博客 / 詳情

返回

《中華人民共和國數據安全法》9月1日起正式施行

2021年6月10日,第十三屆全國人大常委會第二十九次會議審議後通過了《中華人民共和國數據安全法》(以下簡稱“《數據安全法》”)。《數據安全法》將於2021年9月1日起正式施行。 

2018年9月公佈的“十三屆全國人大常委會立法規劃”首次將《數據安全法》列入立法計劃,作為“條件比較成熟、任期內擬提請審議的法律草案”2。經過兩年時間的醖釀,《數據安全法》草案經全國人大常委會一審後於2020年7月發佈徵求意見,並於2021年4月26日進行二審審議,至目前正式發佈。

《數據安全法》出台後將成為以《國家安全法》為代表的國家安全法律體系的重要組成部分,也將與《網絡安全法》及目前已經二次審議的《個人信息保護法》一起組成信息領域更加完整的基礎性法律體系。

image.png

《數據安全法》的重點內容總結如下。

一、 適用範圍

《數據安全法》規定,在中華共和國境內開展的數據處理活動及其安全監管,適用本法。在域外適用上,進一步規定,在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。(第二條)

《數據安全法》進一步規定,“數據”是指任何以電子或者其他方式對信息的記錄;而“數據處理”包括數據的收集、存儲、使用、加工、傳輸、提供、公開。

根據上述定義,“數據”所涵蓋的範圍十分廣泛、在目前政務、企業逐步向數字化轉型的過程之中,幾乎會囊括生產、經營、管理各方各面所產生的信息記錄。《數據安全法》附則進一步規定,開展涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定;在統計、檔案工作中開展數據處理活動,開展涉及個人信息的數據處理活動,還應當遵守相關的法律、行政法規的規定,因此《數據安全法》並不包括對於國家秘密的數據處理活動。但是,《數據安全法》適用於統計、檔案工作中的數據處理活動,亦適用於涉及個人信息的數據處理活動,只是這些數據處理活動還應遵守相關法律法規的要求。《數據安全法》的要求在實踐之中如何適用於企業的業務實踐,仍有待觀察。例如,《數據安全法》要求對數據進行分級分類保護,僅針對重要數據制定了相關具體義務(如本文第六部分所述),而對於除重要數據之外的其他數據是否仍需相應規制、以及規制的重點及規則可能需後續進一步明確。

《數據安全法》規定,數據安全是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。(第三條)從整個《數據安全法》的內容來看,此處的數據安全既包含宏觀國家安全層面、亦包括組織與個人落實數據安全措施的微觀層面。

二、 《數據安全法》與網絡、安全法律體系的銜接

數據安全要素是國家安全、網絡安全的重要組成部分。

《國家安全法》原則性規定,國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現……數據的安全可控(第二十五條)。

《網絡安全法》亦要求企業應履行網絡安全等級保護義務,採取數據分類、重要數據備份和加密等措施(第二十一條)。我們注意到,《數據安全法》與上述法律及其相關配套法規(及徵求意見稿)的規定的協調及銜接仍需進一步觀察,例如:

  • 《數據安全法》規定的重要數據相關保護義務與《網絡安全法》、《數據安全管理辦法(徵求意見稿)》中相關定義及規定的銜接;
  • 《數據安全法》規定的數據出口管制制度與2020年出台的《出口管制法》的出口管制要求及《網絡安全法》、《數據安全管理辦法(徵求意見稿)》、《個人信息保護法(草案二次審議稿)》規定的數據出境的相關要求的銜接;
  • 《數據安全法》規定的數據安全審查制度與《外商投資法》規定的外商投資安全審查制度及《網絡安全審查辦法》的關聯。

三、 數據安全與發展並行的原則

《數據安全法》在總則之中首先明確了國家保護公民、組織與數據有關的權益,鼓勵數據合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展(第七條)。

接着,《數據安全法》在第二章中明確對於數據安全與發展的支持。相關支持措施包括實施大數據戰略、推進數據基礎設施建設、數字經濟發展規劃設計(第十四條);支持開發利用數據提升公共服務的智能化水平(第十五條);加強數據開發利用和數據安全技術研究(第十六條);促進數據人才培養(第二十條)等鼓勵和支持數字經濟發展、數據開發利用的總體戰略和方針,也同時要求制定數據開發利用技術和數據安全的相關標準(第十七條);促進數據安全檢測評估及認證(第十八條)、建立健全數據交易管理制度(第十九條)。

可見,從《數據安全法》的制度設計,意在鼓勵和建立各種數據相關的制度支持措施,並結合對於數據的管理和要求,以促進和協調數字經濟與數據安全之間的平衡有序發展。

四、 數據安全執法主體及工作職責

《數據安全法》第五條、第六條明確了數據安全的監管與不同執法單位的工作職責。《數據安全法》規定中央國家安全領導機構承擔國家數據安全工作的決策與議事協調作用,並研究制定、指導實施國家數據安全戰略和重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。“國家數據安全工作協調機制”是《數據安全法》正式稿中首次提出,其負責“統籌協調有關部門制定重要數據目錄”(第二十一條)、“統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作”(第二十二條)。此外,根據第七條規定:

  • 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責;
  • 工業、電信、交通、金融、自然資源、衞生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責;
  • 公安機關、國家安全機關在各自職責範圍內承擔數據安全監管職責;
  • 國家網信部門負責統籌協調網絡數據安全和相關監管工作。

五、 數據安全的基本制度體系

作為數據安全領域的基本法律,《數據安全法》第三章創設了一系列數據領域的基本制度,構建我國數據安全制度的基本框架,為未來數據安全制度體系的發展與完善奠定基礎。這些新的基本制度包括:

1. 數據分級分類保護、重要數據保護制度及國家核心數據保護制度

《數據安全法》規定國家根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分級分類保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄。關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門、相關行業、領域的重要數據保護目錄,對列入目錄的數據進行重點保護(第二十一條)。

《數據安全法》對於重要數據的處理提出了特別的要求:(1)重要數據的處理者應設立數據安全負責人和管理機構(第二十七條);(2)重要數據處理者應定期對數據處理活動開展風險評估,並向有關主管部門報送風險評估報告,評估報告應包含所處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等(第三十條)。

對重要數據的規制由《網絡安全法》於2016年首次提出,主要對關鍵信息基礎設施運營者收集的重要數據提出數據本地化及重要數據出境安全評估的要求。此後發佈的相關征求意見稿,例如《信息安全技術 數據出境安全評估指南》(徵求意見稿)、《數據安全管理辦法(徵求意見稿)》對各類重要數據進行了列舉及定義,《數據安全管理辦法(徵求意見稿)》對重要數據的處理也提出了相應要求。

《數據安全法》將建立對重要數據的處理規則,體現了重要數據管理制度的不斷深化。但《數據安全法》仍未能對重要數據做出明確的定義,而是留待各地區、部門、行業出台相關清單,反映了在實踐中對數據進行分類、定義的複雜性。

《數據安全法》第三十一條明確提出,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。可見,對於關鍵信息基礎設施運營者而言,重要數據的出境依然沿襲《網絡安全法》第三十七條的規定,本地存儲為原則,出境須經過安全評估;而對於其他數據處理者,其收集和產生的重要數據也將有專門的重要數據出境安全管理辦法予以規制。目前該辦法尚未出台,因此,一般的數據處理者的重要數據出境仍有待立法的進一步明確和澄清。

《數據安全法》首次提出“國家核心數據”的概念。目前,《數據安全法》尚未具體規定“更加嚴格的管理制度”,但第四十五條已經規定了違反國家核心數據管理制度的罰則(罰金最高可達人民幣1000萬元),我們理解,國家核心數據的範圍和相關管理制度可能後續配套出台。

2. 數據安全風險管控制度

《數據安全法》要求國家建立統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制,國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作(第二十二條)。此制度的具體內容及相關政府部門及企業的義務待未來相關配套法規進一步澄清。

3. 數據安全應急處置機制

國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啓動應急預案,採取相應的應急處置措施,防止危害擴大,消除安全隱患,並及時向社會發布與公眾有關的警示信息(第二十三條)。此規定如何與《突發事件應對法》等現有法規的銜接需進一步觀察。

4. 數據安全審查制度

國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。(第二十四條)。

《數據安全法》未明確數據安全審查制度的具體內容。進一步的,其與現有《外商投資法》規定的外商投資安全審查制度及《網絡安全審查辦法》中規定的針對關鍵信息基礎設施運營者的相關安全審查制度的關係需進一步觀察。

5. 數據出口管制制度

國家對與履行國際義務和維護國家安全相關的屬於管制物項的數據依法實施出口管制度。2020年10月17日發佈的《出口管制法》規定了對貨物、技術、服務等物項的出口管制要求,並對出口管制進行了定義。

此外,《網絡安全法》、《數據安全管理辦法(徵求意見稿)》及《個人信息保護法》(草案二次審議稿)分別規定了關鍵信息基礎設施運營者、網絡運營者重要數據及個人信息的數據出境安全評估要求,但相關具體細則尚未明確。《數據安全法》第三十一條規定的其他數據處理者的重要數據的處境安全管理辦法亦尚未出台。數據出口管制及數據出境安全評估制度之間的配合及銜接有待未來立法的進一步明確。

6. 歧視性措施反制機制

對在數據和數據開發利用技術等有關投資、貿易方面對我國採取歧視性的禁止、限制或者類似措施的,我國可以根據實際情況採取對等措施(第二十六條)。

六、 數據安全保護義務

《數據安全法》第四章規定了單位及個人在國家數據安全保護體系下應遵守的各項義務,這些基本義務包括:

  • 開展數據處理活動應建立健全全流程數據安全管理制度、組織開展數據安全教育培訓、採取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務(第二十七條);
  • 對數據處理活動應加強風險監測,發現數據安全缺陷、漏洞等風險時,立即採取補救措施,發生數據安全事件發生後,應立即採取處置措施,按照規定及時告知用户並向有關主管部門報告(第二十九條);
  • 採取合法、正當的方式獲取數據(第三十二條);
  • 配合公安、國家安全機關因維護國家安全或偵察犯罪調取數據的要求(第三十五條);
  • 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機關關於提供數據的請求。非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機關提供存儲於中國境內的數據(第三十六條)。

