作者:宁宣凤 吴涵(合规业务部)
前言
自2021年9月1日起,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)正式生效施行。作为国家安全领域的重要立法,也作为数据安全领域的基础性法律,《数据安全法》为国家有关部门行使数据治理权力、开展数据安全监管,为企业合法处理数据、保障数据处理安全等,均提供了充分的上位法依据。可以说,《数据安全法》的正式生效,为我国数字经济和社会进步拉开了以“数据安全与发展”为主题的时代序幕。
在此前的文章(《利刃出鞘:<数据安全法>下中国数据保护路径解读》)中,我们已经就该部法律的时代背景、规范基础、法律依据和制度重点等作出了相对详细的注解,本文中,我们将进一步提炼企业在进行《数据安全法》合规工作中,应当熟稔于心的若干法律合规要点、厘清关键概念与制度之间的关系,以期在服务企业合规实务工作的同时,和大家共同见证数据合规新时代的到来。
索引
一、理解《数据安全法》的立法目标和规则体系
二、厘清《数据安全法》的关键定义与重点概念
三、明确《数据安全法》的监管机构与执法机制
四、落实《数据安全法》下的企业数据合规路径
一、理解《数据安全法》的立法目标和规则体系
准确理解和适用《数据安全法》,需要从立法的基本目标、必要性及其与《国家安全法》、《网络安全法》以及《个人信息保护法》等法律之间的衔接关系为起点,建立起企业适用《数据安全法》的体系基准和坐标认知。
总体而言,在《国家安全法》以及“总体国家安全观”指引之下,依赖于《网络安全法》、《数据安全法》和《个人信息保护法》,在网络、数据和算法等事物发展的客观维度,在个人/企业、组织/社会和国家安全三个基本权益保障层次上,实现全面的维护稳定与促进发展的规则协调体系、综合提升网络与数据安全现代化治理能力。
(一)基本认知:坚持“以发展促安全、以安全保发展”
《数据安全法》开宗明义,在第一条中明确描述了立法目标,在第七条中明确促进以数据为关键要素的数字经济发展,并且在第十三条中重点阐述了数据发展与安全的辩证关系,即“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”与此同时,《数据安全法》第二章的相关规定也不容忽视。透过相关条文规定不难发现,国家将在今后鼓励和扶持合法合规的数据创新利用,尤其是在公共智能化服务、数据安全技术产品与认证服务、数据交易市场、教育和科研等具体领域中创造新的机遇与突破。
可见,《数据安全法》充分彰显了其作为数字经济时代特色的部门立法。而与此同时,企业亦应当明确树立这样一个基本感知或者信心,即《数据安全法》除了给企业带来了一定的数据安全合规成本之外,不应该忽视产业数据有序利用和流动下的广泛利益。从《数据安全法》诸多条文中均可以看出,这部法律对于促进企业数据合法利益的保护、开发和利用所体现出的立法保护决心,以及促进数字产业和数据产品的创新和利用所建立起的行业发展信念。
不难理解,安全和稳定是实现长足发展的前提,数据安全亦是如此。企业的数据安全、合规与资产化治理,将成为企业今后发展的关键命题。对于企业来说,以更为积极的姿态做好《数据安全法》下的数据安全合规,既是在应对法律规则变化的挑战,更是在积极利用规则开拓的发展机遇,积累与培育新的行业竞争力与市场品牌价值。
(二)立法目标:遵循“总体国家安全观”下的数据竞争、合作与治理
作为新时代维护我国国家安全的行动指南,总体国家安全观认为:“没有网络安全就没有国家安全”[1]、“数据安全关乎国家安全”[2]。近年来,总体国家安全观在数字经济时代的外延不断拓展,如网络安全观,倡导尊重网络主权、推进全球互联网治理体系变革、构建网络命运共同体等均为其表现形式。[3]虽然网络安全与数据安全同属于非传统安全领域,但与网络安全不同,数据安全的核心在于保障数据的安全与合法有序流动。[4]由此,《数据安全法》以“数据处理活动及其安全监管”这一动态过程与安全作为法律的适用对象,这体现了“总体国家安全观”主导和指引着《数据安全法》规则的具体制定与体系搭建。
