简评《数据安全法》十大合规要点
移动支付网 王岩飞2021/6/17 11:08:30

2021年6月10日,十三届全国人民代表大会常务委员会第二十九次会议表决通过《中华人民共和国数据安全法》,该法将于2021年9月1日起施行。《数据安全法》的正式颁布,有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足,标志我国在数据安全领域有法可依,也为政府、企业、个人在数据处理活动中的行为提供监管依据。

《数据安全法》全文共七章,五十五条,分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面对于数据处理活动规制。笔者就《数据安全法》主要内容,结合实践经验,简要分析数据处理活动的十大合规要点。

1.政府执法中的数据合规

《数据安全法》第十二条规定,任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。第三十五条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

近年来,政府在具体执法过程中亦有信息泄露问题,存在部分公职人员营私舞弊,违反规定泄露信息的情况。当前数字化的发展,在数据处理活动中违法违规行为会越来越多,但公民权利意识亦在加强,相应的投诉举报事宜也会越来越多。所以有必要对于政府在数据安全执法环节中,自身数据保护工作行为进行规制。另外,随着违法犯罪网络化、隐蔽化,公安机关、国家安全机关因履行职能,必然会有越来越多的调取数据行为,也有必要进行规范。

数据安全关乎国家安全、社会安全、个人安全。《数据安全法》的落实需要全社会的遵守,首先应该是政府数据处理活动合规。对于政府部门,越来越多的履行职能、执法等活动牵涉数据,在原有的保密规范基础上,有必要建立一套严格的涉数据领域执法流程和制度,包括分级管理制度、内部组织架构、访问控制、人员培训等内容。

但如果是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施,在网络安全等级保护制度的基础上,还要实行重点保护。从合规角度,要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门等。

2.老年人、残疾人的平等权利

《数据安全法》第十五条规定,国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

从政府层面来讲,此条的规定主要在保障老年人、残疾人平等地享受公共服务,一方面可见立法者考量的平等、公平、理念,另一方面也体现人性立法,关注人权的理念。社会实践中已经存在社保拒收纸质人民币、机械履行防疫要求强制手机扫描二维码等等的案例。在具体利用数据提升公共服务的过程中,要在应用设计中,考虑老年人、残疾人,以及落后地区群众的基本条件和特点,同时设置不同选择或者不同方案,让老年人、残疾人平等地享受公共服务,而不能机械推行智能化。

不仅仅是公共服务领域,当前国家在推行信息化建设,各地均在建设智慧城市,商业环节中互联网化程度越来越高,在商业环节中杜绝一刀切的信息化,考虑老年人、残疾人,以及落后地区群众的基本条件和特点也有必要。这分为两个维度,一是不能强制使用信息化产品,比如餐饮消费环节中不能强制扫码点餐,不能强制网络支付等等;二是在产品设计时应考虑老年人、残疾人等的特点,针对特点设计产品或者产品中的服务技术。

但如果是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施,在网络安全等级保护制度的基础上,还要实行重点保护。从合规角度,要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门等。

3.重要数据与国家核心数据的特别保护

《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

分类分级保护是数据安全的基本制度,此条规定从立法的高度确定了数据分类分级保护制度是国家建立。目前实践中对于分类分级的参考文件有《信息技术大数据数据分类指南》、《信息安全技术大数据安全管理指南》、《金融数据安全数据安全分级指南》、《工业数据分级分类指南(试行)》、《基础电信企业数据分类分级方法》、《个人金融信息保护技术规范》等实操性较强的文件。

在分类分级的基础上,要对重要数据进行特别保护的前提应该是明确范围。《信息安全技术数据出境安全评估指南(草案)》中将重要数据定义为“与国家安全、经济发展,以及社会公共利益密切相关的数据”,并进一步明晰“指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),例举了各行业(领域)重要数据的范围。此条亦授权各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,在后续实践中应特别关注。

另外,本条首次提出了“国家核心数据”的概念,即“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的数据。而“实行更加严格的管理制度”并未在条文中释明,有待具体细化,但从实践的角度分析,“国家核心数据”更多关乎国家安全。实践中,数据处理者不仅仅要有网络安全的意识,还要有国家安全的意识,处理涉及国家安全、国民经济命脉、重要民生、重大公共利益等数据时应有更高合规敏感度。

