(原标题:《数据安全法》解读与合规建议)
2021年6月10日,经第十三届全国人民代表大会常务委员会第二十九次会议审议,通过了《中华人民共和国数据安全法》(简称“《数据安全法》”),该法将于2021年9月1日起施行。
作为我国网络空间规制的重要法律,《数据安全法》规制的是数据处理活动,通过保障数据安全,来促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
随着我国乃至全球数字经济的勃兴,数据从对信息的记载形式,逐渐转化成了具有独立经济价值、乃至国家安全价值的一种利益形态。个人、企业、社会组织、国家,围绕数据处理活动产生了巨大的博弈。如何对数据处理进行规制,发挥其社会经济价值,又能够让数据活动在法律的框架内有序运行,避免数据处理伤害个人、社会、国家利益,是当前各国法律关注的前沿问题。我国《数据安全法》的通过及施行,将确立数据安全及治理的基本框架。[1]
《数据安全法》一共分为七章,五十五条。体系结构包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。其中第二章“数据安全与发展”,对于数据安全与发展的关系、大数据战略、数据基础设施建设、数据创新应用、数字经济发展规划、公共服务智能化、数据开发利用的商业创新、数据安全产业体系建设、数据安全标准体系建设、数据安全检测评估与认证服务的发展、数据交易管理制度建设、培育数据交易市场等宏观制度建设的方向做出了规定。
在我国“十四五”规划做出“数字中国”规划的大背景下,通过立法对于数据处理进行全面规范,具有积极的社会价值(见吴卫明《数据安全法(草案二次审议稿)》解读)。
通过详读《数据安全法》第二章,不难看出,仍有大量配套立法需要制定,国务院或相关监管机构将会推出相应的配套规则。对于商家而言,可能孕育着新的商业机会。而对于法律工作者来说,则需要前瞻性的布局合规框架。
《数据安全法》第三章、第四章、第五章,则从具体的法律技术性条款出发,对于数据安全制度、数据安全保护义务、政务数据安全与开放进行了规定。本文主要基于上述几个章节进行归纳和解读。
一、对“数据”及“数据处理”做出界定
1、信息记载形式的全覆盖
显然,《数据安全法》所界定的“数据”内涵与此前的法律法规及有关政策的界定并不完全等同。
如,国务院2015年8月31日发布的《促进大数据发展行动纲要》(简称“《纲要》”)。《纲要》提到“信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源。”从《纲要》的提法看,数据与信息技术或互联网、物联网的关联性更强,数据似乎与“电子数据”具有类似的含义。[2]
2017年生效的《网络安全法》,并未采取“数据”的表述,而是采用了“网络数据”的定义,按照该法第第七十六条的界定,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
但与此同时,《网络安全法》对于“个人信息”则界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”按照这一表述,个人信息可以是电子的,也可以是非电子的。显然,个人信息定义与“网络数据”也并非同一内涵。
而《民法总则》、《民法典》在规定“数据”的时候,则采用了如下表述:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。上述法律表述中将“数据”与“网络虚拟财产”并列,似乎表明数据的内涵更偏向于电子化的信息。
由此可以看出,相关法律对于数据边界的界定并不清晰,这与信息时代整体信息保护及整体信息安全的要求不相适应。
将电子及其他记录信息的形式,统一纳入数据安全法的规制,具有现实意义。一方面,随着数据分析技术的发展,数据记载形式之间的打通成本大幅度降低,这意味着并非只有电子化记录的信息可以用于大数据分析,其他形式的信息也可以低成本转化为电子形态,并进行大数据分析,因此,将数据仅仅界定为“电子化”或“网络数据”,不能充分覆盖数据的外延。
另一方面,其他方式记载的信息同样具有个人信息保护价值、经济价值、社会及国家安全价值,将其统一纳入数据安全法的规制,有利于法律执行的统一性,也符合数字化时代的信息安全要求。
2、数据全生命周期的覆盖
《数据安全法》对于“数据处理”的界定,则包括数据的收集、存储、使用、加工、传输、提供、公开等,形成了对数据全生命周期的覆盖。
