日前��,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“《數(shù)據(jù)安全法》”)正式通過并公布���,自2021 年9月1日起施行����。在信息經(jīng)濟時代�����,數(shù)據(jù)已成為新興的生產(chǎn)要素�����,是國家基礎(chǔ)性和戰(zhàn)略性資源�,同時,數(shù)據(jù)安全需求也越發(fā)凸顯���,已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題�����。
筆者指出�,企業(yè)應(yīng)當開始評估自身業(yè)務(wù)活動是否收集��、處理重要數(shù)據(jù)與國家核心數(shù)據(jù)�����,并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者出境重要數(shù)據(jù)的具體辦法��,以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求�����,以確保在《數(shù)據(jù)安全法》正式實施之前�����,建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施���。此外�,對于業(yè)務(wù)活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口�、涉及個人信息收集與處理、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言���,還應(yīng)當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求���。
要 點
1. 企業(yè)在相應(yīng)搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級標準時���,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級保護標準中分類分級標準是否為強制標準��,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過程當中所適用的分類分級標準�。
2. 重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標準很可能于近期出臺����,相關(guān)企業(yè)首先應(yīng)當就此加以關(guān)注,以及時判斷自身是否屬于重要數(shù)據(jù)處理者的范圍��。
3. 對于重要數(shù)據(jù)跨境傳輸而言��,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理���,仍適用《網(wǎng)絡(luò)安全法》的要求�����,即關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲���;因業(yè)務(wù)需要,確需向境外提供的��,應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。
一���、前言
2021年6月10日�����,《中華人民共和國數(shù)據(jù)安全法》已由中華人民共和國第十三屆全國人民代表大會常務(wù) 委員會第二十九次會議于2021年6月10日正式表決通過��,正式公布��,并將于2021年9月1日正式實施��。
二�、概述
(一)立法背景
自2020年6月28日以來����,《數(shù)據(jù)安全法》經(jīng)歷了三次審議與修改,終于2021年6月10日正式表決通過����, 并確定將于2021年9月1日正式實施。
在此之前���,中國未就數(shù)據(jù)安全領(lǐng)域設(shè)置具有針對性的上位法��,主要零散分布于其他法律法規(guī)及其相關(guān)司法解釋等文件中予以體現(xiàn)�。具體而言,包括但不限于以下內(nèi)容:
1. 《網(wǎng)絡(luò)安全法》中對關(guān)鍵信息基礎(chǔ)設(shè)施運營者就個人信息和重要數(shù)據(jù)出境前設(shè)置了安全評估制度的要求(例如����,第三十七條等)���;對網(wǎng)絡(luò)運營者設(shè)置了建立用戶信息保護制度的要求�����,與收集�����、使用個
人信息的要求(例如��,第四十條�����、第四十一條等)����。
2. 《民法典》明確規(guī)定個人信息保護為民事權(quán)利之一,即自然人的個人信息受法律保護��。任何組織 或者個人需要獲取他人個人信息的�����,應(yīng)當依法取得并確保信息安全�����,不得非法收集�����、使用�����、加工��、傳輸他人個人信息���,不得非法買賣���、提供或者公開他人個人信息(例如���,第一百一十一條等)。
3. 《刑法》修正案及其司法解釋就出售或者非法提供��、竊取或者非法獲取公民個人信息的犯罪及刑罰予以了定義與補充(例如�,刑法修正案(七)����、刑法修正案(九)����、《關(guān)于辦理侵犯公民個人信息刑事案件使用法律若?問題的解釋》等)。
(二) 立法意義
《數(shù)據(jù)安全法》由七個章節(jié)�����、55條法律條文組成�,涵蓋了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度��、數(shù)據(jù)安全保護義務(wù)����、政務(wù)數(shù)據(jù)安全與開放及相關(guān)法律責任等具體規(guī)定�����。
