走出去智庫觀察
6月10日,《數據安全法》經十三屆全國人大常委會第二十九次會議表決通過,將于2021年9月1日起施行。國家網信辦稱,這部法律是數據領域的基礎性法律,也是國家安全領域的一部重要法律。
走出去智庫(CGGT)特約法律專家、中倫律師事務所顧問賈申認爲,涉及跨境數據安全管理方面,《數據安全法》再度明確了我國對境內數據的管轄權,充分體現了我國維護數據主權和國家安全的決心。《數據安全法》還特別明確了未經主管機關批准向境外的司法或者執法機構提供數據的法律責任,包括對企業和直接負責的主管人員的罰款、以及責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等。
《數據安全法》實施後企業如何做好相關合規工作?今天,走出去智庫(CGGT)刊發中倫律師事務所賈申等律師的分析文章,供關注數據合規管理的讀者參考。
要 點
1、《數據安全法》明確了由國家建立數據分類分級制度、由主管部門制定重要數據目錄並加強保護,從而與《網絡安全法》建立的網絡安全等級保護制度一樣,成爲網絡安全保護領域的重要制度。
2、對于關鍵信息基礎設施的運營者以外的其他數據處理者,數據出境安全管理的相關規則仍不明確,需等待正式的管理辦法出台;但在此之前,企業同樣需要密切關注重要數據出境的合規義務。
3、企業要從《數據安全法》、《反壟斷法》、《反不正當競爭法》以及《刑法》等多維度對數據合規工作進行部署,尤其是要確保與數據資産相關的商業模式合規性。
正 文
2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議正式通過並公布《中華人民共和國數據安全法》(“《數據安全法》”),將于2021年9月1日起施行。作爲數據領域的基礎性法律和國家安全領域的一部重要法律,《數據安全法》集中、全面地體現了我國當前的數據安全監管思路。
隨著數字經濟在全球範圍內蓬勃發展,世界各國對于數據主權和安全保護的需求日益增長,數據安全的有效監管成爲一項重要的議題。近幾年來,許多國家及地區陸續出台了數據保護和安全領域的相關規則條例,如歐盟《通用數據保護條例》(GDPR)、美國《加州消費者隱私法案》(CCPA)、新加坡《個人信息保密條款》(PDPA)和日本《個人信息保護法》(PIPA)等。在數據安全保護的國際背景和時代浪潮下,我國出台《數據安全法》,具有更爲重要的意義。
本文聚焦《數據安全法》正式發布文本,解讀其中的主要亮點。相關企業應密切關注這一立法進展,借助數據安全領域的時代好風,強化數據領域的合規應對,確保業務的長遠穩定發展。
亮點一:明確數據安全監管的工作協調與統籌機制
《數據安全法》正式稿相比二審稿新增了由中央國家安全領導機構“統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制”的表述,明確由中央國家安全領導機構負責數據安全工作的決策和協調、國家網信部門統籌網絡數據安全監管工作,由工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域的數據安全監管職責,由公安機關、國家安全機關等在各自職責範圍內承擔數據安全監管職責。[1]
目前,我國數據領域監管工作由中央網絡安全和信息化委員會與國家互聯網信息辦公室進行全面的統籌協調,中央和地方市場監管部門、工信部門和公安部門,以及相應的行業主管部門分管不同領域的數據安全。例如,市場監管部門從市場綜合監督管理視角進行執法,對個人信息保護和網絡産品與服務等領域進行監管;工信部門從工業和通信業行業管理視角進行執法,對于信息的應急響應制度、個人信息保護、網絡産品與服務等領域進行監管;公安部門從公共安全的視角,對個人信息保護、網絡産品與服務、網絡安全等級保護等領域進行監管;各行業主管部門則從行業視角,對數據全領域進行監管,包括數據跨境、關鍵信息基礎設施、密碼産品等。總體而言,《數據安全法》的數據安全監管思路基本延續了我國此前數據監管和執法實踐中的工作思路。
亮點二:建立“數據分類分級保護制度”,明確“國家核心數據”管理制度
