2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議審議通過了《中華人民共和國數據安全法》(簡稱“《數據安全法》”),該法將于2021年9月1日起施行。
許多學者及律師將《數據安全法》稱為數據領域的基礎性法律,究其原因,該法不僅起到了規制數據處理活動、保障數據安全的作用,同時也構建了數據安全與數據處理的整體框架,為理論體系與實踐經營提供了聯系的通道。
《數據安全法》分為七章,共有五十五條,各章分別為“總則”、“數據安全與發展”、“數據安全制度”、“數據安全保護義務”、“政務數據安全與開放”、“法律責任”、“附則”,分別確立了數據分類分級保護制度、數據安全審查體系及數據出境管理制度的立法框架,為未來進一步落實數據安全合規體系提供了有力的支撐。
(一)數據分級分類保護
根據《數據安全法》第二十一條前文規定,“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。”
此處的數據分級分類保護制度類似于網絡安全等級保護制度,針對不同領域不同重要程度的數據進行分類管理,能夠在數據安全和數據流通之間找到一個風險控制與合規經營的平衡點,是數據安全領域的重大突破,未來數據分級分類保護制度在具體落地的過程中產生的效果需要我們進一步的關注。
(二)重要數據的定義
根據《數據安全法》第二十一條后文規定,“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。”對于重要數據,《數據安全法》和《網絡安全法》都沒有進一步明確其定義。
《個人信息和重要數據出境安全評估辦法(征求意見稿)》的第九條規定對重要數據進行了界定,“重要數據,是指與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體范圍參照國家有關標準和重要數據識別指南”。《數據安全管理辦法(征求意見稿)》的第三十九條規定給出了更為詳細的定義,“重要數據,是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據,如未公開的政府信息,大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。”以上兩個征求意見稿中的定義可以作為實踐中界定重要數據的重要參考。隨著立法工作的進一步推進,重要數據的定義也將愈發明晰。
(三)重要數據保護
在數據分級分類保護的基礎上,除一般保護外,《數據安全法》同時強化了對重要數據的保護要求。首先,第二十七條第一款規定了數據處理者開展數據處理活動應當依照法律法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全;其次,第二十七條第二款明確了數據安全負責人和管理機構的義務,要求重要數據處理者落實數據安全保護責任;最后,第三十條對重要數據處理者開展風險評估提出了要求,重要數據處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括其所處理的重要數據的種類和數量、開展數據處理活動的情況、面臨的數據安全風險及其應對措施等。
除了上述對于重要數據的保護要求,《數據安全法》還深化了對國家核心數據的保護,將關系國家安全、國民經濟命脈、重要民生、重大公共利益等的數據列入國家核心數據,并要求對國家核心數據制定并實行更加嚴格的管理制度。
《數據安全法》第十七條規定,由國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。第十八條還規定了支持數據安全檢測評估、認證等專業機構依法開展服務活動。同時,第二十四條確立了國家建立數據安全審查制度,要求對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
上述一系列相關條款均體現了《數據安全法》在數據安全標準體系及數據安全審查制度建設的努力。首先,在數據安全標準體系方面,由國務院標準化行政主管部門和國務院有關部門負責,企業、社會團體和教育、科研機構等機構參與,最終制定具體的數據安全標準體系;其次,隨著《數據安全法》的實施,《數據安全法》對于審查的程序性規定將進一步明確,《網絡安全法》及《網絡安全審查辦法》構建的網絡安全審查制度對于數據安全審查體系的建立具有很高的參考價值。隨著數據安全相關標準的落地,未來數據安全審查體系的完整性將逐步提升,國家對企業數據活動的干預方向和干預程度,也將隨著相關法規和標準的制定和實施逐步顯現。
(一)重要數據出境
《數據安全法》第三十一條的規定主要確立了重要數據的出境要求,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
該條規定直接指向了《網絡安全法》的第三十七條規定,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲,如因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。盡管《網絡安全法》指出了重要數據出境安全管理的大致方向,但是不論是《數據安全法》還是《網絡安全法》,均未明確重要數據出境安全評估的實操辦法,國家網信部門也并未實際開展數據出境安全評估業務,因此該規定如何走向落地尚待明確。