虽然《数据安全法》对于上述全生命周期的规则并未全面展开,但可以预期的是,后续立法及《个人信息保护法》等相关立法将会对于数据全生命周期的处理规则做出进一步的规定与完善。
二、《数据安全法》的主要制度框架
1、数据分级分类与重要数据保护制度
(1)数据分级分类
(2)重要数据保护
《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。将关系国家安全、国民经济命脉、重要民生、重大公共利益等数据列入国家核心数据,实行更加严格的管理制度。
同时,《数据安全法》将数据分类分级保护制度与重要数据目录直接对应,并要求各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,更具参考性和实操性,深化加强对重要数据的保护。
(3)重要数据的界定
《数据安全法》规定了分级分类的大原则,但是,对于什么是“重要数据”,并未明确界定。笔者认为,在进一步的细则对此进行界定之前,可以根据其他法律法规及征求意见稿的规定进行识别。
《网络安全法》首次提出了“重要数据”概念,并对重要数据的分类保护以及出境做了规定。该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。但这一条款并没有界定什么是重要数据。
国家互联网信息办公室于2017年4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条,对重要数据界定为:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”
2019年5月28日,国家互联网信息办公室公布了《数据安全管理办法(征求意见稿)》,对“重要数据”界定为:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”
虽然《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》当前均未生效,但作为监管机构制定的规则,对于识别重要数据,具有一定的参考价值。
笔者认为,《数据安全法》对于数据分类分级保护制度的确立以及重要数据目录确定的要求,在很大程度上构建了未来我国数据安全制度的框架,即数字化发展的过程中对不断更迭出现的数据进行分类分级,根据类别、级别区分数据保护的重要程度,对重要数据进行重点保护,同时对其他数据提出基本安全保护要求。对于参与数据处理相关主体在这一框架下的合规要求,笔者建议应关注国家、所处地区、主管部门、行业所制定的重要数据具体目录,并根据目录在内部建立或细化相对应的数据保护目录和制度,匹配数据分类分级保护制度的监管要求。
2、数据安全审查制度
《数据安全法》第二十四条规定了数据安全审查制度,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
2020年6月1日起实施的《网络安全审查办法》(简称“《审查办法》”),确立了网络安全审查制度,该《审查办法》第二条规定了关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。《审查办法》是对关键信息基础设施运营者采购网络产品和服务设定的安全审查,其中,将产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险作为审查的重要内容。
通过分析《数据安全法》和《网络安全审查办法》的内容不难看出,虽然两种审查都属于国家安全审查的范畴,但其审查的对象和内容却并不相同。
《数据安全法》审查的对象包括所有的影响或可能影响国家安全的数据活动,既包括线上的数据活动,也包括线下的数据活动,且对数据活动主体并未做出限制。
而《审查办法》所设查的主体仅为关键信息基础设施运营者,审查活动主要针对产品或服务的采购环节,而审查的内容则除了重要数据被窃取、泄露、毁损的风险外,还包括产品或服务是否具有连续性,以及是否收购政治等因素影响,从而威胁供应链的安全。
数据安全审查制度将数据活动对国家安全的影响作为其规制的价值目标,这也意味着,企业或其他社会主体,在从事数据活动时,应首先进行国家全判断。当然,《数据安全法》对于审查的程序并未做进一步规定,有待相关细则加以界定。
3、重要数据风险评估制度
(1)基本规则
《数据安全法》确立了重要数据风险评估制度。与重要数据出境评估作为特定事项监管不同,重要数据风险评估制度是一种针对重要数据的常态化监管机制。