首先,数据安全工作需要积极应对国际数据主权竞争,有效防范和抵御境外数据处理的安全风险。一方面,《数据安全法》通过第二条赋予了对境外企业处理数据可能损害国家安全、公共利益或者公民、组织合法权益时的域外适用效力,这意味着面向境内提供产品和服务的跨国企业,即便在境内不涉及数据处理活动,亦将受到《数据安全法》的管辖;另一方面,为了提供有效应对域外长臂管辖的法律武器,第三十六条规定处理境外主管机关调取境内存储数据时应当遵循的依据有关国际条约、协定和平等互惠的原则,同时明确需要境内主管机关的批准。此外,针对我国企业近年来频繁遭受的在数据和数据开发利用技术有关的投资、贸易领域受到的歧视性禁止、限制或者其他类似措施的行为,第二十六条提供了我国可以采取对应反制措施的法律依据。对于境内企业而言,在遇及境外调取数据的过程中遵循《数据安全法》要求,并积极利用《数据安全法》提供的法律规则,在国际市场竞争中维护自身经营的数据安全与合法权益,既是一种法定义务,也成为了一种现实可能的选择权。
其次,竞争并不排斥合作,《数据安全法》为深度参与全球数字经济市场的数据开发、利用和分工协作的企业,提供在确保安全前提下数据跨境流动的机制保障。客观上说,《数据安全法》为企业依照国际社会数据跨境流动合规水准和要求开展经营提供了衔接的良好契机。《数据安全法》中规定的数据安全制度、数据安全保护义务等,有助于提高企业在数据处理过程中的合规水平,更好地融入全球数字市场。此外,《数据安全法》第十一条表明了国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作的开放态度,在“总体国家安全观”下,《数据安全法》贡献了全球数据安全治理的中国智慧和中国方案[5],也为企业参与国际合作打了一剂强心针。
最后,企业内部数据处理安全风险不容小觑。《数据安全法》的基本价值仍在于规范企业的数据处理活动,帮助企业建立数据安全管理体系。从个人和组织的合法权益角度来看,数字化时代下“数据”往往构成了一种社会身份的象征,深刻影响着个人尊严或者组织声誉与利益。因此,强调企业数据安全义务,也体现了《数据安全法》对于数据处理活动中所涉基本民事权益的保护。此外,对数据安全的保护也不局限于数据本身,还需要进一步考虑到数据对于人工智能的影响。近来的一系列执法和立规动作(如《互联网信息服务算法推荐管理规定》,关于此规定的解读请参见团队此前文章《积跬步,至千里——算法治理之互联网信息服务算法推荐管理》),折射出相关法律制度对于数据的规制,也就从数据安全进一步推进到算法安全。[6]
(三)法律体系:与相关法律的规则接洽关系
1. 与《国家安全法》的关系
《国家安全法》以法律的形式确立了中央国家安全领导体制和总体国家安全观的指导地位,明确了维护国家安全的各项任务,建立了维护国家安全的各项制度,对当前和今后一个时期维护国家安全的主要任务和措施保障作出了综合性、全局性、基础性安排。[7]《数据安全法》同样明确以维护国家主权、安全为根本立法目标和宗旨,聚焦数据处理过程中所形成或者可能面临的安全风险及其监管。由此可见,在总体国家安全的法律规则体系下,《数据安全法》与《国家安全法》可能存在特殊与一般的规则适用关系。
从《数据安全法》第五条规定亦可以发现,中央国家安全领导机构(“中央国安委”或者“国安委”)作为国家数据安全工作的决策和议事协调机构,既负担有国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策的宏观职权,也存在统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制的具体职责。关于国安委作为《数据安全法》的主管机关的具体职权与职能,本文将在第三部分进行重点介绍。简言之,国安委作为《数据安全法》的法定执法机关,具有依《数据安全法》行使职权和管理职能的法律基础,将在自身的职责范围内,对可能影响国家安全、利益的数据处理活动开展执法和监管。
2. 与《网络安全法》和《个人信息保护法》的关系
