导读
《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“草案二稿”)经由第十三届全国人大常委会第二十八次会议审议,于4月29日对外公布并征求公众意见。作为未来我国“数据安全领域的基础性法律”,相较于去年7月3日发布的草案一稿,草案二稿保留七章结构及各章主题不变,但突出如下两方面特点:
从基础定义、网安监管、重要数据出境、电信牌照管理等方面,进一步加强与《网络安全法》、《个人信息保护法》等顶层制度的内容衔接,赋能未来中国数据监管整体法律体系建设;
响应反垄断监管大趋势,加大数据处理违法行为处罚力度、重要数据管理、行业自律管理等时下社会热点,立法回应社会热点关切。
本文将从“制度体系衔接”及“时下热点响应”两方面入手,聚焦草案二稿修改重点,感知立法态势,以期为企业合规提供视角解读及应对建议支持。
一、制度体系衔接
1. 明确基础定义:“数据处理”及“数据安全”
在数据安全与发展的整体价值权衡关系上,《数据安全法》“坚持保障数据安全与促进数据开发利用并重”,“数据处理活动”及“数据安全”将作为贯穿本法规定的核心概念。对此,草案二稿对这对概念的定义进行调整,区别如下:

对于“数据处理活动”,草案二稿使用“数据处理”替换“数据活动”,并采用“列举式”而非“定义式”方式进行内涵表述。新表述与《民法典》、《个人信息保护法(草案)》关于“个人信息的处理”定义[1]保持类似,避免相似概念采用不同表述而造成的实际适用障碍。
对于“数据安全”,草案二稿的表述兼具“目标现实性”及“操作可达性”,相较于一稿的定义更加贴合数据安全实务及监管工作。
2. 衔接现有网安制度体系
以《网络安全法》及其配套法规为代表的制度框架,系我国目前网络安全及数据保护主要立法管理体系。关于与该制度体系的衔接,草案二稿第二十六条在一稿第二十五条基础上做出显著调整,区别如下:

有两点值得关注:
从“依照法律、行政法规的规定和国家标准的强制性要求”到“依照法律、法规的规定”,草案二稿扩大了数据处理活动开展的合法依据范围。
草案二稿突出强调等保制度的基础地位,此既呼应《网络安全法》第二十一条关于国家建立网络安全等级保护制度并将其作为网安管理制度的基础的立法理念,也重申国家长期以来开展企业等保义务落实审查的强监管态度。2020年7月,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,强调企业深入贯彻实施国家网络安全等级保护制度的要求。等保义务落实及管理工作,仍将是企业日常网络安全工作开展的重中之重。
3. 进一步完善重要数据出境管理规定
关于重要数据出境的规制,目前可见于《网络安全法》第三十七条[1]对于关键信息基础设施运营者的义务要求。在实务工作中,对于不构成关键信息基础设施运营者的企业,其业务如涉及重要数据出境,所需要遵循的法律要求尚不清晰。对此,草案二稿通过增设第三十条,加强重要数据出境管理规定,明确关键信息基础设施运营者与其他法人、组织等主体履行重要数据保护义务的法律依据不同。

此外,草案二稿保留了一稿中针对属于出口管制范围的数据和执法机构跨境调取数据等特殊场景下的监管。对于数据出境监管管理,草案二稿同样未涉及对于一般商业及贸易场景下的数据跨境流动提出具体监管措施。事实上,对于企业跨境数据传输监管机制的清晰化,一直为业界所期待。相关立法监管工作,仍有待观察。
4. 重申数据处理服务的市场准入要求
草案一稿第三十一条关于在线数据处理等服务需依法取得相应电信经营业务许可牌照的要求,曾引发社会各界高度关注,甚至作为上市评审机构的问询参考依据[1]。对此,草案二稿在此条款基础上调整适用对象描述,重申数据处理服务的市场准入要求。

此条款意在加强《数据安全法》与现有电信经营业务监管体系之间的衔接。由于数据处理活动在目前企业日常运营过程中非常常见,甚至作为主营业务,可以预见,关于数据处理涉及的电信牌照申请及管理,将是未来行业监管及审查的重点。