《数据安全法》第三十规定:“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。”
即,无论重要数据处于收集、存储、使用、加工、传输、提供、公开等各个处理环节的哪个环节,只要其数据处理活动可能涉及重要数据,都需要进行定期的风险评估,并将评估报告报送给主管部门。
(2)评估对象
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
这意味着,企业内部的重要数据风险评估将成为一种常态化的合规要求,企业应建立自身的重要数据“风险全景图”。
(3)报送对象
鉴于法律规定“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”并且“国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”
笔者理解,评估报告应报送给相关重要数据目录的制定部门。当然,对于报送对象和审核流程,最终仍需相关规则进一步明确与细化。
4、数据出境管理制度
(1)重要数据出境评估制度
《数据安全法》确立了重要数据出境评估制度。该法第三十一条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
事实上,在《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》中,均规定了数据出境的安全评估制度,但上述制度仅限于数据或重要数据出境过程中的评估。
如《网络安全法》第三十七条则规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条则规定了多种需要评估的数据出境行为,其中第(五)条款提到了“关键信息基础设施运营者向境外提供个人信息和重要数据。”这一规定《网络安全法》基本一致。
在《数据安全管理办法(征求意见稿)》中,则在第二十八条规定了:“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。”
应该说,《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》、《数据安全法》、《数据安全管理办法(征求意见稿)》对于需要出境安全评估的数据界定并不一致。前两个规定针对的是关键信息基础设施运营者需要出境的重要数据,而《数据安全法》、《数据安全管理办法(征求意见稿)》则针对网络运营者的重要数据出境。但是这几部法律及规则的征求意见稿,评估制度针对的均为数据出境。
(2)数据出口管制措施
《数据安全法》第二十五条规定了数据出口管制制度。该制度不仅针对重要数据,而是可以针对任何数据类型。该条规定:“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。”即,只要按照出口管制的规则判定该数据属于管制物项,均可实施出口管制。
(3)司法执法活动涉及的数据出境管理制度
在数据出境问题上,还需注意的是司法及执法环节涉及的数据出境。针对向外国司法或者执法机构提供数据的行为,无论是否属于重要数据,均需要经过主管机关批准。
《数据安全法》第三十六条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
这一规定涉及两个方面:
其一,在向境外司法与执法机构提供境内存储数据的,均须经过主管机关批准。
其二,主管机关根据有关法律和国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。即,如果境外法律对于中国执法机关、司法机关获取数据存在限制的,我国主管机关将基于平等互惠原则处理。
5、数据歧视的对等措施
《数据安全法》还有一个值得关注的新制度,即:针对数据歧视的对等措施。该法第二十六规定:“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”
对等原则是国际投资与贸易的基本原则之一,对此,我国《外商投资法》已经做了明确的规定,任何国家或者地区在投资方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应的措施。
《数据安全法》的规定是投资、贸易对等原则在数据活动领域的特别体现,也在很大程度上反映了当前主要大国之间围绕网络安全与数据安全进行激烈博弈的现状。