不难看出,在《数据安全法》立法起草和征求意见过程中,其与《网络安全法》、《个人信息保护法》这两部法律之间的衔接关系最为密切,考虑也最为周到全面。最为典型的如在对“数据”和“个人信息”的定义上,均对其载体形式统一表述为“以电子或者其他方式”。因此,有不少人认为,《数据安全法》与《网络安全法》、《个人信息保护法》共同构成了网络安全与数据合规领域的基本法律规则框架。在此前的分析文章《横看成岭侧成峰——从<个信法>和<数安法>等看网络空间治理的中国方案》 中,我们就这三部国内网络空间治理核心法律的框架、规制对象以及重点内容进行了综述,窥探了中国网络空间治理“四位一体”的监管思路与多维互联的监管体系,而本文从制度衔接与规则接洽的层面上,进一步梳理《数据安全法》中不少规定所体现出与《网络安全法》、《个人信息保护法》之间的适用关系。
就《数据安全法》与《网络安全法》之间的制度衔接方面:
- 首先,从适用范围上,《网络安全法》规范网络运营者(网络的所有者、管理者和网络服务提供者)在境内建设、运营、维护和使用网络的行为。相对而言,《数据安全法》所规制的数据处理行为更为广泛,主体也更为多样,对于非通过网络方式处理数据的行为亦提出了相应的确保安全的法律要求。
- 其次,在具体规则上,《数据安全法》第二十七条规定,利用互联网等信息网络开展数据处理活动,需在《网络安全法》所规定的网络安全等级保护制度基础之上,履行数据安全保护义务。该条款是《数据安全法》依据二读阶段立法意见所采纳而新增的,梳理与明确了与《网络安全法》的规则适用关系。相类似地,《数据安全法》第二十九条所规定的数据安全漏洞风险监测、第三十一条规定的关键信息基础设施运营者的重要数据出境安全管理要求等,均体现了两部法律在具体规则层面上的接榫。
就《数据安全法》与《个人信息保护法》之间的适用关系而言:
- 《个人信息保护法》将于两个月后正式生效。毋庸置疑,个人信息属于数据的一种特殊类型,其上承载的人格尊严属性和财产归属的特殊性,使得我们国家专门对个人信息保护进行专门立法。而如我们在此前文章中所说,我们认为《数据安全法》仍然包含了对“个人信息”安全与保护的规则适用。这是因为,从《数据安全法》第五十三条的文义解释角度来看,“开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定”, 该条应当被理解为:在数据安全的一般性原则之上,个人信息的处理需同时遵循《个人信息保护法》中的规则。换句话说,当企业处理个人信息时,应当同时遵循《数据安全法》与《个人信息保护法》的合规要求。
3. 与《保守国家秘密法》、《统计法》、《档案法》以及军事数据安全保护办法等相关规定的关系
区分数据的开放性与秘密性,《数据安全法》第五十三条规定,开展涉及国家秘密的数据处理活动,适用《保守国家秘密法》等法律、行政法规的规定。关于国家秘密与国家核心数据、重要数据的概念关系,将在下文第二部分进行厘清。而如属于国家秘密领域内的数据处理,需要满足强制性要求更高的《保守国家秘密法》等法律和行政法规规定。
区分数据处理的具体领域,如在统计、档案等工作涉及数据处理,企业应当在遵循《数据安全法》的基本规定之上,按照《统计法》和《档案法》规定开展工作。此外,如涉及军事数据安全的特殊领域,《数据安全法》第五十四条规定,军事数据安全保护的办法,由中央军事委员会依照本法另行制定。
二、厘清《数据安全法》的关键定义与重点概念
在《网络安全法》的基础上,《数据安全法》进一步建立了专门针对数据的安全保护制度体系,结合此前刚颁布不久的《个人信息保护法》对特定类型的数据——个人信息的专门规定,使得在数据相关的概念及规范要求层面,不免出现三部法律重叠与交叉的情况。对于企业而言,在理解并落实《数据安全法》的各项规则制度时,有必要从法律概念和规范设计层面对三部法律的法律概念及规定之间的关系予以厘清。以下我们尝试从《数据安全法》的重点概念或规则出发,对三部法律所规定具有相似属性的概念或规则制度进行澄清说明。
(一)数据、重要数据与个人信息
继《网络安全法》对网络数据[8]的定义予以明确,《数据安全法》在法律层面首次对数据的概念进行了界定,是指任何以电子或者其他方式对信息的记录。这一定义同步对数据与信息之间的关系进行了澄清,表明信息指向事物所传递的内容或属性,而数据构成这一内容或属性的记录形式。《数据安全法》对于数据的定义也传达了该法对于各类数据处理活动的总括适用性。在数据概念之下,基于数据本身属性或所保障的法律价值不同,又囊括了个人信息和重要数据两类法律重点关注的数据。