作為中國首部針對數(shù)據(jù)安全領(lǐng)域的立法�����,本法明確了國家對數(shù)據(jù)安全的監(jiān)管范圍�、確立了相關(guān)監(jiān)管機關(guān) 對數(shù)據(jù)安全的監(jiān)管地位���、闡明了維護數(shù)據(jù)安全的核心意義等�����,為數(shù)據(jù)安全各領(lǐng)域后續(xù)立法工作(例如��, 個人信息保護法等)與安全監(jiān)管工作提供重要法律依據(jù)���。
三、重點內(nèi)容解讀
本文將結(jié)合《數(shù)據(jù)安全法》的具體規(guī)定與中國法律法規(guī)項下其他相關(guān)規(guī)定�,對《數(shù)據(jù)安全法》中的重點內(nèi)容予以解讀,分析其與其他數(shù)據(jù)安全領(lǐng)域相關(guān)規(guī)定的聯(lián)系��,研判法律要求的具體變化����,形成立法形勢預(yù)判�,供企業(yè)參考���。
(一)立法核心目的
從《數(shù)據(jù)安全法》第一條中我們可以得知��,此項立法繼承了《網(wǎng)絡(luò)安全法》《民法典》等法律以及國際數(shù)據(jù)保護立法趨勢中對公民����、組織合法權(quán)益保障���,對數(shù)據(jù)處理活動予以規(guī)范,促進數(shù)據(jù)開發(fā)利用的核心目的�。
此外,此次立法中另一項被延續(xù)的重要的目的在于維護國家主權(quán)�、安全和發(fā)展利益。此項立法基于這一目的實現(xiàn)所規(guī)定的具體要求除保護中國公民個人信息以及中國境內(nèi)重要數(shù)據(jù)安全以外��,還可能成為反制外國司法或執(zhí)法機構(gòu)調(diào)查中的跨境證據(jù)采集法律法規(guī)(例如���,美國 云法案 )的有效手段�����。
(二)適用范圍
根據(jù)《數(shù)據(jù)安全法》第二條第一款的規(guī)定���,本法的適用范圍為在中華人民共和國境內(nèi)開展的數(shù)據(jù)處理活動及其安全監(jiān)管活動�。
但是與此同時��,第二條第二款規(guī)定在中華人民共和國境外開展數(shù)據(jù)處理活動�,損害中華人民共和國國家安全、公共利益或者公民�����、組織合法權(quán)益的�,將依法追究法律責任,據(jù)此可知第二條第二款未直接將境外開展數(shù)據(jù)處理活動納入本法的適用范圍內(nèi)�����。我們初步判斷����,設(shè)置本條款的主要目的在于在國家的合理立法范圍權(quán)力內(nèi),通過作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ)的《數(shù)據(jù)安全法》�,確立境外開展的數(shù)據(jù)處理活動需符合中國法律的相關(guān)規(guī)定的要求,以《個人信息保護法(草案二次審議稿)》為例:該草案規(guī)定某些特定的在中國境外處理中國境內(nèi)自然人個人信息的活動也屬于草案的適用范圍�����。
值得注意的是,《數(shù)據(jù)安全法》的適用范圍排除了涉及國家秘密的數(shù)據(jù)處理活動及其監(jiān)管��,即涉及國家 秘密的數(shù)據(jù)處理活動���,適用《中華人民共和國保守國家秘密法》等法律�、行政法規(guī)的規(guī)定�。
(三)關(guān)鍵定義
1. 數(shù)據(jù)的范圍:電子數(shù)據(jù)與非電子形式記錄的數(shù)據(jù)
《數(shù)據(jù)安全法》第三條第一款給出了對數(shù)據(jù)的定義,即指任何以電子或者其他方式對信息的記錄��。此處的定義與《個人信息保護法(草案二次審議稿)》中個人信息的定義的描述類似���,具體而言包括了電子數(shù)據(jù)以及非電子形式記錄的數(shù)據(jù)�����。
在此之前,中國法律項下未就數(shù)據(jù)這一概念予以具體定義���,但是在《網(wǎng)絡(luò)安全法》中����,有網(wǎng)絡(luò)數(shù)據(jù)的定義,即通過網(wǎng)絡(luò)收集�、存儲、傳輸��、處理和產(chǎn)生的各種電子數(shù)據(jù)���。因此���,需要注意的是,《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ)���,其項下所指數(shù)據(jù)范圍要大于此前立法中的概念�,也意味著未來的立法趨勢中�����,非電子形式記錄的數(shù)據(jù)可能也會納入各具體數(shù)據(jù)安全領(lǐng)域法律規(guī)定的適用范圍內(nèi)���。
2. 數(shù)據(jù)處理的含義
《數(shù)據(jù)安全法》第三條第二款對數(shù)據(jù)的 處理 與《民法典》第一千零三十五條所描述的處理一致��,即收集����、存儲、使用����、加工、傳輸�����、提供���、公開等��。
(四)數(shù)據(jù)安全監(jiān)管體系