相較于《數據安全法》與《網絡安全法》的規定,目前尚未出臺的法律法規和規范性文件已對重要數據在其他情況下的安全評估和出境審批作出了相應的指引。在《個人信息和重要數據出境安全評估辦法(征求意見稿)》第九條就規定了六條需要安全評估的情況:“(一)含有或累計含有50萬人以上的個人信息;(二)數據量超過1000GB;(三)包含核設施、化學生物、國防軍工、人口健康等領域數據,大型工程活動、海洋環境以及敏感地理信息數據等;(四)包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息;(五)關鍵信息基礎設施運營者向境外提供個人信息和重要數據;(六)其他可能影響國家安全和社會公共利益,行業主管或監管部門認為應該評估。行業主管或監管部門不明確的,由國家網信部門組織評估。” 此外,《信息安全技術 數據出境安全評估指南》附錄B(個人信息和重要數據出境安全風險評估方法)所規定的相關評估標準也能為企業重要數據出境提供數據合規層面的參考。
(二)數據出口管制
數據出境合規中另外一個值得關注的制度是《數據安全法》第二十五條規定的數據出口管制制度。根據《數據安全法》第二十五條規定,國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。該條與《出口管制法》第二條規定中所述的“管制物項,包括物項相關的技術資料等數據”相銜接。若根據《出口管制法》涉及的清單和目錄及上述標準,某項數據可被判定為出口管制物項,則出口管制主管部門有權對該項數據實施出口管制,該項數據的出境應依法取得相應的出口許可。
此外,與出口管制相關的信息中,也存在數據出口管制的對象。《出口管制法》第三十二條第一款規定,“中華人民共和國境內的組織和個人向境外提供出口管制相關信息,應當依法進行;可能危害國家安全和利益的,不得提供”。該條并非限制一般貿易信息的正常跨境流動,而是對企業的信息篩查能力提出了一定的要求。企業在向境外提供數據前,首先應確認相關數據不存在影響我國國家安全、社會公共利益以及國際義務履行的風險。一般而言,向境外母公司、境外交易相對方、境外供應商提供出口管制相關審查結果,在不涉及敏感對象(國家、地區或不可靠實體),且相關信息不存在上述風險的情況下,無需相關監管部門進行評估。
(三)司法執法活動涉及的數據提供
《數據安全法》第三十六條規定:“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”
首先,所有向外國司法或者執法機構提供數據的行為,無論所涉數據是否屬于重要數據,均應經過中華人民共和國主管機關批準。其次,對于外國司法或者執法機構關于提供數據的請求,中國主管機關將以有關法律和中國締結或參加的國際條約、協定為依據,或在尚無法律、國際條約、協定的情況下,以平等互惠原則為基礎進行綜合判斷,最終決定是否同意該請求。
最終出臺的《數據安全法》在國家層面對于數據安全的反制措施有了突破性規定。其中,針對他國數據歧視政策的對等措施作為新制度值得關注。《數據安全法》第二十六規定,“任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施”。
對等原則作為國際法領域的一項基本原則,常常出現在涉外商事與國際貿易中,例如《出口管制法》第四十八條規定,“任何國家或者地區濫用出口管制措施危害中華人民共和國國家安全和利益的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施”。在《外商投資法》第四十條中也能找到類似規定,“任何國家或者地區在投資方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者該地區采取相應的措施”。
同一時間出臺的《中華人民共和國反外國制裁法》第三條第二項規定的“外國國家違反國際法和國際關系基本準則,以各種借口或者依據其本國法律對我國進行遏制、打壓,對我國公民、組織采取歧視性限制措施,干涉我國內政的,我國有權采取相應反制措施”,更是跨越了“對等采取措施”以及“采取相應的措施”的表述,在我國內政受到干涉的情形下,直接賦予國家有關部門“采取相應反制措施”的權利。
本次出臺的《數據安全法》將對等原則運用在數據安全領域,正是考慮到目前各國之間在數據安全領域政治博弈頻發的大背景。對等原則在《數據安全法》中的明確,能夠使中國在未來可能遭遇他國數據開發及利用的歧視性政策時,擁有更好的反制手段,同時也為中國企業開展數據開發及利用活動提供了立法的保障。
* 感謝律師助理費騰對本文的貢獻。
北京
北京市朝陽區東三環中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區金田路榮超經貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯酋迪拜
迪拜伊瑪爾商業園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網安備11010502032603號
聲明:本官網文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯系安理律師或其他具有相關資格的專業人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