直观来看,个人信息和重要数据在定义上存在比较显著的差异,值得注意的是,二者定义的出发点存在一定不同。个人信息的定义[9]强调其与个人的关联属性,从信息的客观属性出发进行外延和内涵的划定;与此不同的是,重要数据[10]是从法律所关注或期望保护的价值与利益(例如国家安全、公共利益或者个人、组织的合法权益)出发,将可能影响或与该等价值或利益实现具有关联的数据拟制性地纳入保护范围。上述差异意味着个人信息和重要数据在范围上并非绝对的互斥关系,如果个人信息所反映的法律价值或利益落入重要数据的范畴,将同样可能作为重要数据来保护。国家网信办发布的《汽车数据安全管理若干规定(试行)》对重要数据的定义有所印证,对于涉及个人信息主体超过10万人的个人信息,将被该规定视为重要数据予以保护。因此,对于企业而言,在进行内部的个人信息和重要数据安全保障工作时,宜同步考虑两者之间的关联,避免过分割裂两类数据而引发相关数据安全保护的切割和断层。
(二)个人信息出境和重要数据出境
自《网络安全法》颁布生效之日起,数据出境制度一直是立法、执法以及从业者层面广为讨论和关注的问题。从《网络安全法》设置了关键信息基础设施运营者在个人信息和重要数据出境上的限制条件,到此后关于个人信息、重要数据出境要求各项征求意见稿的出台,直至目前《数据安全法》、《个人信息保护法》的颁布,有关个人信息、重要数据出境的规则(包括适用主体、数据范围、出境限制条件等)渐渐浮出水面,且仍在不断发展。值《数据安全法》生效之际,对现阶段个人信息和重要数据出境的有关规则进行厘清和明确,对于企业业务的全球布局具有重要的前瞻意义。以下我们从数据出境主体属性出发,尝试将《网络安全法》、《数据安全法》、《个人信息保护法》等近期颁布的正式法律法规中涉及个人信息和重要数据出境的规则进行梳理说明:
图片
(点击查看大图)
值得注意的是,考虑到个人信息和重要数据可能存在范围上的重合,因此当出境的个人信息同样落入重要数据的范畴时,从法律解释角度看也将需要同步遵循重要数据出境的各项要求。而对于向境外执法、司法机关提供境内存储的数据,多部法律采取了一致性的规则手段,企业未来面临类似场景时,无论是个人信息还是重要数据的对外提供均不得违背上述原则。
(三)、网络安全负责人、数据安全负责人、个人信息保护负责人
《网络安全法》、《数据安全法》、《个人信息保护法》基于履行网络安全义务、数据安全保护义务、个人信息处理者义务的对企业设置相应安全保护负责人分别作出规定:
图片
(点击查看大图)
上述规定是基于不同法律保护的客体出发对安全管理人员组织上的各自要求,故在具体的职责职能上也会有所侧重,网络安全负责人主要关注网络环境下的安全保护责任,数据安全负责人和个人信息保护负责人则分别侧重数据安全和个人信息安全维度的安全保障职能。恰如前述对于各法之间的关系以及个人信息和重要数据之间关系的讨论,上述负责人的管理责任也将不可避免存在一定的重叠交叉,例如网络安全负责人的职责范围也可能涉及对网络环境下数据的安全保护。因此,企业在进行相关的组织架构设计时除了明确各自职责的侧重,也要关注各负责人之间在职能上的关联关系。同时,考虑到法律上并未禁止不同类型的安全保护负责人重复任职,在明确相关负责人在网络安全、重要数据、个人信息保护方面分别、专门的职责的情况下,不排除上述职责可设计由同一人员或管理机构同时承担。
(四)重要数据处理活动风险评估、个人信息保护影响评估、网络安全审查
除数据出境可能涉及一系列安全评估事项外,《数据安全法》等法律法规还对其他满足特定条件的数据处理活动提出了风险评估的要求,而基于不同法律法规的规定,不同类型数据、不同场景数据处理活动风险评估的触发条件不尽相同,在此我们也尝试对不同法律中规定的主要评估义务进行分门别类:
图片
(点击查看大图)
具体实践中,企业有必要根据自身数据处理活动所可能触发的场景,适时讨论上述风险评估工作的必要性,并据此开展相对应的评估工作。
