作者:金茂律师事务所 万波 律师
一、序言
2021年6月10日,第十三届全国人大常委会第二十九次会议正式审议通过了对《中华人民共和国数据安全法》(以下简称“正式稿”)。
该法历经了2020年6月28日第十三届全国人大常委会第二十次会议审议的《中华人民共和国数据安全法(草案)》(以下简称“一审稿”)和2021年4月29日第十三届全国人大常委会第二十八次会议审议的《数据安全法(草案)》(以下称“二审稿”),终于正式落地并将于2021年9月1日起施行。
正式稿与二审稿相比,我们认为其重点修订有两处:一是增加了二审稿中所没有的“国家核心数据”概念;二是回应业界呼声、优化了向境外司法和执法机构提供数据的规则。此外,正式稿确立的一系列配套制度,部分任务需要企业数据处理者主动建立完善,下文将通过比对一审稿与二审稿,结合近期数据安全监管的动态,对于重点修改内容进行解读分析,以更好地为企业提供合规思路指引。
二、正式稿重点修订解读
1、重点修订一:调整“数据分类分级保护制度”,确立国家核心数据、重要数据、其他数据的界定责任
一审稿即提出了国家应对数据实行分类分级保护,二审稿第二十条在此基础上进一步明确提出了“数据分类分级保护制度”的建立及重要数据目录的确定。对数据进行分类分级的主要标准为“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度”。同时,二审稿第二十条要求各地区、各部门制定相应地区、部门及相关行业的重要数据目录,明确了重要数据的界定责任主要由各地区、各行业主管部门承担,这改变了一审稿的立法模式,将确定重要数据目录下放到各地区、各行业主管部门,在带来重要数据分级分类部门化、地区化的弊端的同时,无疑也增强了现阶段重要数据分级分类的专业性与可落地性。
正式稿继续沿用了二审稿的立法思路,仍将确定重要数据目录下放到各地区、各行业主管部门。但考虑到分地区、分行业管理的不利,正式稿一方面强调了“重要数据目录”和“重要数据具体目录”的差别,强调国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,而各地区、各部门时在“重要数据目录”的基础上确立具体目录。
此外,正式稿单列了“国家核心数据”这一类别,主要针对“关系国家安全、国民经济命脉、重要民生、重大公共利益”等数据,要求实行更加严格的管理制度,同时在第四十五条第二款增列了违法国家核心数据管理制度的罚则,罚款处二百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,依法追究刑事责任。由此,为“国家核心数据”国家统一立法保护预留了制度空间,可谓用心良苦。
相信随着本法的通过,后续国家核心数据目录、重要数据目录、重要数据具体目录将陆续出台,从而增强数据分级分类的落地性与实践性。相信在后续配套的法律法规、国家标准及地方、部门立法出台后,数据分类分级保护制度将与网络安全等级保护制度等类似,成为数据保护工作纲领性的要求与指引。
2、重点修订二:优化向境外司法和执法机构提供数据规则,宽严适度
一审稿第三十五条规定非经主管机关批准,不得向境外的司法或者执法机构提供存储于境内的数据。二审稿对一审稿的一大修改是在一审稿的基础上,增加了未经主管机关批准向境外的司法或者执法机构提供数据的处罚。二审稿第四十六条规定,如违法违规提供数据,则“由有关主管部门责令改正,给予警告,可以并处十万元(人民币,下同)以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款”。
此次正式稿通过之际,进一步提高了二审稿的罚则,规定若违法向境外提供重要数据且情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处十万元以上一百万元以下罚款。
这一法律责任的增设体现了“没有制裁就没有义务”的法律原则,也与国际环境的发展息息相关。2018年3月,美国通过了The Clarifying Lawful Overseas Use of Data Act(即云法案),使得执法部门可依据搜查令直接调取境外数据。欧盟则于2019年7月发布了《美国云法案对于欧盟个人信息保护法律框架以及欧盟-美国关于跨境电子取证协议谈判影响的初步法律评估》(Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence)指出,“云法案”并不能成为欧盟内组织向美国传输个人数据的合法性基础。正式稿进一步强调中国对严格限制数据出口的态度,配以更严罚则,防范中国数据不当被境外司法或执法机构获取的风险。
同时,一审稿、二审稿征求意见过程中,不少业界企业指出原规定要求企业直接面对境外的司法或执法机构,无疑将使得企业陷入“前后夹击”、“进退维谷”的尴尬局面,正式稿显然听取了业界的广泛呼吁,直接规定由中华人民共和国主管机构作为处理外国司法或执法机构关于提供数据请求的主体,可谓正式稿的一大亮点。