4.数据安全审查制度

《数据安全法》第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

本条的规定是落实国家安全审查制度在数据领域的规范。《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

目前国际上诸多国家均建立了国家安全审查制度。我国通信、互联网等企业出境均遭遇不同国家严格的审查及限制、制裁。而我国对外安全审查在外商投资领域较为常见,在网络数据领域还不够健全。2020年,《网络安全审查办法》出台,规定关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,具有进步意义。没有网络安全就没有国家安全,涉及数据处理活动中的国家安全审查还不够完善,本条的规定明确了数据领域进行安全审查的必要性,但同时还应加强具体细化规定的制定以及具体监管执法的落实。

但如果是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施,在网络安全等级保护制度的基础上,还要实行重点保护。从合规角度,要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门等。

5.数据出境的三大合规要点

《数据安全法》对于数据出境主要体现在“第二十五条,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。”

“第三十一条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

“第三十六条,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

以上条款主要体现在三个维度的合规。

一是明确数据出口管制制度。目前我国在物品、技术等领域均有严格的出口管制制度,也有《对外贸易法》、《技术进出口管理条例》等规定规制,2020年又更新了《中国禁止出口限制出口技术目录》,将诸多大数据分析有关技术列入目录。但数据领域的出口管制制度还不够完善。《网络安全法》第三十七条仅规定了关键信息基础设施的运营者在因业务需要,确需向境外提供数据时,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,并未将其他领域的数据出口管制规范在内。而除《网络安全法》外,对于数据出境监管,并未有强有效的法律进行规制,《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》又均未生效。所以本条立法结合实际,将除关键信息基础设施外的其他领域亦纳入监管范围。

二是明确不同数据出境监管。本条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。而《网络安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。可见作为关键信息基础设施领域,境内存储是基本原则,出境是例外,且出境安全评估是必须项。而其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定,可以看出并未强制要求境内存储,且并未强制出境安全评估。

三是明确条约互惠和强化域外数据司法、执法监管。基于经济发展进程和国家安全角度考虑,涉数据领域的国际条约签署并不常见,2018年欧洲委员会《关于自动处理个人数据的个人保护公约》是为数不多涉及个人数据保护权利的国际条约。随着经济全球化及中国经济发展,尤其是中国互联网企业出海,越来越多的行政执法、司法活动中涉及针对中国境内数据的获取。对于企业来讲,遇到境外执法、司法活动,要求提供中国存储的数据时,应报请中华人民共和国主管机关批准,不能私自直接提供。从域外法律应对角度来讲,一方面要关注中国与有关国家签署的国际条约、协定以及平等互惠原则,提前做好执法应对预案,另一方面也要加强当地法律研究,必要时候本条亦是抗辩理由之一。

6.数据领域反制裁

《数据安全法》第二十六条规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

刚刚通过的《反外国制裁法》规定,外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取包括禁止或者限制我国境内的组织、个人与其进行有关交易、合作等反制措施。

随着中国经济崛起,越来越多的中国企业走向世界。但在走出去的过程中,遇到诸多障碍,比如中兴、华为、微信、抖音等企业均遇到域外执法及部分制裁。对于中国企业,要关注域外数据合规法律规定,同时还应关注有关国家与中国经济友好度;对于外资企业,则要关注所属地国家对于中国企业的政策以及中国反制裁措施。对于企业合规角度分析,国家意志或许不可抗拒,但是提前法律研究和应急预案是必要的。

但如果是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施,在网络安全等级保护制度的基础上,还要实行重点保护。从合规角度,要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门等。

7.企业数据合规体系

企业数据合规体系是基础性问题,《数据安全法》第二十七条、第二十九条、第三十条均规定了基本内容。

整体分析,企业数据合规体系包括:商业模式合规、技术和计算机系统方面的有效措施、建立健全全流程数据安全管理制度、组织开展数据安全教育培训、应急措施设置、定期风险评估、出口管制等方面。

另外,在基础性合规体系之上,还应按照关键信息基础设施或者重要数据等方面对于部分合规内容进行严格化。比如,《数据安全法》规定,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

但如果是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施,在网络安全等级保护制度的基础上,还要实行重点保护。从合规角度,要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份;制定网络安全事件应急预案,并定期进行演练;自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门等。

8.数据合规隐性风险:社会公德和伦理

《数据安全法》第八条规定,开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理。第二十八条规定,开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。

主流合规体系往往更关注合法合规。但是随着经济发展,尤其是互联网和数据应用领域近年来迅猛发展,凸显了很多未有规制的前沿问题,其中包括涉及社会公德和伦理的问题,部分情形混合着违法违规行为,而部分情形仅仅是社会公德和伦理问题。