三、明确《数据安全法》的监管机构与执法机制
作为一项系统性工程,数据安全总体目标的达成与具体工作的落实,关系到国家和社会经济各部门、各行业和各地区的行政执法体系的构建。如上所述,《数据安全法》与《国家安全法》、《网络安全法》、《个人信息保护法》以及其他相关法律、行政法规等相辅相成;相对应地,为了共同构筑国家数据安全的保护屏障,《数据安全法》按照区分经济部门以及地域的方式,明确了有权执法机关和监管单位。
根据我们对《数据安全法》第五条、第六条的初步理解,《数据安全法》下的监管机构及其对应职责,大致如下图所示。
图片
尤其值得注意的是,“中央国家安全领导机构负责统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制”是《数据安全法》在三读阶段所新增的关于执法机制的新表述。根据全国人大网上公布的审议结果报告,考虑到“数据安全工作涉及面广,应当建立国家数据安全工作协调机制,同时明确其在制定重要数据目录、加强数据安全风险分析预警等方面的统筹协调职能。”[11]这即意味着,在“数据安全工作协调机制”的统一指挥下,各部门、各地区负责各项具体的数据安全工作的主管机关或者单位,将形成相互协调、协助和配合的执法体系,连同《数据安全法》第五章规定的政务数据安全与开放工作一道,实现基于数据安全基本目标和价值的监管数据共享和执法体系联动。
下表中,我们将《数据安全法》下所提及的各行政主体及其对应职能进行归纳总结,以便于企业了解和熟悉相关主管部门依职权进行的立规、指引与监管活动。
图片
(点击查看大图)
为简洁起见,上表中将部分通常由跨部门联合执法或者建立联席监管机制的监管职能,进行了一定的合并与划归,如国家网信部门在督促执行网络与数据安全事件应急处置的过程中,其往往作为牵头部门,联合其他相关执法机关进行联合监管。如根据《国家网络安全事件应急预案》要求建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作;再如,《网络安全审查办法(修订草案征求意见稿)》中明确,在中央网络安全和信息化委员会领导下,国家网信办会同国家发改委、工信部、公安部、国家安全部、财政部、商务部、央行、国家市场监管总局、国家广电总局、证监会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
此外,为了进一步在全社会范围内形成提高数据安全意识、形成数据安全社会共建的良好氛围,《数据安全法》规定任何个人、组织都有权对违反规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
四、落实《数据安全法》下的企业数据合规路径
《数据安全法》针对企业的数据处理活动提出了一系列合规要求,为企业设定了积极义务与消极义务在内的多层次数据安全义务群,以通过整体规范数据处理活动,实现对数据安全的全面保障。《数据安全法》生效伊始,我们建议企业重点从以下几方面出发,结合企业内部实践情况,积极探寻合规路径。
(一)合规重点1:梳理企业运营过程中可能涉及的数据类型并初步判断是否可能包含重要数据
在法律法规及国家标准整体层面,重要数据的概念首次被《网络安全法》第三十七条[12]提出,而后《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”中对27个重点行业的重要数据做了概括性的描述,如石油、电力、金融等,再后《数据安全管理办法(征求意见稿)》第三十八条第(五)项对重要数据的概念从较高层面进行了阐释,即一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。重要数据的概念虽然很早就已经被提出,但是对于重要数据的认定方法及认定标准确至今尚未明确。
《数据安全法》第二十一条在笼统定义重要数据并要求国家数据安全工作协调机制统筹协调各部门重要数据识别工作的基础上,将重要数据的具体识别工作下放至各地区、部门,以地区、部门以及相关行业、领域为维度制定重要数据目录。鉴于此,我们理解未来各地区、行业均可能会陆续制定重要数据识别目录,重要数据类型及认定标准也会得到进一步明晰。