根據(jù)《數(shù)據(jù)安全法》��,建立健全數(shù)據(jù)安全治理體系應(yīng)當堅持總體國家安全觀���。中央國家安全領(lǐng)導(dǎo)機構(gòu)作 為研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策�,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重 要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制的關(guān)鍵機關(guān)�����。各行業(yè)主管部門承擔本行業(yè)���、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責��,國家網(wǎng)信部門依照本法和有關(guān)法律����、行政法規(guī)的規(guī)定���,負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作���。鑒于上述《數(shù)據(jù)安全法》的要求,數(shù)據(jù)監(jiān)管將按照行業(yè)予以劃分����,各行業(yè)內(nèi)的所有數(shù)據(jù)保護監(jiān)管,包括數(shù)據(jù)出境審批���、落實數(shù)據(jù)分類分級保護制度等權(quán)力��,實際落實到了各行業(yè)主管部門��。
此外�,根據(jù)《數(shù)據(jù)安全法》的要求,國家將建立集中統(tǒng)一�����、高效權(quán)威的數(shù)據(jù)安全風險評估����、報告、信息共享���、監(jiān)測預(yù)警機制�。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取����、分析、研判�����、預(yù)警工作�。
(五)數(shù)據(jù)安全制度
1. 數(shù)據(jù)分類分級保護制度
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)分類分級保護制度,要求對數(shù)據(jù)實行分類分級保護��。此處����,我們判斷“分類”,指根據(jù)不同的產(chǎn)業(yè)類型對數(shù)據(jù)進行分類保護�����,而“ 分級”���,指根據(jù)不同的數(shù)據(jù)類型設(shè)置不同的等級保護要求�����。例如���,工業(yè)和信息化部就工業(yè)數(shù)據(jù)分類分級于2020年2月27日發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南》,根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改�����、破壞�����、泄露或非法利用后��,可能對工業(yè)生產(chǎn)、經(jīng)濟效益等帶來的潛在影響�����,將工業(yè)數(shù)據(jù)分為一級���、二級�����、三級等3個級別���。此外,例如中國證券監(jiān)督管理委員會于2018 年發(fā)布了《證券期貨業(yè)數(shù)據(jù)分類分級指引》行業(yè)標準���?!稊?shù)據(jù)安全法》奠定了未來各行業(yè)主管部門基于其數(shù)據(jù)監(jiān)管權(quán)力�����,通過制定數(shù)據(jù)分類分級指引與行業(yè)標準��、開展有關(guān)執(zhí)法監(jiān)管活動�����,落實數(shù)據(jù)分類分級保護制度中的重要趨勢。
對于此���,我們提請相關(guān)企業(yè)注意,在相應(yīng)搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級標準時�,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級保護標準中分類分級標準是否為強制標準,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過程當中所適用的分類分級標準����。即使當執(zhí)法所依據(jù)的分類標準為指引或推 薦性標準,相關(guān)企業(yè)仍應(yīng)當嚴格按照相應(yīng)標準執(zhí)行數(shù)據(jù)分級分類保護制度����。
2. 重要數(shù)據(jù)與國家核心數(shù)據(jù)
(1)重要數(shù)據(jù)
《數(shù)據(jù)安全法》授權(quán)國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)各地區(qū)、各有關(guān)部門制定重要數(shù)據(jù)目錄��。重要數(shù)據(jù) 的概念首次在《網(wǎng)絡(luò)安全法》中提出����,并對重要數(shù)據(jù)的某些跨境傳輸、特別保護提出了具體要求����, 但是沒有予以具體的界定��,實際的認定中也存在模糊的情形�����。我們初步判斷��,未來有關(guān)部門根據(jù)《數(shù)據(jù)安全法》的要求制定的重要數(shù)據(jù)目錄�,將作為《網(wǎng)絡(luò)安全法》中界定重要數(shù)據(jù) 的重要依據(jù)�����。
值得留意的是���,2017年4月網(wǎng)信辦發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》����,但是遲遲未有新立法動向��。在此項征求意見稿中���,重要數(shù)據(jù)指與國家安全���、經(jīng)濟發(fā)展���,以及社會公共利益密切相關(guān)的數(shù)據(jù)。我們理解�,該范圍可能會作為有關(guān)部門制定重要數(shù)據(jù)目錄的參考標準。
