。
若數(shù)據(jù)交易中介服務機構(gòu)未履行上述要求,則可能面臨由有關(guān)主管部門責令改正,沒收違法所得,責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處違法所得一倍以上十倍以下或一百萬元以下的罰款。
5. 應對外國司法或執(zhí)法機構(gòu)調(diào)查的特別要求
近年來,外國司法或執(zhí)法機構(gòu)(例如,美國BIS、OFAC等監(jiān)管機關(guān))調(diào)查中國境內(nèi)實體的頻率以及由此引發(fā)的制裁、處罰案件越發(fā)增多。美國于2018 年3 月還通過了《海外數(shù)據(jù)合法使用權(quán)明確法案》(CLOUD ACT,多稱為美國 云法案 ),以指導美國執(zhí)法部門依據(jù)合法的搜查令來直接訪問境外的數(shù)據(jù)。
在此背景下,此次《數(shù)據(jù)安全法》的立法明確規(guī)定,非經(jīng)中華人民共和國主管機關(guān)批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機關(guān)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù),并同時聲明中國主管機關(guān)根據(jù)有關(guān)法律和中國締結(jié)或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求。這一立法規(guī)定能夠從法律層面上阻斷外國司法或者執(zhí)法機構(gòu)直接要求相關(guān)實體提供存儲于中國境內(nèi)的數(shù)據(jù)的調(diào)查活動,從而在一定程度上實現(xiàn)對國家主權(quán)、安全和發(fā)展利益的維護。
在此之前,中國境內(nèi)組織、個人在配合外國司法或執(zhí)法機關(guān)調(diào)查時,主要需要關(guān)注數(shù)據(jù)跨境傳輸中的兩類情形,即(1)跨境傳輸?shù)臄?shù)據(jù)構(gòu)成國家秘密,則不得向境外提供,以及(2)關(guān)鍵基礎(chǔ)設施所收集的個人信息、重要數(shù)據(jù)僅可在依法進行了安全評估后能夠向境外提供。《數(shù)據(jù)安全法》實質(zhì)上在此前的基礎(chǔ)上,對組織、個人在配合外國司法或執(zhí)法機關(guān)調(diào)查時所提交數(shù)據(jù)的管控范圍予以了擴張,即擴張至所有數(shù)據(jù)需經(jīng)過有關(guān)主管機關(guān)批準方可向外國司法或者執(zhí)法機關(guān)提供,而不再僅限于上述兩類限制性情形。
若相關(guān)主體未經(jīng)主管機關(guān)批準向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù),可能面臨由有關(guān)主管部門給予警告,責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照,并處五百萬元以下罰款。
(七)政務數(shù)據(jù)管理
《數(shù)據(jù)安全法》對國家機關(guān)收集、使用數(shù)據(jù)(如個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)),以及與數(shù)據(jù)處理受托第三方共享數(shù)據(jù)等方面設置了具體的原則性要求,落實政務數(shù)據(jù)安全。與此同時,《數(shù)據(jù)安全法》還對國家機關(guān)制定了及時、準確地公開政務數(shù)據(jù),構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺等方面的要求,推動政務數(shù)據(jù)開放利用。
四、企業(yè)合規(guī)建議
(一)評估自身業(yè)務的適用性
《數(shù)據(jù)安全法》的適用范圍相較而言,明確擴大了原數(shù)據(jù)安全領(lǐng)域法律法規(guī)的管轄范圍,將管轄范圍延伸至非電子數(shù)據(jù)。因此,相關(guān)企業(yè)需要重新結(jié)合自身業(yè)務操作,研判自身所開展的數(shù)據(jù)處理活動是否屬于《數(shù)據(jù)安全法》的規(guī)制范圍內(nèi),特別是針對非電子數(shù)據(jù)的處理活動予以研判。
此外,相關(guān)企業(yè)還應當研判自身開展業(yè)務是否屬于《數(shù)據(jù)安全法》中所指定的具有特殊義務要求的數(shù)據(jù)處理主體,如重要數(shù)據(jù)處理者、數(shù)據(jù)交易中介服務機構(gòu)、關(guān)鍵信息基礎(chǔ)設施的運營者等,以明確自身應當履行的義務范圍。
(二)建立符合要求的數(shù)據(jù)安全制度,確保義務的履行
《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全制度,治理數(shù)據(jù)安全領(lǐng)域問題。對于相關(guān)企業(yè)而言,建立與《數(shù)據(jù)安全法》要求匹配的內(nèi)部數(shù)據(jù)安全制度是確保合規(guī)操作、完整履行自身義務的重要手段。