在细分行业规范层面,部分行业对于重要数据的认定作出了更为清晰的规定。以汽车行业为例,将于10月1日正式生效的《汽车数据安全管理若干规定(试行)》,其在第三条中首次提出汽车行业重要数据包括“5+n”类数据[13];再以金融行业为例,中国人民银行于2020年9月发布的《金融数据安全 数据安全分级指南》明确金融业机构在开展数据安全分级工作时,对于重要数据的安全级别不宜低于指南中确定的5级保护标准,且在附录A梳理了典型金融数据定级规则参考表,但是并未列出安全级别为5级以上的金融数据类型,虽然稍有遗憾的是,该指南并未以列举形式明确金融行业重要数据类型, 但是主管机关也逐渐释放出未来将由行业内部制定重要数据识别目录的信号,我们也相信未来重要数据的认定方法及识别机制也会越来越清晰。
在现阶段,建议企业应尽可能地:
- 梳理企业日常业务运营过程中可能涉及的所有数据类型及具体的信息字段,以作为初步识别工作的基础;
- 确定企业所在行业是否已存在成文的识别标准或识别方法,若无,企业需从现行有效的法律法规所提出的重要数据的概念出发,判断各类数据落入重要数据范围可能性的高低,对于较高可能会构成重要数据的数据,企业应积极履行《数据安全法》提出的数据安全保护义务;
- 与主管部门保持密切联系,并积极跟进后续配套性指引文件及细则的出台,届时采取更全面、更有针对性的合规对策。
(二)合规重点2:明确企业内部数据安全组织架构
《数据安全法》第二十七条提出,重要数据的处理者应当明确数据安全负责人和管理机构,并落实相应的数据安全保护责任。正如上文所述,目前国内对于重要数据的定义较为宽泛,企业应当充分结合实践谨慎评估自身落入“重要数据的处理者”范围的可能。我们建议企业应尽可能地按照《数据安全法》的要求,明确内部数据安全负责人及数据安全管理机构,以避免引发不必要的合规风险。
参考欧盟GDPR对于数据保护官(Data Protection Officer, DPO)的相关规定,DPO既可以是企业内部的部门或员工,也可以是与企业签署协议的外聘第三方机构或个人。而《数据安全法》并未明确外聘的第三方是否可以作为企业的数据安全负责人和管理机构,但是由于《数据安全法》明确提出了“直接负责的主管人员和其他直接责任人员”所需承担的行政责任,而外聘的第三方能够代表公司承担相应行政责任在实践中还存在一定的不确定性。
另外,与“数据安全负责人和管理机构”规则类似的是,《网络安全法》第二十一条确立了“网络安全负责人”制度、《个人信息保护法》第五十二条还确立了“个人信息保护负责人”制度,三类负责人或机构的职责在某些方面具有一定的共同性,但其各自岗位职责仍存在一定的区别。通常而言,网络安全负责人、数据安全负责人更侧重技术背景,但同时兼具一定的法律背景,负责企业内部整体网络安全及数据保护相关工作,但个人信息保护负责人则更侧重法律背景,熟悉国内个人信息保护立法规则,同时兼具一定的技术背景,落实企业个人信息保护义务。
由于上述三部法律采用的表述为“明确”“指定”负责人,而并未提出指定“单独”或“专门”负责人的要求,因此实践中企业可以根据企业自身组织架构情况,并结合相关岗位人员的知识及管理背景,综合考虑选择“分立式”岗位设置,抑或是“兼任式”岗位设置方式。
(三)合规重点3: 建立企业内部数据安全合规制度体系
综合《数据安全法》第四章对处理者提出的数据安全保护义务,为满足相关要求,建议企业在内部建立如下数据安全合规制度:
全流程数据安全管理制度(第二十七条):从字面含义理解,企业需要基于《数据安全法》及相关法律法规的规定,并结合自身业务实践从全生命周期(包括收集、处理、存储、共享、跨境传输)对所涉数据的安全管理机制提出内部管理要求,充分保障数据安全;
风险监测与安全事件应对制度(第二十九条):从加强风险监测、应对数据安全缺陷角度,以及明确发生数据安全事件时,内部需要采取的对策及报告流程,建议企业依照法律法规及相关国家标准的要求,将处置措施及流程纳入在内部制度文本中,落实相关合规义务;