各地區(qū)�����、各部門應(yīng)當按照數(shù)據(jù)分類分級保護制度�����,確定本地區(qū)�����、本部門以及相關(guān)行業(yè)��、領(lǐng)域的重要數(shù)據(jù)具體目錄���,對列入目錄的數(shù)據(jù)進行重點保護。對于此����,我們判斷行業(yè)主管部門除通過發(fā)布指引����、行業(yè)標準等文件落實數(shù)據(jù)分類分級保護制度以外�,還很可能基于其數(shù)據(jù)監(jiān)管權(quán)力,制定本行業(yè)的重要數(shù)據(jù)目錄����,具體劃定本行業(yè)中受《數(shù)據(jù)安全法》規(guī)制的重要數(shù)據(jù) 。
(2)國家核心數(shù)據(jù)
《數(shù)據(jù)安全法》還首次提出了國家核心數(shù)據(jù)的概念����,即關(guān)系國家安全、國民經(jīng)濟命脈��、重要民生��、重大 公共利益等數(shù)據(jù)��,并要求對此類數(shù)據(jù)實行更加嚴格的管理制度����。違反國家核心數(shù)據(jù)管理制度,危害國家主權(quán)��、安全和發(fā)展利益的主體,可能面臨由有關(guān)主管部門處一千萬元以下罰款�,并根據(jù)情況責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓�����、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照�����;構(gòu)成犯罪的�����,依法追究刑事責任���。
此外值得注意的是,由于《數(shù)據(jù)安全法》的適用范圍排除了涉及國家秘密的數(shù)據(jù)處理活動及其監(jiān)管�,此處國家核心數(shù)據(jù)并非指涉及國家秘密的數(shù)據(jù)。
目前����,《數(shù)據(jù)安全法》中暫未就針對國家核心數(shù)據(jù)的更加嚴格的管理制度予以展開規(guī)定,我們推斷有關(guān)部門可能會在后續(xù)立法工作中予以更為細化的解釋����,有關(guān)公司應(yīng)當特別予以跟蹤關(guān)注�����。
3. 數(shù)據(jù)安全審查制度
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全審查制度����,要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國 家安全審查����,并賦予了依法作出的安全審查決定最終決定的效力。
早在2020年4月27日��,國家互聯(lián)網(wǎng)信息辦公室�����,國家發(fā)展和改革委員會��,工業(yè)和信息化部���,公安部��,財政部�����,商務(wù)部��,中國人民銀行�,國家市場監(jiān)督管理總局,國家廣播電視總局�����,國家保密局��,國家密碼管理局十二個國家部門聯(lián)合制定���、發(fā)布了于2020年6月1日生效的《網(wǎng)絡(luò)安全審查辦法》�,以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全�,進而保護關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與業(yè)務(wù)安全,并維護國家安全���。我們推斷,《網(wǎng)絡(luò)安全審查辦法》可能會作為《數(shù)據(jù)安全法》項下各領(lǐng)域數(shù)據(jù)安全審查工作模式的藍本��,形成多部門聯(lián) 合審查工作機制作為審查主管部門可能成為數(shù)據(jù)安全審查的趨勢����,從而能夠有效應(yīng)對數(shù)據(jù)安全問題的內(nèi)在復(fù)雜性。
4. 數(shù)據(jù)安全應(yīng)急處置機制
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應(yīng)急處置機制��,要求在發(fā)生數(shù)據(jù)安全事件���,有關(guān)主管部門應(yīng)當依法啟動應(yīng)急預(yù)案����,采取相應(yīng)的應(yīng)急處置措施���,防止危害擴大�,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息�。
5. 管制物項數(shù)據(jù)的出口管制
根據(jù)《數(shù)據(jù)安全法》的規(guī)定�,對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制�。
《出口管制法》明確指出管制物項的范圍包括技術(shù)資料等數(shù)據(jù)。具體而言�,《出口管制法》第二條規(guī)定����,國家對兩用物項���、軍品���、核以及其他與維護國家安全和利益、履行防擴散等國際義務(wù)相關(guān)的貨物�、技術(shù)、服務(wù)等物項(以下統(tǒng)稱管制物項)的出口管制���,適用本法�。前款所稱管制物項����,包括物項相關(guān)的技術(shù)資料等數(shù)據(jù)?!稊?shù)據(jù)安全法》在數(shù)據(jù)保護領(lǐng)域立法中,明確技術(shù)資料等數(shù)據(jù)出口屬于出口管制監(jiān)管范圍內(nèi)���,若予以出口需申請相應(yīng)出口許可證,從而進一步確保了涉及限制出口的兩用物項技術(shù)資料的安全���。
6. 針對數(shù)據(jù)歧視的對等措施
