关于数据安全你所想了解的最重要的内容
2021 年 6 月 10 日,《中华人民共和国数据安全法》(“《数据安全法》”)由中华人民共和国全国人民代表大会常务委员会发布,该法将于 2021 年 9 月 1 日生效并实施。
《数据安全法》和《个人信息保护法》(可能很快会出台)是数据隐私和信息安全法律领域内备受期待的两部法律。与中国第一部全面规范网络安全和个人隐私保护的综合性立法《中华人民共和国网络安全法》(“《网络安全法》”)相比,《数据安全法》可以被视为中国第一部全面规范数据安全的综合性法律。
《数据安全法》总共分为七章,五十五条。其关键条款主要涉及国家和地方政府层面的数据安全制度、针对数据处理者层面的数据安全义务,以及违规处罚等条款。
我们将在下文中总结概述《数据安全法》的部分关键内容,并结合近年来颁布的数据保护和信息安全相关的(包括草案),综合考量和分析《数据安全法》的法律影响。
《数据安全法》的战略地位
除了保护个人和组织的合法权益外,国家主权和安全是制定《数据安全法》过程中一个非常重要的主题和考量因素。
《数据安全法》在中国数据安全法律制度中的根本性和战略性意义,从其监管的数据和活动的广泛程度,以及统筹负责国家数据安全的高级别权力机构等方面都能得以显现。
负责机构
中央国家安全领导机构,即中央国家安全委员会,将负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作。
在具体实施层面, 则由各地政府部门、行业主管部门、公安和国家安全部门负责数据安全监管, 由国家网信部门负责网络数据安全和相关监管工作的协调。
受规制的数据
《数据安全法》所称数据,是指任何以电子或者其他方式对信息的记录。
《网络安全法》调整的主要是两类数据:网络数据[1](即仅以电子形式)和个人信息[2](以电子或其他形式)。因此,《数据安全法》所调整的数据本质上涵盖了 《网络安全法》所监管的数据。换言之,《数据安全法》所界定的“数据”范围与此前的法律法规的界定并不完全等同。
尽管《数据安全法》提到,国家网信部门将根据《数据安全法》和其他法律法规负责统筹协调网络数据安全和相关监管工作。关于《数据安全法》将如何与《网络安全法》等法规配合实施,特别是存在法规规定不一致的情况时,应如何解读和执行相关法规等问题,尚有待进一步的厘清。
请注意,《数据安全法》并不适用于涉及国家秘密和军事数据的数据处理活动。
受规制的行为&域外效力
《数据安全法》对于“数据处理”的界定,包括数据的收集、存储、使用、加工、传输、提供、公开等,形成了对数据全生命周期的覆盖。
除了从数据安全的角度规制数据活动外,《数据安全法》明确提出数据是数字经济发展的关键要素,鼓励培育数据市场和数据交易,并专门针对数据交易中介服务和专门提供在线数据处理服务进行了规定。
除管辖在中华人民共和国境内进行的数据活动外,《数据安全法》强调了在中国境外实施损害我国国家安全、公共利益或者公民、组织合法权益的数据活动也将受到本法的制约。
类似的法律适用的域外效力也在《网络安全法》中有所体现。《网络安全法》规定,境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,将依法追究法律责任。从二者的行文来看,《数据安全法》似乎比《网络安全法》具有更广泛的域外影响,因为《网络安全法》仅仅在海外行为对中国“关键信息基础设施”造成严重损害或后果时,才适用域外效力。
数据安全的关键条款
数据分级分类与重要数据保护
《数据安全法》提出,国家将建立数据分类分级保护制度,根据(i)数据在经济社会发展中的重要程度,以及(ii)一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
这种分类分级保护制度在信息安全法律制度中并非新概念。这一制度可以追溯到2007年颁布的《信息安全等级保护管理办法》。此后,在信息安全领域,相继出台了诸多关于分类分级保护制度的法规和国家标准。
随着《网络安全法》的实施,这种分类分级保护制度已从传统的信息系统安全扩展到了网络安全领域。 《网络安全等级保护条例(征求意见稿)》,一旦正式发布成为法律,将有望为数据的分类和分类分级保护制度的实施提供更为详细的指导。
我们注意到,部分行业监管机构已经发布了相关标准或法规,在其各自的行业领域内实施数据分类分级保护制度。譬如,2018年中国证券监督管理委员会所发布的推荐标准《证券期货业数据分类分级指引》,2020年中国人民银行发布的《金融数据安全 数据安全分级指南》,以及同年由工业和信息化部发布的《工业数据分类分级指南(试行)》等。毫无疑问,随着《数据安全法》的出台和实施,可以预见,越来越多的行业法规和标准将逐步出台。
重要数据
《数据安全法》并未就如何对数据进行分类和实施分类分级保护提供详细指导,而是要求各地方政府部门和行业监管机构根据数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
同样,《数据安全法》并没有对“重要数据”予以定义。我们注意到“重要数据”的概念(未定义)最初起源于《网络安全法》,主要是针对“关键信息基础设施”运营所产生和处理的重要数据进行规制。但是,根据《个人信息和重要数据出境安全评估办法(征求意见稿)》,“重要数据”不再局限于“关键信息基础设施”的运营,任何网络运营都可能产生重要数据。 《数据安全管理办法(征求意见稿)》似乎重申了这一立场。 《数据安全管理办法》草案作为《数据安全法》的实施规则,将“重要数据”定义为是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。根据《数据安全管理办法》草案,“重要数据“一般不包括企业生产经营和内部管理信息、个人信息等。
