解讀:數據安全法的機構合規義務
2021年6月10日《數據安全法》正式通過,并將于同年9月1日正式施行。我國數據安全法治框架的帷幕即將拉開,數據安全法治進程正式掛擋上路。可以預期,在《數據安全法》的大框架下,更多規范與法規等配套實施細則將陸續頒布。
1
《數據安全法》的法律體系
《數據安全法》的立法是總體國家安全觀的重要組成部分,旨在保護數據這一新型生產要素的安全。
《數據安全法》與《網絡安全法》關系尤其密切,二者相輔相成,分別從數據與安全的角度為機構設定了大量的合規要求。
值得關注的是,對個人信息這一特殊類型數據的保護,不僅是安全的需要,也與人格權保護的角度息息相關,即機構需要考慮用戶個人行使訪問、修改、刪除等權利時,如何進行協助。
下面將《網絡安全法》與《數據安全法》兩部法律的合規框架進行了簡單梳理,幫助機構更全面地理解自己的合規義務:
除了與《網絡安全法》關系密切,《數據安全法》還預留了大量接口與其他法律相銜接,如《刑法》、《保守國家秘密法》、《出口管制法》、《檔案法》等,都會在不同情況下予以交叉。
2
《數據安全法》的管轄范圍
在《數據安全法》中,管轄覆蓋了境內與境外兩個層面:
|
范圍 |
管轄內容 |
|
境 內 |
|
|
境外 |
|
相較于《網絡安全法》,《數據安全法》在境外管轄上實現了突破。
《數據安全法》不會僅在中國境內具有效力,部分境外的數據處理行為同樣可以依據《數據安全法》進行規制。
比如境內組織或個人開展跨境電信詐騙、網絡賭博活動中在境外生成的數據,就可能會依據《數據安全法》第35條要求有關機構配合調取境外的數據。
但這可能會需要《數據安全法》承擔美國CLOUD法案(《澄清境外合法使用數據法》)的相關職責,未來少不了在國際間的運用。
在《網絡安全法》的未來修訂中,管轄問題也可能仿照《數據安全法》,將危害中國國家安全、公共利益或者公民、組織合法權益的境外網絡活動列入管轄范圍。
3
《數據安全法》中的數據及相關概念
《數據安全法》中的“數據”,不僅包括電子形式,也包括以其他方式記錄的信息。即無論是電子形式,或是紙質形式的數據都需要受到《數據安全法》的管轄,范圍相當寬泛。
此外,“重要數據”自《網絡安全法》以來備受關注,關于重要數據定義、范圍、目錄的討論從未間斷。此次《數據安全法》仍未明確重要數據的概念,僅明確重要數據的目錄將由國家數據安全工作協調機制統籌協調,并由各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄。
預期,隨著《數據安全法》的實施,各部門、各地區的重要數據目錄也會加速制定。
“核心數據”是《數據安全法》三審中新增的內容,在此前的兩次審議中均未出現。《數據安全法》將“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據”列為國家核心數據。
目前尚不清楚核心數據與重要數據會是何種關系,是核心數據是重要數據中的特殊類別,或是重要數據是除核心數據以外、需要重點保護的數據。可能在后續法規中會逐漸予以明確。
4
《數據安全法》與生產要素
在2020年4月中共中央與國務院發布的《關于構建更加完善的要素市場化配置體制機制的意見》中,明確提出通過推進政府數據開放共享、提升社會數據資源價值、加強數據資源整合和安全保護加快培育數據要素市場,并引導培育大數據交易市場,依法合規開展數據交易,建立健全數據產權交易和行業自律機制。
在2021年生效的《民法典》中,未對數據權益的保護有更多關注,僅規定“法律對數據、網絡虛擬財產的保護有規定的,依照其規定。”(第127條)這樣的規定連原則性的保護都算不上,只是提供了未來立法銜接開放性的接口。