《數(shù)據(jù)安全法》中設(shè)置了一項針對數(shù)據(jù)歧視的比較特別的規(guī)定�,即任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對中華人民共和國采取歧視性的禁止�、限制或者其他類似措施的,中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施����。
對等措施 的設(shè)置多存在于貿(mào)易法與投資法領(lǐng)域,例如《外商投資法》《出口管制法》等�。在作為數(shù)據(jù)安全領(lǐng)域重要法律基礎(chǔ)的《數(shù)據(jù)安全法》中加入對等措施,反映出立法機關(guān)將數(shù)據(jù)安全����、數(shù)據(jù)技術(shù)認 定為中國企業(yè)壯大發(fā)展的關(guān)鍵要素,也反映出中國立法機關(guān)在復(fù)雜國際背景下未?綢繆的努力�。
(六)數(shù)據(jù)安全保護義務(wù)
《數(shù)據(jù)安全法》第四章具體規(guī)定了開展數(shù)據(jù)處理活動的主體應(yīng)當遵循的數(shù)據(jù)安全保護義務(wù)。具體而言����, 從事數(shù)據(jù)處理的組織與個人應(yīng)當關(guān)注以下主要數(shù)據(jù)安全保護義務(wù):
1. 一般義務(wù)
首先需要注意的是,《數(shù)據(jù)安全法》所規(guī)定的一般義務(wù)適用主體范圍約束的是 開展數(shù)據(jù)處理活動���。因此���,凡開展《數(shù)據(jù)安全法》所約束范圍內(nèi)的數(shù)據(jù)處理活動的主體�,均需履行一般義務(wù)��。這?的所指的一般義務(wù)主要包括:
(1)建立健全全流程數(shù)據(jù)安全管理制度��,組織開展數(shù)據(jù)安全教育培訓(xùn)���。
(2)采取相應(yīng)的技術(shù)措施和其他必要措施���,保障數(shù)據(jù)安全。
(3)利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動��,應(yīng)當在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上����,履行數(shù)據(jù)安全保護義務(wù)。具體指在符合《網(wǎng)絡(luò)安全法》項下網(wǎng)絡(luò)安全等級保護制度的要求下���,采取包括但不限于制定內(nèi)部安全管理制度和操作規(guī)程����,確定網(wǎng)絡(luò)安全負責人�,采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,監(jiān)測�����、記錄網(wǎng)絡(luò)運行狀態(tài)與網(wǎng)絡(luò)安全事件����,采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等措施,履行具體的數(shù)據(jù)安全保護義務(wù)�。
(4)加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷��、漏洞等風險時�����,應(yīng)當立即采取補救措施���。
(5)發(fā)生數(shù)據(jù)安全事件時�����,應(yīng)當立即采取處置措施��,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告�。
(6)收集數(shù)據(jù),應(yīng)當采取合法���、正當?shù)姆绞?����,不得竊取或者以其他非法方式獲取數(shù)據(jù)����。
(7)法律���、行政法規(guī)對收集�、使用數(shù)據(jù)的目的��、范圍有規(guī)定的����,應(yīng)當在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集��、使用數(shù)據(jù)��。該項義務(wù)銜接了各行業(yè)主管部門關(guān)于個人信息保護的數(shù)據(jù)處理規(guī)則,形成了上位法依據(jù)�����。此外����,值得注意的是�����,根據(jù)此項義務(wù)描述��,不僅個人數(shù)據(jù)的收集��、使用需滿?合法性�����、正當性原則���,其他數(shù)據(jù)也要需要具有相應(yīng)的合法性與正當性�����?��;诖?�,我們初步預(yù)見目前針對個人信息保護的制度未來可能會擴大��、借鑒適用到其他數(shù)據(jù)保護法律法規(guī)的內(nèi)容當中�。
(8)法律�����、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當取得行政許可的����,服務(wù)提供者應(yīng)當依法取得許可。
(9)有關(guān)組織�����、個人應(yīng)當配合公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)。
上述《數(shù)據(jù)安全法》所要求用于確保數(shù)據(jù)安全保護的一般義務(wù)���,與ISO27001《數(shù)據(jù)安全管理體系》中的部分基本元素相吻合��,如制定數(shù)據(jù)保護制度政策,采取例如加密技術(shù)等技術(shù)措施及物理環(huán)境安全保障措施����、訪問管理措施、操作管理措施等其他必要措施保障數(shù)據(jù)安全�����,制定應(yīng)急預(yù)案以應(yīng)對數(shù)據(jù)安全事件���,并關(guān)注與有關(guān)法律法規(guī)的要求合規(guī)等。