1. 建立數(shù)據(jù)分類分級管理制度
我們建議相關(guān)企業(yè)根據(jù)《數(shù)據(jù)安全法》,建立數(shù)據(jù)分類分級管理制度。鑒于有關(guān)重要數(shù)據(jù)出境以及國家核心數(shù)據(jù)的違法處罰占據(jù)了《數(shù)據(jù)安全法》中最嚴格處罰措施的地位(一千萬元以下的罰款;構(gòu)成犯罪,處以刑事責任),企業(yè)應當特別關(guān)注分類分級管理制度中的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施建立。
企業(yè)應當著手采取措施,開始評估自身業(yè)務活動是否收集、處理重要數(shù)據(jù)與國家核心數(shù)據(jù),并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法,以 及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求,以確保在《數(shù)據(jù)安全法》正式實施之前,建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施。
此外,對于業(yè)務活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口、涉及個人信息收集與處理、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言,還應當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求。
2. 建立數(shù)據(jù)安全審查制度
《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全審查制度,要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國 家安全審查。對于相關(guān)企業(yè)而言,特別是業(yè)務活動涉及處理重要數(shù)據(jù)的相關(guān)企業(yè),應當履行對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門依法報送風險評估報告的義務。
此外,企業(yè)應當繼續(xù)關(guān)注《網(wǎng)絡安全審查辦法》等針對各領(lǐng)域數(shù)據(jù)安全審查的具體辦法的后續(xù)頒布情況,及時依法調(diào)整內(nèi)部數(shù)據(jù)安全審查范圍,以配合國家有關(guān)部門的審查要求。
3. 建立數(shù)據(jù)安全應急處置機制
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應急處置機制。對于相關(guān)企業(yè)而言,應當履行加強數(shù)據(jù)安全風險監(jiān)測并及時采取補救措施的義務,與發(fā)生數(shù)據(jù)安全事件時及時采取處置措施并上報主管部門的義務。
我們建議相關(guān)企業(yè)搭建內(nèi)部正式數(shù)據(jù)安全風險監(jiān)測與修正機制,并制定書面數(shù)據(jù)安全事件應急預案,以最大程度確保配合有關(guān)部門的調(diào)查與應急處置措施開展,從而防止危害擴大,消除安全隱患。
(三)關(guān)注數(shù)據(jù)安全領(lǐng)域立法動態(tài)
《數(shù)據(jù)安全法》的頒布是中國的數(shù)據(jù)安全領(lǐng)域立法進程中的一項關(guān)鍵的舉措,其頒布標志著數(shù)據(jù)安全立法擁有了具有統(tǒng)領(lǐng)性質(zhì)的上位法。這同時意味著,后續(xù)有關(guān)部門將很可能加大數(shù)據(jù)安全領(lǐng)域立法力度,補充更多針對各領(lǐng)域的具體細化要求。
就目前而言,企業(yè)應當關(guān)注的后續(xù)數(shù)據(jù)安全領(lǐng)域立法,例如《個人信息保護法》等立法進程。此外,相關(guān)企業(yè)還應當重點關(guān)注重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設施的運營者出境重要數(shù)據(jù)的具體辦法,以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求等在《數(shù)據(jù)安全法》中規(guī)定了嚴格罰則,但暫未進一步明確具體義務范圍相關(guān)的法律法規(guī)文件頒布情況。
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號
北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市海淀區(qū)西禪寺(華北項目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