二、时下热点响应
1. 关注反垄断执法监管态势
目前,关于平台反垄断的监管行动正在如火如荼地展开。包括今年年初国务院反垄断委员会印发的《关于平台经济领域的反垄断指南》,以及近期若干企业收到反垄断处罚通知或者接受调查等事件,均清晰说明,数据是平台的核心资产,数据监管是平台反垄断的核心问题。如何通过加强数据监管以避免、遏制排除、限制竞争行为,系国家立法机构重点关注的问题。
对此,草案二稿通过修订对应条款,明确表达对反垄断执法监管态势的关注,围绕数据监管与反垄断监管之间的立法关系处理进行有益的立法探索尝试。

可以看到,此轮修订传递出国家重视数据监管在反垄断监管中的价值的信号。关于数据与反垄断之间的立法联系,后续值得进一步关注。
2. 显著加大数据处理违法行为处罚力度
数据监管执法向来是推进数据保护实操工作的重难点。一方面,数据处理违法行为多样,数量众多,影响面广,个人信息保护仍有待持续推进;另一方面,数据处理违法行为处罚后果仍有待明确,现有处罚力度是否足以震慑相关违法行为等仍有待评估。关于后者,《个人信息保护法(草案)》发布时,参考域外立法先进经验,尝试将处罚金额与年度营业额挂钩[1],明显加大个人信息处理违法行为处罚力度,引发社会广泛关注。
对此,草案二稿显著加大数据处理违法行为的处罚力度,与目前整体监管态势保持同步。具体变化如下:


从具体处罚结果来看,草案二稿相关规定呈现如下特点:
a) 罚金标准提升:针对单位及直接负责的主管人员、其他直接责任人员的罚款,较大幅度提升罚金标准;
b) 处罚对象增加:除共同规定的处罚对象行为外,草案二稿新增对于数据调取违法行为的处罚规定,覆盖不配合中国官方机构数据调取要求行为(对内)、未经主管机关批准向境外司法或者执法机构提供数据行为(对外)等场景;
c) 处罚种类增加:除共同规定的责令改正、没收违法所得、并处罚款、吊销相关业务许可证或者吊销营业执照等措施外,还包括责令暂停相关业务、停业整顿等。
3. 将确定重要数据目录纳入中央事权
自《网络安全法》生效后,重要数据的范围、识别和流动监管,一直是业界关注的焦点问题。一方面重要数据与国家安全及公共利益息息相关,有必要建立起有效的监管体系,另一方面,重要数据范围上须是“真正重要”的数据,不能泛化,否则会阻碍数据的正当流动,不利于数字经济的发展。
对此,草案一稿提出重要数据保护及重要数据目录制定的想法,草案二稿在此基础上做出显著调整,具体区别如下:

在之前我们就草案一稿所发布的解读文章《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》中,我们提到,草案一稿将“重要数据”保护目录的制定权限下放至地方与部门,权力配置缺乏科学性,容易导致”重要数据“认定范围过于宽泛,影响数据要素流动,应将重要数据的范围和识别标准列入中央事权。对此,草案二稿进行针对性调整,国家层面除表达加强重要数据保护的立场外,明确将“确定重要数据目录”一项纳入中央事权范畴。我们理解,该项调整将有利于形成中央事权与具体地方、部门管理权限之间的合理协调机制,推动形成重要数据认定统一标准方向。
然而,草案二稿对“重要数据”的界定仍不够清晰,无法弥补现有体系下对“重要数据”范围认定的不足。此项仍有待进一步立法观察。
此外,针对数据分类分级机制,草案二稿在一稿基础上,强调“国家建立数据分类分级保护制度”。草案规定的数据分级分类制度以监管机构的视角出发,对不同类型及级别的数据采取不同的监管措施和法律要求,我们理解其具有必要性。同时,企业在数据活动中,为了数据安全保护、数据流动及合规遵循,会形成基于行业实践的分类分级体系。这两者应该并行不悖,不能互相取代
4. 重视行业自律的社会影响价值
行业组织,因其在监管机构与实际数据处理者之间的特殊协调关系,使其在社会整体数据安全监管体系搭建中扮演重要角色。对此,草案二稿通过新增第十条,要求相关行业组织在数据安全保护工作中应当承担的义务责任,其事实上突显了国家立法及执法层面对行业组织及其制定的章程规范、行业自律公约的社会及行业影响价值的认可与重视。具体规定如下:

