作者:刘婷 胡冰心 金杜律师事务所合规业务部

引言

作为“数据合规,深圳先行”系列文章的第二篇,本文将从数据安全保护方面梳理《条例》对企业提出的合规要求与相关的违规责任,以期协助企业在《条例》正式实施前做好相应的准备。

一、基本定义

(一)数据

根据《条例》第二条第(一)项,“数据”是指“任何以电子或者其他方式对信息的记录”。该定义直接采用了《数据安全法》对“数据”的定义。

(二)数据处理

根据《条例》第二条第(六)项,数据处理是指 “数据的收集、存储、使用、加工、传输、提供、开放等活动”。《数据安全法》第二条规定,在中华人民共和国境内开展数据处理活动及其安全监管,适用《数据安全法》。因此,企业开展数据处理活动应首先适用《数据安全法》的相关规定。

(三)数据安全

根据《数据安全法》第三条,“数据安全”是指“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。

二、数据安全保护相关的合规义务

企业在进行数据的收集、存储、使用、加工、传输、提供、开放等活动时,作为数据处理者,其数据处理活动应受《数据安全法》直接规制。《条例》第五章在《数据安全法》第四章“数据安全保护义务”的基础上进一步从以下两方面细化了数据安全保护义务的相关内容:

(一)明确数据处理者的数据安全管理责任,要求数据处理者落实在数据收集、加工、存储、共享开放、销毁、委托处理、出境等阶段的安全管理义务,并做好数据安全事件的监测、预警和应急处置工作:

序号 《条例》具体合规义务 《数据安全法》对应条款
1. 数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯(第七十五条)。

开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度[1]的基础上,履行上述数据安全保护义务(第二十七条第一款)。

 

2. 数据处理者应当依照法律、法规规定以及国家标准的要求,对所收集的个人数据进行去标识化或者匿名化处理,并与可用于恢复识别特定自然人的数据分开存储(第七十六条第一款)。
3. 数据处理者应当对数据存储进行分域分级管理,选择安全性能、防护级别与安全等级相匹配的存储载体(第七十七条)。
4. 数据处理者应当对数据处理过程实施安全技术防护,并建立重要系统和核心数据的容灾备份制度(第七十八条)。
5. 数据处理者共享、开放数据的,应当建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制(第七十九条)。
6. 数据处理者应当建立数据销毁规程,对需要销毁的数据实施有效销毁。数据处理者终止或者解散,没有数据承接方的,应当及时有效销毁其控制的数据。法律、法规另有规定的除外(第八十条)。
7. 数据处理者委托他人代为处理数据的,应当与其订立数据安全保护合同,明确双方安全保护责任。受托方完成处理任务后,应当及时有效销毁其存储的数据,但是法律、法规另有规定或者双方另有约定的除外(第八十一条)。
8. 数据处理者向境外提供个人数据或者国家规定的重要数据,应当按照有关规定申请数据出境安全评估,进行国家安全审查(第八十二条)。 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定[2];其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定(第三十一条)。
9. 数据处理者应当落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即采取补救、预防措施(第八十三条)。

1.         开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告(第二十九条)。

 

10. 数据处理者应当建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案应当按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施(第八十五条)。
11. 发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者应当立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告(第八十六条)。

(二)强化对敏感个人数据和重要数据的保护以及安全管理责任:

序号 《条例》具体合规义务 《数据安全法》对应条款
1. 处理敏感个人数据或者国家规定的重要数据的,应当按照有关规定设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护(第七十三条)。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任(第二十七条第二款)。
2. 数据处理者应当针对敏感个人数据、国家规定的重要数据制定并实施去标识化或者匿名化处理等安全措施(第七十六条第二款)。

/

 

3. 对敏感个人数据和国家规定的重要数据还应当采取加密存储、授权访问或者其他更加严格的安全保护措施(第七十七条)。 /
4. 处理敏感个人数据或者国家规定的重要数据,应当按照有关规定定期开展风险评估,并向有关主管部门报送风险评估报告(第八十四条)。 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等(第三十条)。

三、违反数据安全保护合规义务的法律责任

鉴于《条例》关于数据安全的规定主要是对《数据安全法》相关规定的细化,《条例》并未在上位法规定之外另设法律责任。《条例》第九十六条规定:“数据处理者违反本条例规定,未履行数据安全保护责任的,依照数据安全有关法律、法规规定处罚”。现行涉及数据安全的主要法律、法规规定包括《数据安全法》以及《网络安全法》。

在《数据安全法》以及《网络安全法》框架下,违反数据安全保护相关义务可能导致以下责任:

(一)民事责任

违反本法规定,给他人造成损害的,依法承担民事责任(《数据安全法》第五十二条第一款)。

(二)行政处罚

违规行为 基础处罚 加重处罚 法律依据

•           数据处理者未能建立完善的数据安全管理制度、进行安全教育培训、采取相应的技术措施和其他必要措施,保障数据安全,对于重要数据未能明确数据负责人和管理机构;

•           处理数据未能按要求加强风险监测,发现数据安全缺陷、漏洞等风险时,未能立即采取补救措施;发生数据安全事件时,未能立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;

•           重要数据的处理者未能按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

•           责令改正,给予警告,可以并处5万元以上50万元以下罚款;

•           对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款

•           拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款;

•           并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;

•           对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款

《数据安全法》第四十五条第一款

 

违反国家核心数据管理制度,危害国家主权、安全和发展利益的

•           由有关主管部门处200万元以上1000万元以下罚款;

•           并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照

《数据安全法》第四十五条第二款
违反重要数据的出境安全管理相关规定,向境外提供重要数据的

•           责令改正,给予警告,可以并处10万元以上100万元以下罚款

•           对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款

•           情节严重的,处100万元以上1000万元以下罚款;

•           并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照

•           对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款

《数据安全法》第四十六条
关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据未能按要求在境内存储,或未能按照国家有关规定进行安全评估,在境外存储网络数据,或者向境外提供网络数据的

•           责令改正,给予警告,没收违法所得,处5万元以上50万元以下罚款

•           并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照

•           对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款

《网络安全法》第六十六条

(三)治安管理处罚

《数据安全法》第五十二条第二款规定,违反《数据安全法》规定,构成违反治安管理行为的,依法给予治安管理处罚。现行《治安管理处罚法》中并未对针对数据安全保护义务提供具体的处罚依据,且由于《数据安全法》目前还未生效实施,实践中对违反数据安全保护义务的处罚案例较为匮乏。但是根据《网络安全法》执法的相关实践,可以预见数据处理者违反数据安全保护义务可能涉及《治安管理处罚法》第二十九条关于对侵入、破坏计算机信息系统行为的规定,从而被给予治安管理处罚。如在深南公(招商)行罚决字[2018]70006号处罚决定书中,由于被处罚人未能采取国际联网安全技术保护措施,深圳市公安局认为该行为构成《治安管理处罚法》第二十九条第(四)项“故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行”的行为,根据《网络安全法》第二十一条、第二十四条,《计算机信息网络国际联网安全保护管理办法》第十二条之规定,决定给予警告的行政处罚并责令整改。

(四)刑事责任

根据《数据安全法》第四十五条第二款,对于违反国家核心数据管理制度,危害国家主权、安全和发展利益的行为,构成犯罪的,将依法追究刑事责任。根据《刑法》的相关规定,前述违反数据安全保护义务的行为可能涉及以下刑事责任:

  1. 《刑法》第一百一十一条【为境外窃取、刺探、收买、非法提供国家秘密、情报罪】:为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。

值得注意的是,根据前述条款的表述,一旦被认定为实施了为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的行为,就构成犯罪既遂。

  1. 《刑法》第二百八十六条之一【拒不履行信息网络安全管理义务罪】:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

2019年10月25日,最高人民法院、最高人民检察院联合发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》对前述拒不履行信息网络安全管理义务罪的入罪标准进行了进一步解释与规定:

(1)“致使违法信息大量传播”的情形包括:(一)致使传播违法视频文件二百个以上的;(二)致使传播违法视频文件以外的其他违法信息二千个以上的;(三)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准的;(四)致使向二千个以上用户账号传播违法信息的;(五)致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的;(六)致使违法信息实际被点击数达到五万以上的;(七)其他致使违法信息大量传播的情形。

(2)“致使用户信息泄露,造成严重后果”的情形包括:(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;(三)致使泄露第一项、第二项规定以外的用户信息五万条以上的;(四)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;(五)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;(六)造成重大经济损失的;(七)严重扰乱社会秩序的;(八)造成其他严重后果的。

(3)“致使刑事案件证据灭失,情节严重”的情形包括:(一)造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件的证据灭失的;(二)造成可能判处五年有期徒刑以上刑罚犯罪案件的证据灭失的;(三)多次造成刑事案件证据灭失的;(四)致使刑事诉讼程序受到严重影响的;(五)其他情节严重的情形。

(4)“有其他严重情节” 的情形包括:(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;(二)二年内经多次责令改正拒不改正的;(三)致使信息网络服务被主要用于违法犯罪的;(四)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;(五)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;(六)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;(七)其他严重违反信息网络安全管理义务的情形。

  1. 《刑法》第三百九十八条【故意泄露国家秘密罪、过失泄露国家秘密罪】:国家机关工作人员违反保守国家秘密法的规定,故意或者过失泄露国家秘密,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。非国家机关工作人员犯前款罪的,依照前款的规定酌情处罚。