重要数据风险评估报告制度(第三十条):虽然《数据安全法》明确了定期评估并发送报告的方式,但评估主体、报告报送对象、以及评估频率还有待配套规章制度的进一步明确。建议企业积极跟进立法动态,届时建立内部定期风险评估的报告机制,落实内部责任人;
从事数据交易中介服务的机构还应建立数据提供方数据来源审核制度(第三十三条):除上述一般性要求外,《数据安全法》还从风险控制的角度出发,对从事数据交易中介服务的市场参与者提出了额外的安全保护要求,其规定从事数据交易中介服务的机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。就此,我们建议相关交易中介服务企业建立数据来源合法合规审核制度,审核交易平台内数据提供方的数据来源合法性及授权完整性问题,以避免相关合规风险传导至企业自身。
由于《网络安全法》、《个人信息保护法》与《数据安全法》所关注的角度并不完全相同,对于内部已经按照其他法律法规建立上述合规制度的企业,我们建议相关企业依照生效的《数据安全法》及相关规定,对内部已存在的合规制度进行补充及优化,以确保充分落实相关义务要求。
(四)合规重点4:确立企业内部数据跨境传输机制
数据跨境传输一直以来都是全球化企业最关注的问题之一,而《数据安全法》也从 “企业基于业务目的向境外传输数据”及“境外执法机构调取境内数据”两方面作出了积极回应。
1. 企业基于业务目的向境外传输数据
对于属于关键信息基础设施运营者的企业而言,根据《数据安全法》第三十一条规定,企业在境内运营中收集和产生的重要数据的出境安全管理,应参照并适用《网络安全法》的规定。依照《网络安全法》第三十七条的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
对于不构成关键信息基础设施运营者的企业而言,根据《数据安全法》的规定,其在境内运营中收集和产生的重要数据的出境安全管理要求,将由国家网信部门会同国务院有关部门制定。而参考网信办2019年发布的《数据安全管理办法(征求意见稿)》第二十八条,非关键信息基础设施运营者在向境外提供重要数据前,也应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。
考虑到国内目前对于重要数据及关键信息基础设施运营者的认定尚未完全清晰,建议企业首先应通过梳理相关规则、与行业主管部门沟通等方式确定企业自身是否可能落入关键信息基础设施范围内。同时,梳理在日常业务运营过程中可能涉及的数据跨境传输场景,即便某些企业被认定为关键信息基础设施运营者的可能性较小,但是对于有可能涉及重要数据跨境传输的业务场景,在开展数据传输行为前,同样建议在现阶段积极开展内部自评估工作,并与监管部门保持密切沟通。
2. 境外执法机构调取境内数据
除了企业基于其业务自身需要主动向境外提供数据之外,《数据安全法》第三十六条同样针对可能的域外法律适用所导致的冲突管辖及其所涉及的跨境证据调取问题,进而导致数据跨境发起的业务场景进行了明确,并提出了数据安全层面的法律要求,即“经主管机关批准”。其实现行生效的法律法规已针对特定场景下的“域外数据调取”提出了类似规定,如《国际刑事司法协助法》第四条规定:“非经中华人民共和国主管机关同意,……,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助”,《证券法》第一百七十七条规定:“境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料”。
《数据安全法》第三十六条相较于上述仅适用于相较于特定场景下的“域外数据调取”的相关条款,其所能够适用的场景更为宽泛,具有一定的普遍适用性。同时,第三十六条相较于《数据安全法》内其他大多条文的适用范围亦有所扩大,即从适用主体来看,其适用于“境内的组织、个人”,而非仅限于“数据处理者”“重要数据的处理者” 等;从适用对象来看,其适用于“存储于中华人民共和国境内的数据”,而非仅限于“重要数据”“国家核心数据”等。《数据安全法》现有宽泛的表述是否意味着任何存储与境内的数据被境外司法或执法机关调取时,均需要获得国内主管机关的审批?