《數據安全法》第二十一條規定,“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護”,“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護”。不同于此前《網絡安全法》規定由網絡運營者按照網絡安全等級保護制度要求自行采取數據分類的措施[2],《數據安全法》明確了由國家建立數據分類分級制度、由主管部門制定重要數據目錄並加強保護,從而與《網絡安全法》建立的網絡安全等級保護制度一樣,成爲網絡安全保護領域的重要制度。
此外,《數據安全法》第二十一條相較二審稿還新增了“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度”的條款,這一修改凸顯了《數據安全法》以維護國家安全和網絡空間主權爲根本的基調。“國家核心數據”的內涵與外延還有待數據安全監管實踐的進一步探索,結合此前對《關鍵信息基礎設施安全保護條例(征求意見稿)》中對“關鍵信息基礎設施”的定義[3],可知“國家安全、國計民生、公共利益”同樣會是判定“國家核心數據”的重要因素。
亮點三:網絡安全等級保護制度與數據安全保護制度的銜接
《數據安全法》第二十七條相較二審稿新增了“利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務”的規定。這一條款要求數據處理者“在網絡安全等級保護制度的基礎上”開展數據安全保護工作,一方面強化了網絡安全等保制度在數據安全保護要求中的基礎作用,另一方面也體現了數據安全保護制度與《網絡安全法》的銜接。
網絡安全等級保護制度的要求見于《網絡安全法》第二十一條,明確規定國家實行網絡安全等級保護制度,並對網絡運營者提出了履行安全保護義務的具體要求,包括“采取數據分類、重要數據備份和加密等措施”以“保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改”。此外,《網絡安全法》第五十九條[4]明確了違反網絡安全等級保護制度要求的法律責任,包括責令改正、警告、罰款等。此次《數據安全法》的規定再次體現了等保制度是網絡安全領域的基礎性制度之一,並與數據安全保護制度相互銜接。因此,相關企業應按照《網絡安全法》及“等保2.0”系列標准[5]要求,積極落實網絡安全等級保護制度,盡快進行等級保護測評、整改和備案工作。
亮點四:明確重要數據出境安全管理制度
《數據安全法》第三十一條規定,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和産生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
一方面,這一條款明確了關鍵信息基礎設施的運營者在境內運營中收集和産生的重要數據的出境安全管理應適用《網絡安全法》第三十七條提出的“一般情形+例外規定”,即關鍵信息基礎設施的運營者因業務需要,確需向境外提供重要數據的,一般情況下應由國家網信部門會同國務院有關部門制定的辦法進行安全評估,法律、行政法規另有規定的則從其規定。另一方面,對于其他數據處理者在境內運營中收集和産生的重要數據,目前可參考的相關規定是國家網信辦于2017年發布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》,其中第九條規定了六類重要數據出境時網絡運營者應提交行業主管部門或監管部門進行安全評估的場景[6]。由于該辦法並未正式出台和生效,且征求意見稿的發布時間也較爲久遠,對于關鍵信息基礎設施的運營者以外的其他數據處理者,數據出境安全管理的相關規則仍不明確,需等待正式的管理辦法出台;但在此之前,企業同樣需要密切關注重要數據出境的合規義務。
亮點五:嚴格規制面向境外司法或者執法機構的數據出境活動
《數據安全法》第三十六條規定,“非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”