《數據安全法》首次以法律的形式明確了對數據權益的保護,第7條規定:“國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。”
《數據安全法》在第33條中關于數據交易的要求,對數據權益的規則進行細化:“從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。”
《數據安全法》主要關注的是安全問題,而非權益問題,但仍然會成為未來數據權益保護的重要法律依據。
數據權益保護的基本規則目前仍然主要通過司法案例進行提煉,判斷數據權益的邊界。大量關于網絡爬蟲、API、賬號共享的司法案例將會逐漸“凝固”為確定的規則,并在未來立法工作中予以體現。而這也是法律工作中會越來越多介入數據安全工作的原因之一。
5
《數據安全法》中的合規義務
從法律的角度,沒有救濟就沒有權利,沒有責任就沒有義務。因此《數據安全法》第六章法律責任中配備有罰則的義務也可以被看作合規的重點,主要涉及:
|
合規項 |
合規內容 |
法律責任 |
|
數據安全管理制度 |
|
|
|
風險監測與安全事件響應 |
|
|
|
重要數據保護 |
|
|
|
核心數據保護 |
|
|
|
數據出境 |
|
|
|
數據交易中介 |
|
|
|
數據調取 |
|
|
|
境外執法機構配合 |
|
|
除了設定具體罰則的合規項目,有關部門如果發現數據處理活動存在較大安全風險的,還可以按照規定的權限和程序對有關組織、個人進行約談,并要求有關組織、個人采取措施進行整改,消除隱患。這意味著像《數據安全法》第28條這樣要求數據新技術符合社會公德與倫理這樣的原則性要求,也可能成為監管部門關注的對象,尤其是涉及人臉識別、算法推薦這樣可能會對人群造成影響的新技術。
6
向境外司法、執法機構提供數據的限制
關于禁止向境外提供數據的規定,雖然在此前《國際刑事司法協助法》等法律中也有規定,但缺少對法律責任的設定,這也就意味著違反了也很難有什么直接的法律后果。《數據安全法》中設定的最高500萬元罰款讓該法律義務具有了“獠牙”,威懾力顯著提升。
數據出境的相關規定主要是從數據類型的角度對數據的跨境傳輸進行了限制。不得向境外執法機構提供數據主要是從用途的角度對數據跨境進行了限制。“非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”
從該法條的表述來看,僅關注境內的組織、個人,以及存儲于境內的數據,如果是存儲于境外的數據或境外的組織和個人,則不在管轄范圍之內。
換言之,如果境內機構自收集伊始就將數據存儲在中國境外,或是境外機構所控制的境內數據,向境外提供也無妨。《數據安全法》第36條無疑會推動部分跨國企業將沒有本地化留存義務的數據直接存儲在中國境外,以規避第36條的義務。
該法條的另一個問題是如何界定境外執法機構,司法機構相對清晰,就是各國的法院,而執法機構每個地區都千差萬別。比如當地的稅務部門是否算是執法機構、因為仲裁能否向海外仲裁機構提供數據,此類問題現階段可能都沒有答案,有賴于與主管機關的溝通與交流。
7
數據安全法律框架的后續
《數據安全法》的條文很多是原則性的規定,但仍通過提綱挈領的方式,描繪了未來一段時間數據安全領域細化規則與執法重點的路線圖:從核心數據的提出,到境外執法的阻卻,從跨境責任到數據權益,均是會一一細化的內容。
在2021年5月的國家網信辦征求意見的《汽車數據安全管理若干規定(征求意見稿)》就是未來各行業與領域數據安全立法的一種可能的嘗試:細化重要數據目錄、明確報告內容、對跨境提出更為清晰的要求。
對于中外跨國企業來說,數據安全已不再是關系自身信息安全的“小事”,而是會直接關系到國家安全與國家間的對抗。當各國執法部門給出相左的意見,網絡與數據庫的架構、對不同國家(地區)政府命令的遵從與挑戰都會造成深遠的影響,進而塑造國際間的數據規則。