若開展數(shù)據(jù)處理活動的主體違反以上(1)(2)(3)(4)(5)項一般義務(wù)的要求��,可能會面臨由有關(guān)主管部門責令改正�,給予警告,直至責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照����,并處以二百萬元以下的罰款��。
若違反第(9)項一般義務(wù)的要求�����,拒不配合數(shù)據(jù)調(diào)取的��,可能將面臨由有關(guān)主管部門責令改正���,給予警告�����,并處以五十萬元以下的罰款。
對于(6)(7)(8)項一般義務(wù)而言��,由于各數(shù)據(jù)安全領(lǐng)域具有其自身的特殊性(例如個人信息具有內(nèi)在敏感性��,涉及個人信息處理的相關(guān)義務(wù)要求與對應(yīng)違法處罰一般更為嚴格)����,雖然未在《數(shù)據(jù)安全法》直接規(guī)定具體的違法處罰措施,但是我們判斷具體的罰則將在具體的實施條例及其他相關(guān)法律法 規(guī)中予以明確�����。
2. 重要數(shù)據(jù)處理者特別義務(wù)
目前��,重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標準很可能于近期出臺��,相關(guān)企業(yè)首先應(yīng)當就此加以關(guān)注�,以及時判斷自身是否屬于重要數(shù)據(jù)處理者的范圍�����。根據(jù)《數(shù)據(jù)安全法》的要求,重要數(shù)據(jù)處理者需要履行以下特別義務(wù):
(1)要求重要數(shù)據(jù)處理者任命數(shù)據(jù)安全負責人和管理機構(gòu),以落實數(shù)據(jù)安全保護責任。
(2)要求重要數(shù)據(jù)處理者對其數(shù)據(jù)處理活動定期開展風險評估����,并向有關(guān)主管部門報送風險評估報告�。具體而言,風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類�����、數(shù)量�,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等����。
若開展數(shù)據(jù)處理活動的主體違反以上重要數(shù)據(jù)處理者特別義務(wù),可能會面臨由有關(guān)主管部門責令改正,給予警告��,直至責令暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照�����,并處以二百萬元以下的罰款����。
3. 重要數(shù)據(jù)跨境傳輸特別要求
對于重要數(shù)據(jù)跨境傳輸而言,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理��,仍適用《網(wǎng)絡(luò)安全法》的要求�����,即關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲����;因業(yè)務(wù)需要,確需向境外提供的����,應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估���。
此外,《數(shù)據(jù)安全法》規(guī)定��,其他數(shù)據(jù)處理者(即�,非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者)在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法����,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。我 們判斷�,有關(guān)部門可能會出臺針對非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者出境重要數(shù)據(jù)的具體辦法。雖然《個人 信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》的出臺可能性已經(jīng)非常小����,但是其中有關(guān)非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者重要數(shù)據(jù)出境安全評估的標準以及相關(guān)要求仍可能作為立法部門參考的重要依據(jù)。
若違反《數(shù)據(jù)安全法》規(guī)定向境外提供重要數(shù)據(jù)�����,可能會面臨由有關(guān)主管部門責令改正�����,給予警告�,責令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照�,并處一千萬元以下的罰款。
4. 數(shù)據(jù)交易中介服務(wù)機構(gòu)特別要求
《數(shù)據(jù)安全法》對于從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù)的過程當中�,設(shè)置了特別的要求,即應(yīng)當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源��,審核交易雙方的身份�,并留存審核、交易記錄��。
若數(shù)據(jù)交易中介服務(wù)機構(gòu)未履行上述要求���,則可能面臨由有關(guān)主管部門責令改正��,沒收違法所得���,責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓����、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照���,并處違法所得一倍以上十倍以下或一百萬元以下的罰款。