這一條款制定的背景是近年來數據管轄權沖突日益激烈的國際環境。2018年3月,在微軟愛爾蘭數據案[7]後,美國國會通過《澄清海外合法使用數據法》(Clarifying Lawful Overseas Use of Data Act(CLOUD),簡稱“雲法案”),其中第103(a)(1)條規定“電子通信服務提供商和遠程計算服務提供商應當依據本章規定,保存、備份或披露其擁有、監管或控制的用戶通訊數據、記錄及其他信息,無論該等通訊數據、記錄及其他信息儲存于美國境內或境外”[8],從而爲數據領域的“長臂管轄”規則提供了基礎。該規則與歐盟《通用數據保護條例》(General Data Protection Regulation,簡稱“GDPR”)的相關規定存在沖突。隨後,歐盟于2019年7月發布了《美國雲法案對于歐盟個人信息保護法律框架以及歐盟-美國關于跨境電子取證協議談判影響的初步法律評估》,明確指出,根據GDPR規定,雲法案不能成爲向美國傳輸歐盟境內的個人數據的合法基礎。
在這一背景下,《數據安全法》的規定再度明確了我國對境內數據的管轄權,充分體現了我國維護數據主權和國家安全的決心。值得一提的是,《數據安全法》還特別明確了未經主管機關批准向境外的司法或者執法機構提供數據的法律責任,包括對企業和直接負責的主管人員的罰款、以及責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等。[9]這一明確的法律責任形式,不僅意味著第三十六條的規定是企業應嚴格履行的一項數據合規義務,也使得企業在對抗境外執法或司法機構可能的數據調取要求時,擁有了可援引的有力的法律規則。
亮點六:對政務數據的相關規定
《數據安全法》設立專章“政務數據安全與開放”,首次對政務數據的安全監管思路做出了總體規定。其中,第三十七條對政務數據質量提出科學性、准確性和時效性要求;第三十八條對政務數據的采集和使用作出合規性規定;第三十九條對建立政務數據安全管理制度作出強調;第四十條提出對政務數據加工、存儲等外包服務要制定嚴格的審批流程;第四十一條和第四十二條提出政務數據開放的規範性要求。
但是,《數據安全法》對于“政務數據”的內涵與外延並未做出明確的規定,只是在相關條文表述上將“國家機關”作爲義務主體,並且在第四十三條中規定了“法律、法規授權的具有管理公共事務職能的組織爲履行法定職責開展數據處理活動,適用本章規定。”依據北京、上海、浙江等地公共數據管理相關政策的規定,公共數據通常是指是指各級行政機關以及具有公共管理和服務職能的事業單位在依法履行公共管理和服務職責過程中,産生、處理的各類數據。[10]實踐中,各類與政府進行合作開展數據平台建設並對相關數據進行商業化開發的企業,在經營過程中很可能涉及政務數據或公共數據的處理活動,應當特別關注《數據安全法》明確提出的對于政務數據的合規要求。
亮點七:明確數據處理活動不應排除、限制競爭
《數據安全法》第五十一條規定,“竊取或者以其他非法方式獲取數據,開展數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照有關法律、行政法規的規定處罰。”這一規定將數據處理活動與《反不正當競爭法》、《反壟斷法》等法律法規的規定相結合,體現了我國對數據安全的綜合監管思路。
例如,《反壟斷法》明確禁止經營者在其經營活動中排除、限制市場競爭。國務院反壟斷委員會此前發布的《關于平台經濟領域的反壟斷指南》(“《指南》”)中,明確提及了經營者利用數據或算法排除、限制競爭的多種行爲模式。例如:
●經營者通過數據、算法、平台規則或者其他方式實質上達成協調一致的行爲(即壟斷協議);
●經營者通過平台規則、數據、算法、技術等方面的實際設置限制或者障礙的方式限定交易(即濫用市場支配地位限定交易);
●基于大數據和算法,根據交易相對人的支付能力、消費偏好、使用習慣等,實行差異性交易價格或者其他交易條件(即濫用市場支配地位實施差別待遇);
●此外,平台經營者掌握的數據情況對于認定經營者市場支配地位具有重要意義,《指南》明確提及,判斷相關平台是否構成其他經營者進入相關市場的“必需設施”時,需要綜合考慮該平台占有數據的情況和其他情況。
從這一條款的規定也可看出,企業要從《數據安全法》、《反壟斷法》、《反不正當競爭法》以及《刑法》等多維度對數據合規工作進行部署,尤其是要確保與數據資産相關的商業模式合規性。
隨著《數據安全法》的落地與生效,我國數據安全監管領域的法律制度更爲完善。《數據安全法》在短期內可能爲企業增加一部分數據合規成本,但長遠而言,對于企業加強數據合規管理,在國際競爭中增強自身競爭力將具有積極影響。在嶄新的數據監管時代,乘時代之風,企業應密切關注最新立法進展和配套規定,不斷探索合規管理與業務發展相平衡的最佳實踐。
來源:科技與競爭法律評論