三、后续配套制度框架
随着正式稿的颁布,相信一系列后续配套法律、法规、标准和各地区、各部门法规的制定和颁布将予提速,建议数据处理企业密切关注相关立法动态、配套法规、标准,同时提前布局,以在前期便确保合规发展要求。
从国家和地方主管部门角度而言,后续需制定完善的配套制度主要有:
1、数据分类分级保护制度。
该制度前文已有论述,不再赘述。
2、数据安全风险评估、报告、信息共享、监测预警机制。
该配套制度来源于《数据安全法》第二十二条的规定。该机制与《数据安全法》第二十四条所述的数据安全审查和《数据安全法》第三十条所述的重要数据定期风险评估和报告制度有所不同,更侧重于主管部门之间的数据协同管理。
3、数据安全应急处置机制。
该配套制度来源于《数据安全法》第二十三条的规定。
4、数据安全审查制度。
该配套制度来源于《数据安全法》第二十四条的规定。
《网络安全法》已规定了CIIO的网络安全审查义务,《网络产品和服务安全审查办法(试行)》还一度将该义务扩展到所有网络运营者。但随着《网络安全审查办法》的颁布以及《网络产品和服务安全审查办法(试行)》的废止,该义务的主体明确限于CIIO,该法的“网络产品和服务”主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等对关键信息基础设施安全有重要影响的网络产品和服务。CIIO应当预判采购的前述产品和服务投入使用后可能带来的国家安全风险,如影响或者可能影响国家安全的,应当向设在国家互联网信息办公室的“网络安全审查办公室”申报网络安全审查。
数据处理企业应该高度关注正式稿中的数据安全审查配套制度落地过程中,与《网络安全法》规定的网络安全审查制度之间关系与异同。
5、管制物项的数据出口管制制度。
该配套制度来源于《数据安全法》第二十五条的规定,并应与《出口管制法》的有关规定相互协调。
从企业角度而言,后续需制定完善的配套制度主要有:
1、网络安全等级保护制度。
该配套制度来源于《数据安全法》第二十七条的规定,并应遵守《网络安全法》和公安机关的《信息安全等级保护管理办法》、《信息安全等级保护备案实施细则》等有关规定。
2、数据安全监测、处置和报告制度。
该配套制度来源于《数据安全法》第二十九条的规定。
3、重要数据风险评估及报告制度。
该配套制度来源于《数据安全法》第三十条的规定。
4、重要数据出境安全审查制度。
该配套制度来源于《数据安全法》第三十一条的规定。
正式稿第三十一条延续了二审稿有关除关键信息基础设施运营者外的其他数据处理者将所收集的重要数据出境的规定,要求适用国家网信部门会同国务院有关部门制定的管理办法。根据该条规定,个人信息与重要数据出境将采用“二轨制”评估的方式,但此前,重要数据的定义及出境安全审查制度并无明确规定,实践中也鲜有行业主管部门有审批的流程和经验,目前可参考的是已经肯定不会出台的《个人信息和重要数据出境安全评估办法(征求意见稿)》。其中,第九条规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估得情境,包括:
(1) 含有或累计含有50万人以上的个人信息;
(2) 数据量超过1000GB;
(3) 包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(4) 包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(5) 关键信息基础设施运营者向境外提供重要数据;
(6) 其他行业主管或监管部门认为可能影响国家安全和社会利益的。
除了上述权且参考的标准外,一些重要数据的出境还需要重点关注行业监管的要求。比如,《国家健康医疗大数据标准、安全和服务管理办法(试行)》和《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》的相关特殊规定。
5、数据交易中介的数据来源审核、记录制度。
该配套制度来源于《数据安全法》第三十三条的规定。依据此条规定,数据交易中介应当建立数据来源审核制度,要求数据提供房说明数据来源,并准确留存审核、交易记录。
6、受托方的数据保存、使用和删除制度。
该配套制度来源于《数据安全法》第四十条的规定,针对于接受国家机关委托建设、维护电子政务系统,存储、加工政务数据的主体,要求该等受托人依照法律、法规和合同约定履行义务,不得擅自保存、使用、泄露和提供政务数据,依法或依约履行删除义务。
7、防止数据处理活动不正当竞争制度。
该配套制度来源于《数据安全法》第五十一条的规定。当下,随着《国务院反垄断委员会关于平台经济领域的反垄断指南》的出台以及罚款金额的震慑性,平台反垄断也成为企业的热点话题,该条明确了数据处理活动也不应排除、限制竞争,因此,数据处理企业应当建立健全防止不正当竞争的相关合规制度。