5. 應(yīng)對外國司法或執(zhí)法機構(gòu)調(diào)查的特別要求
近年來�,外國司法或執(zhí)法機構(gòu)(例如,美國BIS��、OFAC等監(jiān)管機關(guān))調(diào)查中國境內(nèi)實體的頻率以及由此引發(fā)的制裁����、處罰案件越發(fā)增多����。美國于2018 年3 月還通過了《海外數(shù)據(jù)合法使用權(quán)明確法案》(CLOUD ACT,多稱為美國 云法案 )���,以指導(dǎo)美國執(zhí)法部門依據(jù)合法的搜查令來直接訪問境外的數(shù)據(jù)��。
在此背景下���,此次《數(shù)據(jù)安全法》的立法明確規(guī)定,非經(jīng)中華人民共和國主管機關(guān)批準�,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機關(guān)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)�����,并同時聲明中國主管機關(guān)根據(jù)有關(guān)法律和中國締結(jié)或者參加的國際條約、協(xié)定�����,或者按照平等互惠原則���,處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求���。這一立法規(guī)定能夠從法律層面上阻斷外國司法或者執(zhí)法機構(gòu)直接要求相關(guān)實體提供存儲于中國境內(nèi)的數(shù)據(jù)的調(diào)查活動,從而在一定程度上實現(xiàn)對國家主權(quán)����、安全和發(fā)展利益的維護。
在此之前���,中國境內(nèi)組織����、個人在配合外國司法或執(zhí)法機關(guān)調(diào)查時�����,主要需要關(guān)注數(shù)據(jù)跨境傳輸中的兩類情形,即(1)跨境傳輸?shù)臄?shù)據(jù)構(gòu)成國家秘密�,則不得向境外提供,以及(2)關(guān)鍵基礎(chǔ)設(shè)施所收集的個人信息�����、重要數(shù)據(jù)僅可在依法進行了安全評估后能夠向境外提供��?�!稊?shù)據(jù)安全法》實質(zhì)上在此前的基礎(chǔ)上�,對組織�、個人在配合外國司法或執(zhí)法機關(guān)調(diào)查時所提交數(shù)據(jù)的管控范圍予以了擴張,即擴張至所有數(shù)據(jù)需經(jīng)過有關(guān)主管機關(guān)批準方可向外國司法或者執(zhí)法機關(guān)提供�,而不再僅限于上述兩類限制性情形。
若相關(guān)主體未經(jīng)主管機關(guān)批準向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)�����,可能面臨由有關(guān)主管部門給予警告����,責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓���、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照����,并處五百萬元以下罰款。
(七)政務(wù)數(shù)據(jù)管理
《數(shù)據(jù)安全法》對國家機關(guān)收集��、使用數(shù)據(jù)(如個人隱私����、個人信息、商業(yè)秘密��、保密商務(wù)信息等數(shù)據(jù))�,以及與數(shù)據(jù)處理受托第三方共享數(shù)據(jù)等方面設(shè)置了具體的原則性要求,落實政務(wù)數(shù)據(jù)安全�。與此同時,《數(shù)據(jù)安全法》還對國家機關(guān)制定了及時��、準確地公開政務(wù)數(shù)據(jù)�,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通�����、安全可控的政務(wù)數(shù)據(jù)開放平臺等方面的要求,推動政務(wù)數(shù)據(jù)開放利用����。
四、企業(yè)合規(guī)建議
(一)評估自身業(yè)務(wù)的適用性
《數(shù)據(jù)安全法》的適用范圍相較而言����,明確擴大了原數(shù)據(jù)安全領(lǐng)域法律法規(guī)的管轄范圍,將管轄范圍延伸至非電子數(shù)據(jù)�����。因此����,相關(guān)企業(yè)需要重新結(jié)合自身業(yè)務(wù)操作,研判自身所開展的數(shù)據(jù)處理活動是否屬于《數(shù)據(jù)安全法》的規(guī)制范圍內(nèi)��,特別是針對非電子數(shù)據(jù)的處理活動予以研判���。
此外,相關(guān)企業(yè)還應(yīng)當研判自身開展業(yè)務(wù)是否屬于《數(shù)據(jù)安全法》中所指定的具有特殊義務(wù)要求的數(shù)據(jù)處理主體����,如重要數(shù)據(jù)處理者、數(shù)據(jù)交易中介服務(wù)機構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者等��,以明確自身應(yīng)當履行的義務(wù)范圍����。
(二)建立符合要求的數(shù)據(jù)安全制度,確保義務(wù)的履行
