经过三次审议,2021年6月10日,十三届全国人大常委会第二十九次会议通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”),并将于2021年9月1日起施行。
结合长期对数据安全领域立法的研究及在数据合规领域的丰富实务经验,对于新法共七章合计五十五条的内容,德恒律师从以下10点来深入剖析《数据安全法》。
1. 数字经济时代的法治基石
从两个问题出发,即“数据是什么”和“数据的价值”,也许我们可以更好的理解,为什么说《数据安全法》是数字经济时代的法治基石。
1.1数据是什么?
《数据安全法》第三条给出定义,“数据,是指任何以电子或者其他方式对信息的记录”。立法对“数据”界定同时,一定程度上可以解决长期困扰大家的,关于“数据”和“信息”二者之间经常出现混同的问题。
在以“任何以电子或者其他方式”最大化概况数据方式及范围的同时,对数据的定义清晰地给出了“数据是……对信息的记录”的规定。这解决了《网络安全法》中对“网络数据”定义中存在的些许不足,即“数据是数据”式定义乏力的情况。(《网络安全法》第七十六条(四),“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据”。)
1.2 数据的价值
在经历了农业经济、工业经济,已经进入到数字经济时代的今天,数据是数字经济发展的新生产要素,甚至被公认为是最核心生产要素。在互联网技术突破的背景下,在5G时代来临之际,数据实现了可以构成生产资料的程度,甚至被认为已经超过石油的价值。
结合第七条所明确的“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。在数字经济成为经济发展新动能的情况下,数据的竞争已成为国际竞争的重要领域,数据是国家基础性战略资源,数据的重要性不言而喻。作为数据领域的基础性法律,《数据安全法》构成了数字经济时代的法治基石。
2. 数据安全,结合网络安全和个人信息保护,三者立体的构建彰显了数字经济核心法律体系中的重点
正如《数据安全法》第一条内容所述,“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法”。
在数据安全关乎国家安全、个人及组织的合法权益和社会经济健康发展的前提下,《数据安全法》的出台,其将与2017年6月1日起施行的《网络安全法》,以及已提交二审并预计即将出台的《个人信息保护法》一起,三者可从数据安全、网络安全及个人信息保护的不同立法侧重、保护重点、实践监管和经济发展需求,共同立体而全面地构建了我国在数字经济法律领域内的核心体系和三大支柱。
对比欧盟颁布的《通用数据保护条例》(“GDPR”)和美国加州颁布的《消费者隐私法案》(“CCPA”),前者是对自然人的“个人数据”的保护,后者是对消费者“个人信息”的保护。两部法规围绕着个人数据和个人信息保护,涵盖了很多对数据处理的要求、跨境传输条件及限制、管辖原则和监管逻辑。当然,我国即将出台的《个人信息保护法》是可一定程度上对标GDPR和CCPA的。如今,我国正式立法和率先出台了《数据安全法》,在全世界范围内,较之“个人数据”而言,对于比其更基础、更宽泛的“数据”(“data”)进行专题性和系统性的立法和规范,是具有突破性和具备一定领先地位的。
3. 对数据安全制度的设计和建立
《数据安全法》通过第三章“数据安全制度”,整体设计和建立了以“数据分类分级保护制度”为基础的数据安全制度。
对数据实行先分类、再分级的次序,“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。
同时,明确提出“重要数据”和“国家核心数据”。重要数据的安全和保护力度和责任,要大于对一般数据保护。“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”。“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。
制定重要数据目录,对进入目录的数据加强保护。从国家层面,以国家数据安全工作协调机制统筹协调方式,到各(监管)部门、各地区以及相关行业、领域,来制定和确定重要数据具体目录。比如,2021年5月12日,国家互联网信息办公室公布的关于《汽车数据安全管理若干规定(征求意见稿)》中,明确的规定了关于汽车数据安全领域的“重要数据”,旨在加强汽车行业和领域内的个人信息和重要数据保护,维护国家安全和公共利益。
同时,“建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”,“加强数据安全风险信息的获取、分析、研判、预警工作”。“建立数据安全应急处置机制”,有效处置和应对数据安全事件。
4. 数据可合法交易
《数据安全法》第十九条明确规定,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”。第十三条,“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。
作为本次立法的亮点之一,《数据安全法》充分考虑了数字经济时代的特点,并非一味地仅仅强调监管或制约。在保护数据安全乃至国家安全等前提下,明确提出了“保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”,“规范数据交易行为,培育数据交易市场”及“保障数据开发利用和产业发展”。
“国家实施大数据战略……省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划”。随着国家层面数据交易制度的建立和健全,数据的合法交易将会有力推动和促进数字经济乃至社会经济的发展。
立法要求“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。在规范前提下,一定程度肯定和认可了数据交易中介服务机构的存在合法性。同时,考虑到为了避免中介服务机构泛滥或能力水平不足等问题,“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”。
5. 数据(安全)如何保护
开展数据处理活动的主体,须承担数据安全的保护责任和义务,要落实开展数据活动的组织、个人的主体责任。
《数据安全法》第三条内规定,“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”。鉴于数据处理定义中几乎包含了数据的全生命周期阶段,当然,也有数据行业内的观点认为数据的全生命周期中还可包括“数据销毁”。如果一个企业作为数据处理者开展数据活动,新法明确了其必须具备保证数据安全的程度,即“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。