(1)对于构成前述“情节严重”以及“情节特别严重”的情形,除《最高人民检察院关于渎职侵权犯罪案件立案标准的规定》对故意泄露国家秘密罪、过失泄露国家秘密罪的立案标准进行了说明外,目前国家层面暂无其他具体的相关入刑标准的解释与说明。

(2)对于故意泄露国家秘密罪,涉嫌下列情形之一的,应予立案:1、泄露绝密级国家秘密1项(件)以上的;2、泄露机密级国家秘密2项(件)以上的;3、泄露秘密级国家秘密3项(件)以上的;4、向非境外机构、组织、人员泄露国家秘密, 造成或者可能造成危害社会稳定、经济发展、国防安全或者其他严重危害后果的;5、通过口头、书面或者网络等方式向公众散布、传播国家秘密的;6、利用职权指使或者强迫他人违反国家保守秘密法的规定泄露国家秘密的;7、以牟取私利为目的泄露国家秘密的;8、其他情节严重的情形。

对于过失泄露国家秘密案,涉嫌下列情形之一的,应予立案:1、泄露绝密级国家秘密1项(件)以上的;2、泄露机密级国家秘密3项(件)以上的;3、泄露秘密级国家秘密4项(件)以上的;4、违反保密规定,将涉及国家秘密的计算机或者计算机信息系统与互联网相连接,泄露国家秘密的;5、泄露国家秘密或者遗失国家秘密载体,隐瞒不报、不如实提供有关情况或者不采取补救措施的;6、其他情节严重的情形。

(五)其他影响

有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患(《数据安全法》第四十四条)。

(六)公益诉讼

现行《民事诉讼法》第五十五条为我国公益诉讼制度提供了基本的法律依据,规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。” 《消费者权益保护法》《环境保护法》《未成年人保护法》《安全生产法》 等实体法均设置了公益诉讼条款。

就个人信息及数据领域而言,由于实践中数据侵权具有较高的隐秘性,即便被侵权人察觉,鉴于取证难度,以及出于时间或经济成本的考量,往往难以进行维权。为缓解当前这种数据维权艰难的现状,《个人信息保护法》(二审稿)第六十九条便尝试对个人信息领域的公益诉讼制度提供法律基础:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼”。

而《条例》从地方立法的层面首次确立了数据领域而非仅仅是个人信息领域的公益诉讼制度。《条例》第九十八条规定:“违反本条例规定处理数据,致使国家利益或者公共利益受到损害的,法律、法规规定的组织可以依法提起民事公益诉讼。法律、法规规定的组织提起民事公益诉讼,人民检察院认为有必要的,可以支持起诉。法律、法规规定的组织未提起民事公益诉讼的,人民检察院可以依法提起民事公益诉讼。人民检察院发现履行数据监督管理职责的部门违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出检察建议;行政机关不依法履行职责的,人民检察院可以依法提起行政公益诉讼。”

四、合规建议

基于以上对于数据安全保护义务以及违规责任的梳理,我们对于企业如何合法、合规地进行数据处理活动提出以下建议:

(一)时刻关注重点数据目录的出台以及配套要求,做好重要数据的识别工作

鉴于重要数据保护为《数据安全法》框架下一大重点安全监管义务,而如何确定重要数据将取决于各地区、各部门制定的重要数据目录以及解释,且各行业主管部门也会根据行业发展变化,对本行业重要数据的定义和范围进行确定以及解释,相关的规则也会随之出台或进行完善。因此,企业需要密切关注国家、所处地区、主管部门、行业所制定的重要数据目录,并根据目录在企业内部建立或细化适用于自身的数据保护目录和制度,以匹配数据分类分级保护制度以及重点数据监管要求,提早做好应对准备。

涉及重点数据风险评估及出境管理等方面,还可以考虑聘请律师事务所或其他第三方机构协助编制相关报告,以更好地满足监管要求,从而能够合法合规地继续开展相关业务。

(二)搭建企业内部的全面数据安全管理架构及制度,以实现常态化、全流程的数据安全保护义务的履行

对于很多企业而言,其日常经营涉及大量数据收集、处理活动,出于节约成本、提高效率的考虑,搭建一个贯穿数据全生命周期的数据安全保护管理架构及制度,无疑能够最高效地履行企业作为数据处理者的常态化、全流程的数据安全保护义务。企业需要通过树立这种全面数据合规建设理念,根据企业自身的业务场景,构建自身全流程数据安全保护的管理架构及制度,并针对数据的收集、存储、使用、加工、传输、提供、公开等环节,制定相应的制度、流程、操作指引。

[1] 《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

[2] 《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。