《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全制度��,治理數(shù)據(jù)安全領(lǐng)域問題�。對于相關(guān)企業(yè)而言,建立與《數(shù)據(jù)安全法》要求匹配的內(nèi)部數(shù)據(jù)安全制度是確保合規(guī)操作���、完整履行自身義務(wù)的重要手段����。
1. 建立數(shù)據(jù)分類分級管理制度
我們建議相關(guān)企業(yè)根據(jù)《數(shù)據(jù)安全法》�,建立數(shù)據(jù)分類分級管理制度。鑒于有關(guān)重要數(shù)據(jù)出境以及國家核心數(shù)據(jù)的違法處罰占據(jù)了《數(shù)據(jù)安全法》中最嚴格處罰措施的地位(一千萬元以下的罰款���;構(gòu)成犯罪�,處以刑事責任)�����,企業(yè)應(yīng)當特別關(guān)注分類分級管理制度中的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施建立。
企業(yè)應(yīng)當著手采取措施���,開始評估自身業(yè)務(wù)活動是否收集��、處理重要數(shù)據(jù)與國家核心數(shù)據(jù)����,并特別關(guān)注國家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄���、非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者出境重要數(shù)據(jù)的具體辦法���,以 及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求,以確保在《數(shù)據(jù)安全法》正式實施之前�����,建立起較為完善的重要數(shù)據(jù)與國家核心數(shù)據(jù)的管理措施���。
此外��,對于業(yè)務(wù)活動涉及出口管制范圍內(nèi)數(shù)據(jù)出口、涉及個人信息收集與處理���、涉及統(tǒng)計與檔案工作中的數(shù)據(jù)處理活動等的企業(yè)而言����,還應(yīng)當關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求。
2. 建立數(shù)據(jù)安全審查制度
《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全審查制度�����,要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國 家安全審查���。對于相關(guān)企業(yè)而言�,特別是業(yè)務(wù)活動涉及處理重要數(shù)據(jù)的相關(guān)企業(yè)����,應(yīng)當履行對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門依法報送風險評估報告的義務(wù)�����。
此外�,企業(yè)應(yīng)當繼續(xù)關(guān)注《網(wǎng)絡(luò)安全審查辦法》等針對各領(lǐng)域數(shù)據(jù)安全審查的具體辦法的后續(xù)頒布情況,及時依法調(diào)整內(nèi)部數(shù)據(jù)安全審查范圍����,以配合國家有關(guān)部門的審查要求���。
3. 建立數(shù)據(jù)安全應(yīng)急處置機制
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應(yīng)急處置機制。對于相關(guān)企業(yè)而言�,應(yīng)當履行加強數(shù)據(jù)安全風險監(jiān)測并及時采取補救措施的義務(wù),與發(fā)生數(shù)據(jù)安全事件時及時采取處置措施并上報主管部門的義務(wù)�。
我們建議相關(guān)企業(yè)搭建內(nèi)部正式數(shù)據(jù)安全風險監(jiān)測與修正機制,并制定書面數(shù)據(jù)安全事件應(yīng)急預(yù)案��,以最大程度確保配合有關(guān)部門的調(diào)查與應(yīng)急處置措施開展�,從而防止危害擴大,消除安全隱患�����。
(三)關(guān)注數(shù)據(jù)安全領(lǐng)域立法動態(tài)
《數(shù)據(jù)安全法》的頒布是中國的數(shù)據(jù)安全領(lǐng)域立法進程中的一項關(guān)鍵的舉措���,其頒布標志著數(shù)據(jù)安全立法擁有了具有統(tǒng)領(lǐng)性質(zhì)的上位法�����。這同時意味著���,后續(xù)有關(guān)部門將很可能加大數(shù)據(jù)安全領(lǐng)域立法力度,補充更多針對各領(lǐng)域的具體細化要求�。
就目前而言���,企業(yè)應(yīng)當關(guān)注的后續(xù)數(shù)據(jù)安全領(lǐng)域立法��,例如《個人信息保護法》等立法進程��。此外��,相關(guān)企業(yè)還應(yīng)當重點關(guān)注重要數(shù)據(jù)目錄���、非關(guān)鍵信息基礎(chǔ)設(shè)施的運營者出境重要數(shù)據(jù)的具體辦法��,以及國家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求等在《數(shù)據(jù)安全法》中規(guī)定了嚴格罰則����,但暫未進一步明確具體義務(wù)范圍相關(guān)的法律法規(guī)文件頒布情況�����。