举例而言,国内某全球化公司A,在其境内服务器中存储了海外子公司B 的财务及税务数据,海外监管机关出于审查目的需要调取B公司的财务及税务数据。A公司是否需要就提供该财务及税务数据行为获得国内监管机关审批?如果此前财务及税务数据曾经存储在A公司服务器内,但由于公司管理模式调整,相关数据目前存在B公司所在境内,那么海外监管机关调取该等财务数据是否仍需要获得国内监管机关审批?此外,对于所调取“财务及税务数据”如果其既不构成个人信息,也未被认定为重要数据,是否会导致前述结论有所不同?
我们理解,上述问题在现行法律法规框架下并不存在唯一确定的答案,如果所有域外调取数据的行为均需要获得国内监管机关的审批,那么无疑也会为监管机关增加大量的审查成本,一定程度上可能还会造成行政资源浪费。因此,在相关问题仍有待进一步立法明确的情况下,我们仍建议企业建立内部关于域外数据调取的内部流程,积极探寻在冲突管辖场景中可能存在的合规出路。
结语
身处数字经济发展时代当下,具有标志性意义的《数据安全法》生效,昭示着我国数据安全与治理已经站在了新的起点,开启了新的阶段。数据作为生产要素的战略性地位得到确认,企业在积极探寻数据资产管理方案与价值挖掘的同时,同样意味着应当自觉担负起数据安全保护义务和治理责任。我们不难预见,数字与智能化技术的发展,将遇及越来越多的法律合规问题;而在用数字化的思维解决一个又一个具体的合规问题之外,势必将推动数据与法律领域的深度融合。不负所望、如期而至,以安全和发展为主题的数字化法律时代正在踏浪而来。
脚注:
[1] 国家网信办:《习近平:没有网络安全就没有国家安全》,载“国家网信办官网”,http://www.cac.gov.cn/2018-12/27/c_1123907720.htm 最后访问日期:2021年8月30日。
[2] 中央纪委国家建委网站 李云舒:《数据安全关乎国家安全》,载“中国人大网”,http://www.npc.gov.cn/npc/c30834/202107/39abeb5d40744aeaa65e17794714c559.shtml 最后访问日期:2021年8月30日。
[3]:高祖贵:《深刻理解和把握总体国家安全观》,载《人民日报》2020年4月15日09版,http://theory.people.com.cn/n1/2020/0415/c40531-31673757.html 最后访问日期:2021年8月30日。
[4] 安静:《审视数据安全在国家层面的重要意义》,载《中国社会科学报》2021年2月23日008版。
[5] 国家网信办:《专家解读|<数据安全法>为全球数据安全治理贡献中国智慧和中国方案》,在“中国网信网”,http://www.cac.gov.cn/2021-06/15/c_1625341228851523.htm 最后访问日期:2021年8月30日。
[6] 杨蓉:《从信息安全、数据安全到算法安全》,载《法学评论》2021年第1期,第131页。
[7] 全国人大常委会:《关于<中华人民共和国国家安全法(草案)>的说明》,在“中国人大网”,http://www.npc.gov.cn/wxzl/gongbao/2015-08/27/content_1945964.htm 最后访问日期:2021年8月30日。
[8] 《网络安全法》第七十六条规定,网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
[9] 根据《个人信息保护法》第四条规定,个人信息是指个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[10] 《数据安全法》尚未对重要数据进行明确定义,国家网信办颁布的《汽车数据安全管理若干规定(试行)》首次对汽车领域的重要数据进行了定义,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。
[11] 全国人大常委会:《全国人民代表大会宪法和法律委员会关于<中华人民共和国数据安全法(草案)>审议结果的报告》,载“中国人大网” http://www.npc.gov.cn/npc/c30834/202106/a2292e20dfa743febe23b01fa6aa330b.shtml,最后访问日期:2021年8月31日。
[12] 《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[13] 《汽车数据安全管理若干规定(试行)》第三条:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。