《数据安全法》对于与数据和数据开发利用技术等有关的投资、贸易方面的歧视性政策以对等原则进行反制,是维护中国数据安全及中国企业开展正常数据活动的必要措施。
三、企业合规建议
随着《数据安全法》的生效,可以预期的是,《个人信息保护法》以及其他与网络安全、信息安全、数据安全、数据合规、个人信息保护相关的规章、监管规则也会陆续生效。这些法律、法规、规则与《网络安全法》、《民法典》、《刑法》等基础性法律,将会一起构筑完整的网络空间治理、数据治理规则。规则完善的基础上,也将会给企业提出更高的数据合规治理要求。笔者认为,针对《数据安全法》及相关的规则体系,企业应从以下几个方面构建自己的合规体系。
网络安全+数据合规治理,是一个庞杂的法律体系,《数据安全法》仅仅是其中的一部纲领性的数据安全规则。还有大量规则依托于《网络安全法》、《个人信息保护法》及大量的行政法规、规章、监管规则、行业监管规则、国家标准间等。企业数据合规治理不能只见树木、不见森林。[3]
通过树立全面数据合规理念,构建自身数据治理的宏观策略,并更具各项法律制度,结合行业监管规则、业务流程与场景,构建相应的管理制度。
在制度的基础上,通过流程管理、岗位职责管理、激励约束机制,达到数据合规治理的目标。
2、数据合规风险的再梳理
针对《数据安全法》的具体制度,结合《网络安全法》、《个人信息保护法(草案)》及其他法律草案、监管规则征求意见稿,对潜在的数据合规风险进行全面梳理。并进行分类处置:
对于《数据安全法》及其他法律法规已经明确界定的内容,发现问题后,应及时进行整改。
对于有关法律草案有界定,但尚未生效,且通过其他法律法规、规则无法进行合规风险判断的内容,做出有前瞻性的整改进程安排。
3、及时关注数据领域立法进展
《数据安全法》只是数据领域立法的重要规则之一,其他规则也会随之出台或进行完善。因此,密切关注关联立法的动态,构建针对新法规有兼容性、具有弹性合规体系至关重要。此外,应将法律、法规、规则更新纳入到企业数据风险治理的常规监测机制中,可以让合规体系更好的适应法律的变化。
4、部分具体措施列举
针对《数据安全法》的相关制度,在具体合规措施方面,企业可以考虑如下具体措施:
1、按照《数据安全法》及其他相关法律法规、监管规则要求,建立数据全生命周期合规管理制度与流程。即针对数据的收集、存储、使用、加工、传输、提供、公开等,构建相应的制度、流程、操作指引。
2、建立数据分级分类目录及重要数据目录
建议企业应关注国家、所处地区、主管部门、行业所制定的重要数据具体目录,并根据目录在内部建立或细化相对应的数据保护目录和制度,匹配数据分类分级保护制度的监管要求。
3、重要数据风险评估制度
按照《数据安全法》及相关规则的规定,建立常态化的数据风险评估制度。必要时,企业可以聘请律师事务所或其他第三方机构,协助进行重要数据风险评估,并协助编制报告。
4、建立自身的重要数据出境管理制度
针对重要数据目录中的数据,在实施出境前,按照流程规定,实施评估。
5、数据出口管制制度的建立
数据出口管制属于出口管制制度的内容之一,企业可以将数据出口管制的相关预警、处置流程放入本企业的出口管制评估制度中。对于其他业务场景不涉及出口管制的企业,则可以将数据出口管制在数据安全管理制度中予以体现。
鉴于细化的合规措施内容繁多,且需要结合其他法律法规、监管规则进行完善,本文限于篇幅,不做展开。
总体而言,《数据安全法》是数据安全与合规的基础规则之一,对于企业合规而言,遵循数据安全法及相关规则,构建自身的合规体系,是非常紧迫的显示需求。
参考文献
1、全面信息安全与数据合理利用 ——简评《数据安全法(草案)》,发表于《信息安全与通信保密》,2020年8月刊。
2、《网络安全审查办法》与“新网络安全观”的构建 ,发表于《信息安全与通信保密》,2020年5月刊。
3、突发公共卫生事件中的数据开放与保护 ,发表于《信息安全与通信保密》,2020年3月刊。
[1]吴卫明,全面信息安全与数据合理利用 ——简评《数据安全法(草案)》,《信息安全与通信保密》,2020年8月刊。
[2]吴卫明,全面信息安全与数据合理利用 ——简评《数据安全法(草案)》,《信息安全与通信保密》,2020年8月刊。
[3]吴卫明,《产业互联网的数据治理生态与法律合规》,“2020中国产业互联网领袖峰会?杨浦产业互联网集聚区建设成果发布暨区块链与人工智能应用论坛”发言摘录,https://www.sohu.com/a/429402314_539041。
本文作者:吴卫明律师 wuweiming@allbrightlaw.com