如前所述,各个行业的“重要数据”最终都将取决于该行业所实施的数据分类分级保护制度。例如,在金融机构领域,中国人民银行已经发布了《个人金融信息保护技术规范》的推荐标准。其中,“个人金融信息”,根据该信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,被划分为三个类别。虽然该规范中并未直接界定“重要数据“,但根据其数据分类的标准和类别,可以认定C3是最可能被认定为”重要数据“的一类数据。
值得注意的,《数据安全法》对“重要数据“设置了特别的保护义务。譬如,第27条规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。第30条规定重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
数据安全审查制度
第24条规定,中国将建立“数据安全审查”制度,对可能影响国家安全的数据活动进行国家安全审查。值得注意的是,安全审查将是最终决定,意味着无法对该决定提出司法审查或行政复议。
很遗憾,《数据安全法》并未就“影响或可能影响国家安全”的判断标准和依据做出明确的指引, 关于审查部门、流程与材料也需要后续法规和政策的进一步指导。
另外,值得注意的是,自2020年6月1日起实施的《网络安全审查办法》仅对“关键信息基础设施运营商”采购的网络产品和服务进行国家安全审查。因此,《数据安全法》所规定的国家安全审查显然比《网络安全法》和《网络安全审查办法》所规定的国家安全审查所调整的范围更加广泛。换而言之,《数据安全法》所规定的数据安全审查涵盖了所有可能影响国家安全的数据活动,并将适用于在中国境内从事数据活动的任何和所有个体和组织。
然而,无论是《数据安全法》还是《数据安全管理办法》草案都没有对数据安全审查程序提供详细的指导。 我们期待《数据安全管理办法》在其最终出台的版本中能够对此提供进一步的指引。
跨境数据传输
第31条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,将适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,将由国家网信部门会同国务院有关部门制定。
如前所述,包括《数据安全管理办法》草案在内的一些法律草案已经将“重要数据”的监管从 关键信息基础设施的运营者扩展到所有数据处理者。该 《数据安全法》条款实际上只是重申了这一立场,这也再次表明了中国政府打算加强对任何“重要数据”出口的控制,以保护国家安全和公共利益。
综上所述,任何“重要数据”的出境极有可能最终都需要接受数据安全审查,当然具体情况的判断还取决于国家网信部门和国务院相关部门未来所制定的规则。
更重要的是,《数据安全法》第 36 条明确禁止在未经中国主管部门事先批准的情况下,不得将存储在中华人民共和国境内的数据提供给任何外国司法或执法机构。中国主管部门会根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。 另外,第26条重申了我国在处理数据分享和数据利用的事务上将采取的平等互惠原则,其规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施。
在没有任何具体的例外条款允许香港和澳门采取不同处理方式的情况下,这意味着,不仅存储在中国大陆的数据未经事先批准不得提供给外国司法或执法机构,而且存储在香港或澳门的数据也将受到同样的限制。
此外,在实践中如何解释和执行这些限制性条款尚存在很大的不确定性。譬如,如果数据在正常业务运营过程中或出于其他合法目的传送或提供给中国境外的办公室或员工,这意味着这些数据已经存在于中国境外的服务器上,在这种情况下,是否仍然会受到第36条的规制呢?另外,第36条在实际的执行中,是否会被解释为禁止境外机构直接在中国境内进行调查、收集证据和数据呢?
所有上述限制性条款或要求无疑会增加任何涉及数据,特别是“重要数据”的跨境交易或活动的谈判成本。此外,该等规定会给在中国开展业务的跨国公司带来额外的挑战,尤其是当跨国公司被外国政府要求或司法命令需要提供存储在中国的数据或文件时,如何去及时而妥善地处理这一冲突也将成为跨国公司或涉及跨国交易的中国公司所需要提前谨慎考虑的问题。
在法律或政策尚未提供进一步澄清的情况下,我们建议,仔细而谨慎地审阅任何可能涉及跨境数据传输的合同和交易,并全面而谨慎地提前评估如何在现有的中国法律框架下去及时妥善地处理外国司法或执法机构可能会提出的有关跨境传送数据的要求。
严厉的违法处罚措施
为加强中国对数据安全的管控,《数据安全法》对违反该法的组织(个人)和直接责任人员设立了严厉的法律责任。根据《数据安全法》的规定,对违法行为的直接责任人包括 “对违法行为直接负责的主管人员“和”其他直接责任人员”。
对于违反《数据安全法》相关规定的组织和个人的罚款金额,最低为5万元人民币(约合7800美元),最高可达1千万元人民币(约合160万美元);而对该违法事件的直接责任人的罚款金额,最低为人民币 1万元(约合 1,600 美元),最高可达人民币 1百万元(约合 16 万美元)。
对于严重违反相关规定的组织和个人,除了高额的罚金外,还可能会面临被责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,还将被依法追究刑事责任。
虽然,《数据安全法》在相关条款的规定上仍需后续配套法规和政策的解释和澄清,而且在未来的实践中将如何被解读和执行也存在诸多不确定性;但是,我们相信《数据安全法》 的出台,势必会进一步提高各地方政府、企业、数据运营者对数据保护工作的意识,也将进一步推动其在数据保护和合规方面的投资。