可以预见,如此条款最终生效,相关行业组织围绕数据安全保护方面的管理动作将可能会增加,包括制定行业内部数据安全行为规范等。

三、观察与应对
整体而言,草案二稿属于在一稿基础上进行“针对性补强”的结果,除上述调整及部分表述变动外,基本保留一稿的监管理念、适用范围、管理架构、规制主题、责任规定等核心内容。综合观察这两轮草案,可获悉如下基本立法与监管思路:
本法除适用于在中国境内开展的数据处理活动外,亦针对境外主体开展的损害我国国家安全、公共利益或境内主体合法权益的数据处理活动,规定了有限的域外适用效力;
明确由中央国家安全领导机构决策和统筹协调数据安全工作,各地区、各部门承担对应地域、行业数据安全监管职责;
以数据安全与发展并重为导向,促进数据产业发展和商业利用,倡导建立标准化体系,支持评估和认证服务发展;
国家对于国家秘密、个人信息、重要数据采取分体系监管、并行而治的统筹治理思路;
\u009F明确构建数据安全风险预警机制及应急处置机制,以及数据处理活动的国家安全审查机制;
\u009F强调数据处理活动过程中数据处理者应当承担的数据保护义务,与现有制度体系做好衔接。
此外,本轮草案修订所传递的立法监管发展动向,包含立法机构对于目前制度体系建设及适用的思考、时下热点响应及合理规制的探索等,值得企业合规工作者的高度重视。为此,我们综合以上解读成果,对本轮修改事项所反映的未来合规工作重点提出应对方向建议,供企业合规工作参考:
等保义务落实,包括相关网络系统等保测评及备案、基于等保制度的信息安全管理体系搭建等,仍将是企业网络安全管理的核心工作之一;
关注与公司数据处理相关的电信运营业务资质、行业资质、信息安全认证等要求,及时完成相应许可、备案工作;
做好数据成果、核心技术、算法模型等数据资产盘点、知产管理、合规管理等工作;
加强内部员工数据处理、保密、信息安全等相关的培训、日常管理工作;
及时关注、跟进网络安全、数据保护、个人信息保护相关的法律、法规、标准等立法动态,且范围应不限于强制性法律法规。
《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“草案二稿”)经由第十三届全国人大常委会第二十八次会议审议,于4月29日对外公布并征求公众意见。作为未来我国“数据安全领域的基础性法律”,相较于去年7月3日发布的草案一稿,草案二稿保留七章结构及各章主题不变,但突出如下两方面特点:
从基础定义、网安监管、重要数据出境、电信牌照管理等方面,进一步加强与《网络安全法》、《个人信息保护法》等顶层制度的内容衔接,赋能未来中国数据监管整体法律体系建设;
响应反垄断监管大趋势,加大数据处理违法行为处罚力度、重要数据管理、行业自律管理等时下社会热点,立法回应社会热点关切。
本文将从“制度体系衔接”及“时下热点响应”两方面入手,聚焦草案二稿修改重点,感知立法态势,以期为企业合规提供视角解读及应对建议支持。
一、制度体系衔接
1. 明确基础定义:“数据处理”及“数据安全”
在数据安全与发展的整体价值权衡关系上,《数据安全法》“坚持保障数据安全与促进数据开发利用并重”,“数据处理活动”及“数据安全”将作为贯穿本法规定的核心概念。对此,草案二稿对这对概念的定义进行调整,区别如下:

对于“数据处理活动”,草案二稿使用“数据处理”替换“数据活动”,并采用“列举式”而非“定义式”方式进行内涵表述。新表述与《民法典》、《个人信息保护法(草案)》关于“个人信息的处理”定义[1]保持类似,避免相似概念采用不同表述而造成的实际适用障碍。
对于“数据安全”,草案二稿的表述兼具“目标现实性”及“操作可达性”,相较于一稿的定义更加贴合数据安全实务及监管工作。
2. 衔接现有网安制度体系
以《网络安全法》及其配套法规为代表的制度框架,系我国目前网络安全及数据保护主要立法管理体系。关于与该制度体系的衔接,草案二稿第二十六条在一稿第二十五条基础上做出显著调整,区别如下:

有两点值得关注:
从“依照法律、行政法规的规定和国家标准的强制性要求”到“依照法律、法规的规定”,草案二稿扩大了数据处理活动开展的合法依据范围。
草案二稿突出强调等保制度的基础地位,此既呼应《网络安全法》第二十一条关于国家建立网络安全等级保护制度并将其作为网安管理制度的基础的立法理念,也重申国家长期以来开展企业等保义务落实审查的强监管态度。2020年7月,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,强调企业深入贯彻实施国家网络安全等级保护制度的要求。等保义务落实及管理工作,仍将是企业日常网络安全工作开展的重中之重。
3. 进一步完善重要数据出境管理规定
关于重要数据出境的规制,目前可见于《网络安全法》第三十七条[1]对于关键信息基础设施运营者的义务要求。在实务工作中,对于不构成关键信息基础设施运营者的企业,其业务如涉及重要数据出境,所需要遵循的法律要求尚不清晰。对此,草案二稿通过增设第三十条,加强重要数据出境管理规定,明确关键信息基础设施运营者与其他法人、组织等主体履行重要数据保护义务的法律依据不同。

此外,草案二稿保留了一稿中针对属于出口管制范围的数据和执法机构跨境调取数据等特殊场景下的监管。对于数据出境监管管理,草案二稿同样未涉及对于一般商业及贸易场景下的数据跨境流动提出具体监管措施。事实上,对于企业跨境数据传输监管机制的清晰化,一直为业界所期待。相关立法监管工作,仍有待观察。
4. 重申数据处理服务的市场准入要求
草案一稿第三十一条关于在线数据处理等服务需依法取得相应电信经营业务许可牌照的要求,曾引发社会各界高度关注,甚至作为上市评审机构的问询参考依据[1]。对此,草案二稿在此条款基础上调整适用对象描述,重申数据处理服务的市场准入要求。

此条款意在加强《数据安全法》与现有电信经营业务监管体系之间的衔接。由于数据处理活动在目前企业日常运营过程中非常常见,甚至作为主营业务,可以预见,关于数据处理涉及的电信牌照申请及管理,将是未来行业监管及审查的重点。

二、时下热点响应
1. 关注反垄断执法监管态势
目前,关于平台反垄断的监管行动正在如火如荼地展开。包括今年年初国务院反垄断委员会印发的《关于平台经济领域的反垄断指南》,以及近期若干企业收到反垄断处罚通知或者接受调查等事件,均清晰说明,数据是平台的核心资产,数据监管是平台反垄断的核心问题。如何通过加强数据监管以避免、遏制排除、限制竞争行为,系国家立法机构重点关注的问题。
对此,草案二稿通过修订对应条款,明确表达对反垄断执法监管态势的关注,围绕数据监管与反垄断监管之间的立法关系处理进行有益的立法探索尝试。

可以看到,此轮修订传递出国家重视数据监管在反垄断监管中的价值的信号。关于数据与反垄断之间的立法联系,后续值得进一步关注。
2. 显著加大数据处理违法行为处罚力度
数据监管执法向来是推进数据保护实操工作的重难点。一方面,数据处理违法行为多样,数量众多,影响面广,个人信息保护仍有待持续推进;另一方面,数据处理违法行为处罚后果仍有待明确,现有处罚力度是否足以震慑相关违法行为等仍有待评估。关于后者,《个人信息保护法(草案)》发布时,参考域外立法先进经验,尝试将处罚金额与年度营业额挂钩[1],明显加大个人信息处理违法行为处罚力度,引发社会广泛关注。
对此,草案二稿显著加大数据处理违法行为的处罚力度,与目前整体监管态势保持同步。具体变化如下:


从具体处罚结果来看,草案二稿相关规定呈现如下特点:
a) 罚金标准提升:针对单位及直接负责的主管人员、其他直接责任人员的罚款,较大幅度提升罚金标准;
b) 处罚对象增加:除共同规定的处罚对象行为外,草案二稿新增对于数据调取违法行为的处罚规定,覆盖不配合中国官方机构数据调取要求行为(对内)、未经主管机关批准向境外司法或者执法机构提供数据行为(对外)等场景;
c) 处罚种类增加:除共同规定的责令改正、没收违法所得、并处罚款、吊销相关业务许可证或者吊销营业执照等措施外,还包括责令暂停相关业务、停业整顿等。
3. 将确定重要数据目录纳入中央事权
自《网络安全法》生效后,重要数据的范围、识别和流动监管,一直是业界关注的焦点问题。一方面重要数据与国家安全及公共利益息息相关,有必要建立起有效的监管体系,另一方面,重要数据范围上须是“真正重要”的数据,不能泛化,否则会阻碍数据的正当流动,不利于数字经济的发展。
对此,草案一稿提出重要数据保护及重要数据目录制定的想法,草案二稿在此基础上做出显著调整,具体区别如下:

在之前我们就草案一稿所发布的解读文章《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》中,我们提到,草案一稿将“重要数据”保护目录的制定权限下放至地方与部门,权力配置缺乏科学性,容易导致”重要数据“认定范围过于宽泛,影响数据要素流动,应将重要数据的范围和识别标准列入中央事权。对此,草案二稿进行针对性调整,国家层面除表达加强重要数据保护的立场外,明确将“确定重要数据目录”一项纳入中央事权范畴。我们理解,该项调整将有利于形成中央事权与具体地方、部门管理权限之间的合理协调机制,推动形成重要数据认定统一标准方向。
然而,草案二稿对“重要数据”的界定仍不够清晰,无法弥补现有体系下对“重要数据”范围认定的不足。此项仍有待进一步立法观察。
此外,针对数据分类分级机制,草案二稿在一稿基础上,强调“国家建立数据分类分级保护制度”。草案规定的数据分级分类制度以监管机构的视角出发,对不同类型及级别的数据采取不同的监管措施和法律要求,我们理解其具有必要性。同时,企业在数据活动中,为了数据安全保护、数据流动及合规遵循,会形成基于行业实践的分类分级体系。这两者应该并行不悖,不能互相取代
4. 重视行业自律的社会影响价值
行业组织,因其在监管机构与实际数据处理者之间的特殊协调关系,使其在社会整体数据安全监管体系搭建中扮演重要角色。对此,草案二稿通过新增第十条,要求相关行业组织在数据安全保护工作中应当承担的义务责任,其事实上突显了国家立法及执法层面对行业组织及其制定的章程规范、行业自律公约的社会及行业影响价值的认可与重视。具体规定如下:

可以预见,如此条款最终生效,相关行业组织围绕数据安全保护方面的管理动作将可能会增加,包括制定行业内部数据安全行为规范等。

三、观察与应对
整体而言,草案二稿属于在一稿基础上进行“针对性补强”的结果,除上述调整及部分表述变动外,基本保留一稿的监管理念、适用范围、管理架构、规制主题、责任规定等核心内容。综合观察这两轮草案,可获悉如下基本立法与监管思路:
本法除适用于在中国境内开展的数据处理活动外,亦针对境外主体开展的损害我国国家安全、公共利益或境内主体合法权益的数据处理活动,规定了有限的域外适用效力;
明确由中央国家安全领导机构决策和统筹协调数据安全工作,各地区、各部门承担对应地域、行业数据安全监管职责;
以数据安全与发展并重为导向,促进数据产业发展和商业利用,倡导建立标准化体系,支持评估和认证服务发展;
国家对于国家秘密、个人信息、重要数据采取分体系监管、并行而治的统筹治理思路;
\u009F明确构建数据安全风险预警机制及应急处置机制,以及数据处理活动的国家安全审查机制;
\u009F强调数据处理活动过程中数据处理者应当承担的数据保护义务,与现有制度体系做好衔接。
此外,本轮草案修订所传递的立法监管发展动向,包含立法机构对于目前制度体系建设及适用的思考、时下热点响应及合理规制的探索等,值得企业合规工作者的高度重视。为此,我们综合以上解读成果,对本轮修改事项所反映的未来合规工作重点提出应对方向建议,供企业合规工作参考:
等保义务落实,包括相关网络系统等保测评及备案、基于等保制度的信息安全管理体系搭建等,仍将是企业网络安全管理的核心工作之一;
关注与公司数据处理相关的电信运营业务资质、行业资质、信息安全认证等要求,及时完成相应许可、备案工作;
做好数据成果、核心技术、算法模型等数据资产盘点、知产管理、合规管理等工作;
加强内部员工数据处理、保密、信息安全等相关的培训、日常管理工作;
及时关注、跟进网络安全、数据保护、个人信息保护相关的法律、法规、标准等立法动态,且范围应不限于强制性法律法规。
