开启数据安全治理新篇章 — 简评《数据安全法》

来源:汉坤律师事务所

文章摘要
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议正式通过《中华人民共和国数据安全法》(“《数据安全法》”)。

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议正式通过《中华人民共和国数据安全法》(“《数据安全法》”)。这部法律是数据安全领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起正式施行。本文旨在对《数据安全法》最终稿的变化和要点做初步的梳理,后续我们将就《数据安全法》和其他相关法规的关联,以及对企业合规的挑战做进一步的分析。
一、 最终稿较二审稿有哪些重要变化?

《数据安全法》最终稿与此前4月29日公布的二审稿总体保持一致,主要变化体现在以下方面:
加强数据安全管理顶层设计。最终稿第5条在原有基础上规定中央国家安全领导机构,即中央国家安全委员会,将统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制,强化了数据安全管理的顶层设计。
首次出现国家核心数据概念,强化数据的分类分级保护。最终稿第21条在建立数据分类分级保护以及制定重要数据目录的基础上进一步提出,“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。
加强境外机构数据调取管理,提升处罚上限。《数据安全法(草案二审稿)》首次增加了违规向境外执法机构、司法机构提供境内数据的处罚措施。最终稿第48条大幅提高了处罚上限,如果向境外执法机构、司法机构违规提供境内数据且造成严重后果的,企业可能被处以最高500万元的罚款,并可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,直接负责的主管人员和其他直接责任人员可能被处以最高50万元的罚款。
提出适老化要求,关注老年人数字化权益。自去年起,工信部先后发布《互联网应用适老化及无障碍改造专项行动方案》及《关于进一步抓好互联网应用适老化及无障碍改造专项行动实施工作的通知》等,要求对互联网网站及移动互联网应用进行适老化改造。最终稿第15条针对我国社会老龄化的大趋势,首次在立法层面提出“适老化”的有关规定,要求提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
二、 数据的保护分为哪些层级?
《数据安全法》在建立数据分类分级保护以及制定重要数据目录的基础上进一步提出了国家核心数据的概念,针对不同重要程度的数据形成了较为立体的数据保护层级。根据《数据安全法》的构建,我国的数据保护分级将如下图所示:

三、《数据安全法》确立了哪些重要配套制度?
《数据安全法》确立了一系列数据领域的基本制度,为我国数据安全管理与保护、数据流通与应用奠定了基础。这些制度主要包括:
数据交易管理制度:国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。(第19条)从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第33条)
重要数据保护制度:《数据安全法》对重要数据的处理提出了特别的要求,主要包括:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。(第27条)以及,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。(第30条)
数据安全风险管控制度:国家将建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。(第22条)
数据安全应急处置机制:国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。(第23条)
数据安全审查制度:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。(第24条)这意味着有关部门作出的数据安全审查制度将排除行政复议或行政诉讼的救济。
四、 国际数据交往领域有哪些重要制度?
关键信息基础设施运营者的境内存储义务:《数据安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。(第31条)而按照《中华人民共和国网络安全法》第37条的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
其他处理者向境外传输重要数据需遵守网信办等后续出台的出境安全管理办法:其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。(第31条)随着《数据安全法》的落地,相关的配套法规或将不断完善并为企业提供明确的指引。
境外政府执法或司法机构向境内调取数据:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。(第36条)
数据出口管制制度:国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。(第25条)
反歧视制度:任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。(第26条)
五、 企业在数据安全方面有哪些重要合规义务?
企业在《数据安全法》下的主要义务及相关法律责任总结如下表。

(点击图片查看大图)
六、 结语
《数据安全法》系统性的体现了总体国家安全观的要求,全方位地搭建了我国数据安全治理领域的基本法律框架。《数据安全法》中政策性、原则性和方向性的规定较多,而具体可执行性的义务性规范较少,其中提出的许多重要制度有待相关监管部门后续出台配套法规进行细化和落地。《数据安全法》中规定的数据安全保护、重要数据保护、数据安全事件应急处置、反歧视、数据出口管制、数据安全审查等制度与措施与其他相邻法律领域,特别是《个人信息保护法》、《网络安全法》、《反外国制裁法》、《出口管制法》、《外商投资法》、《网络安全审查办法》等法律法规项下相关制度措施如何衔接,仍有待进一步明确。可以预见,未来一段时间内监管机构将密集制定出台《数据安全法》相关的配套制度,逐步落地有关制度。企业应密切关注后续制度发展,做好合规准备。
实习生徐紫寰对本文的写作亦有贡献。

技术驱动法律,专业成就未来