比如AI伦理问题,随着人工智能领域技术的突飞猛进,国内外政府、社会组织、研究机构等均意识到AI伦理问题,我国中央全面深化改革委员会第九次会议通过的《国家科技伦理委员会组建方案》要求我国将加快建立健全科技伦理审查和风险评估制度,并制定更为严格的法律法规,全国信息安全标准化技术委员会发布的《网络安全标准实践指南—人工智能伦理安全风险防范指引》也对实践工作提出参考。

再比如对于个人信息是否有财产权益问题,《民法典》规定了个人信息属于人格权范畴,具有人身属性,但各地数据立法中具有将个人信息增加财产权益的情况,尤其是数据交易规则中,笔者认为个人信息不能用于交易,这是一个伦理问题。一旦将个人信息(部分地方立法中有“个人数据”的表述)赋予财产性质,意味着变向承认个人信息具有商业价值,那不同人的信息定价不同会实质造成人格歧视和公民不平等。

所以对于企业合规工作,应对数据分析和产品设计添加社会公德和伦理审查环节,避免投入市场后才发现违反社会公德和伦理,引起社会强烈反响。对于数据交易和信息撮合领域商业活动,尤其要关注这个问题。

9.数据交易中介机构合规要点

《数据安全法》第三十三条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。这也是法律层面首次对于数据交易进行规范。

目前我国的数据交易中介机构主要有政府背景的大数据交易所、特殊行业领域的大数据交易所、数据服务商和大型互联网公司建立的交易平台等类型。而深圳双区建设、大湾区建设、海南自贸区建设规划中均提出要建立数据交易中心,可见数据交易是未来数据领域的主要活动之一。

对于数据交易中介服务机构,应做好以下合规要点:

一是严格审查供需双方的合规资质。双方均应为无违法违规记录的合法组织或自然人;均应完成在数据交易服务机构的注册,并经数据交易服务机构审核通过,才允许参与数据交易业务;均应证明其具备安全交易数据的能力;应向数据交易服务机构提供书面的安全承诺等。

二是要严格履行数据交易合同签署。数据供方与需方之间应当依法订立合同,合同内容需明确数据质量、交易价格、提交方式、数据用途等,并且签订数据保密协议以保护数据资产,查询过程中涉及到个人隐私等需要高度保护的数据时还需要提供授权文件和溯源编号。

三是严格审查交易数据类型。数据交易中介服务机构要制定禁止交易数据目录,并对交易数据的权属瑕疵等内容进行审查,针对涉及个人信息的,要严格审查授权或者去标识化工作。

四是数据交易中介服务机构要从安全管理制度、安全交易系统、人员培训等多方面建立数据交易合规体系。

10.政务数据开放合规要点

《数据安全法》规定,国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。而作为关键信息基础设置领域,如委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

随着政府信息化建设,政务数据统一管理和数据开放成为监管趋势。

《数据安全法》规定,国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。而作为关键信息基础设置领域,如委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

关于政务数据开放合规,国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。地方人民政府在智慧城市的发展中,也应当建立城市大数据中心,并依托城市大数据中心建设全市公共数据资源共享平台和开放平台,实现对全市公共数据资源统一、集约、安全、高效管理和利用。同时应对政务数据资源实行目录管理制度,制定共享负面清单,按照开放条件分为无条件开放、有条件开放和不予开放三类进行管理。在政府部门相互之间的开放共享中,也要加强有关数据保护的工作。

另外,目前智慧城市和政务数据建设中,有很多政企数据融合互通的模式。要求政府部门在政务数据向企业开放时,要明确数据权属、制定和落实管控制度,对于企业利用政务数据商业化运作的模式要设置合法合规性审查,还要严格对企业再次转让共享政务数据进行监管,避免政务数据开放中的违法违规。同时,还应研究政务数据开放中,是否突破免授权范围的问题。

《数据安全法》的出台,对于我国数据处理活动具有重要意义,法律规定的数据安全制度和内容为具体实践工作指明了方向。

《数据安全法》将和《网络安全法》以及正在制定中的《个人信息保护法》,共同形成我国网络安全与数据保护顶层监管法律体系。我们也期待在《数据安全法》的基础上,国家根据实践需要制定一系列更具有实操性的法律文件,促进我国数字化发展。

(本文作者系北京市京师(深圳)律师事务所律师)


展开全文
相关阅读
资讯查询取消