除上述基本義務外,《數據安全法》亦對從事數據交易中介服務的機構提出了特別的數據安全義務,即對從事數據交易中介服務的機構,應要求數據提供方説明數據來源並審核交易雙方身份,並留存審核、交易記錄;我們認為:從事數據業務的供應商及數據業務交易的中介平台應充分關注此項要求(第三十三條)。

七、 政務數據的開放與安全要求

   在我國電子政府穩步推進的大背景下,政務數據的安全保護刻不容緩,一方面需要不斷推進政務數據的透明開放,提升社會治理水平;一方面政務數據因其特殊性,同樣關係到國家安全一旦被濫用或非法泄露,也會對國家和社會產生危害。在此背景下,《數據安全法》第五章對政務數據的安全與開放做出了明確要求。包括國家機關應在法定職責範圍內從事數據活動、應建立健全數據安全管理制度、及時準確公開政務數據、建設安全可控的政務數據開放平台等。

特別需要注意的是,第三十八條要求國家機關對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據依法予以保密,不得泄露或者非法向他人提供。第四十條規定,國家機關委託他人建設、維護電子政務系統,存儲、加工政務數據,應經過嚴格的批准程序,並應監督受託方履行數據安全保護義務。受託方應當按照法律法規要求和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。基於此,與政府進行合作,或為政府提供服務的第三方供應商應特別關注此項要求,一方面,准入程序有待進一步觀察,另一方面,實踐中部分政務服務的供應商將政務數據用於其他商業目的,《數據安全法》出台後,此類行為被明確規定為違法行為。

八、 違反數據安全義務的法律責任

《數據安全法》第六章確定了違反各項數據安全義務所對應的法律責任。第四十四條規定了主管部門在監管過程中發現數據處理活動有較大安全風險的,可對相關組織與個人進行約談,並要求整改、消除隱患。此外,該章針對開展數據處理活動的組織與個人、數據交易中介機構、國家機關、履行數據安全監管職責的國家工作人員等不同主體違反《數據安全法》中規定的相應義務所承擔的法律責任進行了詳細規定,並明確構成犯罪的,依法追究刑事責任。

《數據安全法》規定了對於違反數據安全保護義務的單位和個人的法律後果,其中:對於單位最高罰款金額為人民幣200萬元,並可責令暫停相關業務、停業整頓、吊銷業務許可或營業執照,對直接負責的主管人員和其他直接責任人員也規定了最高人民幣20萬元的罰款金額。 值得注意的是,違反國家核心數據管理制度,危害國家主權、安全和發展利益的,以及違法《數據安全法》規定,向境外提供重要數據的,均明確規定了相應的更加嚴格法律後果(第四十五條、第四十六條)。

《數據安全法》亦單獨規定了不配合公安、國安調取數據、以及未經批准向外國司法、執法機構提供數據、從事數據交易的中介服務單位違反規定等相關違法行為的法律責任。

九、 我們的觀察

《數據安全法》作為我國第一部有關數據安全的專門法律,為我國數據安全治理體系建立了立法基礎及制度框架,確立了數據安全保護和基本思路和大致方針。

考慮到《數據安全法》所涉及領域的廣泛性、複雜性,在《數據安全法》原則規定的基礎上,其如何與現有《網絡安全法》、正在起草的《個人信息保護法》等法律及其配套規定的銜接,如何相應配套設計、落地各項具體的數據安全制度,如何在數據安全的前提下、實現數字經濟的穩步有序發展,都是巨大的挑戰、也可以預見未來實踐之中的諸多議題。

數據活動對於企業的經營、城市的發展、政務的推進,尤其是在大數據、人工智能、雲計算、區塊鏈等新型科技領域和數字經濟領域不斷快速發展的大背景下至關重要。《網絡安全法》於2017年生效後,為企業的數據活動已提出了新的合規框架。但規制主要集中於個人信息與重要數據領域,尚未進行統一的數據安全立法,且對於重要數據領域的法律和執法框架也一直仍在探索和形成。

《數據安全法》的出台無疑將為各類企事業單位、以及政務過程之中合法、安全的利用、處理數據提供基本的法律依據與參考,將進一步促進內外部的數據安全合規工作、落實各項數據安全義務。

對於各行業,尤其是可能涉及重要數據的金融、電信、交通、自然資源等關鍵行業的企業而言,需要緊密關注數據分類及重要數據保護制度,完善數據安全風險預防機制、數據安全事件應急處理機制等;就交易平台而言,應加強對於數據來源及交易雙方的審核機制;對於為各類企事業單位提供數據處理和服務的企業而言,《數據安全法》規定的各項制度也將直接影響其未來的經營模式和義務。我們建議企業儘快結合《數據安全法》規定評估自身是否存在任何合規問題,並進行相應的制度和合規建設。

行業 , 數據安全
user avatar h2yn1jwi 頭像
1 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.