从一般数据到重要数据,从基本合规到可能涉及的“伦理审查”,从内控制度到重要数据风险评估,加强风险监测和及时处置数据安全事件,从数据的本地存储到“数据(合法)出境”……关于企业作为数据处理者,必需采取的具体措施和须承担的合规责任及义务,我们将在《数字经济时代的法治基石(下)——《数据安全法》对企业数据合规的要求》中进行详细阐述。
6. 数据主权的维护
数据主权,一般是指网络空间中的国家主权,体现了国家作为控制数据权的主体地位。是一个国家对本国数据进行管理和利用的独立自主性,不受他国干涉和侵扰的自由权,包括所有权与管辖权两个方面[1]。
《数据安全法》第二条内规定了域外效力,“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”,结合第二十四条“国家建立数据安全审查制度”,第二十五条“属于管制物项的数据依法实施出口管制”,第二十六条“对中国采取歧视性的禁止、限制或者其他类似措施的,可以根据实际情况对该国家或者地区对等采取措施”,第三十六条“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。
我们理解,除了强调在境内对数据安全保护,从而维护国家主权、安全和发展利益之外,针对其他国家或地区已经制定了维护其数据主权和长臂管辖原则的相关法律法规,我国《数据安全法》建立了可有效地维护我国数据主权的相应原则及对等机制。
7.对数据安全进行顶层监管的意义及监管体系
7.1 国家数据安全顶层监管的意义
对涉及国家数据安全工作的,《数据安全法》第五条内规定,由“中央国家安全领导机构负责”。新法在贯彻落实总体国家安全观同时,着重强调了制定数据安全法是维护国家安全的必然要求,没有数据安全就没有国家安全。
透过中央国家安全领导机构负责的明文规定,一方面《数据安全法》在强调数据安全的重要性及其与国家安全的紧密关联程度;另外一方面说明,在立法过程中,立法机关已经充分的考虑到了数字经济时代发展可能会面临的多样性、多元性及复杂程度,由监管层级更高的机构来领衔,可以更好的制定和实施国家数据安全战略和有关重大方针政策。
从世界经济发展进入数字经济的新时代、新周期的角度,这次顶级监管层级和机构的设定,也为在未来我国同不同国家和地区基于各自的数据及信息立法基础上,双边或多边进行数据权属、数据流转、数据共享及数据安全协商及谈判层级定了一个可上升到足够高级别的基调。
7.2 国家数据安全之下的数据安全监管体系构成
在国家数据安全之下的数据安全工作,《数据安全法》明确了国家网信部门“负责统筹协调网络数据安全和相关监管工作”。公安机关、国家安全机关“在各自职责范围内承担数据安全监管职责”。
“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责”。
“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。
“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”。
8.政务数据安全是构建数字政府的生命线
为保障政务数据安全,并推动政务数据开放利用,推进电子政务建设。打造数字政府,提升国家治理能力现代化。《数据安全法》明确规定,数字政府系统作为超级数据平台,需要担负双重责任——首先需要政府机关为履行法定职责需要收集、使用数据时,应当在其履行法定职责的范围内依法行政,不能无限制的收集数据和个人信息;其次,政府机关必须“落实数据安全保护责任,保障政务数据安全”。
同时,“国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据”。“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用”。
9.罚则较重
为了体现数据安全的重要性和监管力度,《数据安全法》中通过第六章“法律责任”明确规定了相应罚则。
简要归纳关于企业需注意的重点:
——违反一般数据安全保护义务和违反对重要数据保护义务的,对责任主体进行罚款处罚。对于企业作为责任主体的,同时对直接负责的主管人员和其他责任人进行罚款处罚。
——“拒不改正或者造成大量数据泄露等严重后果的”,对责任主体及负责人罚款基础上,可“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。
——“违反国家核心数据管理制度,危害国家主权、安全和发展利益的”,最高可处以一千万元罚款,“并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。
——违法“向境外提供重要数据的”,对责任主体、直接责任主管人员和其他直接责任人可处以罚款;“情节严重的”,可处以最高至一千万元的罚款,“并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。
——拒不配合公安机关和国安机关依法经批准的数据调取的,对责任主体及直接负责的主管人员和其他直接责任人员可处以罚款。
——“未经主管机关批准向外国司法或者执法机构提供数据的”,对责任主体及直接负责的主管人员和其他直接责任人员可处以罚款。“造成严重后果的”,最高可处以五百万元罚款,“并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。
——“窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚”。
由此可见,虽然罚款上限不及GDPR的罚款最高额度,但综合来看《数据安全法》对相关义务主体的处罚还是比较重的,特别是“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的处罚措施。通过对企业、组织的直接负责的主管人员和其他责任人进行附加式的处罚,是在强调企业和组织必须建立健全全流程数据安全管理制度,达到维护及保障数据安全的状态和能力。
10.其他亮点
本次《数据安全法》的正式颁布,其中还有几处亮点值得关注。
——“任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益”。
——“提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍”。
——“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”。
综合以上解读和剖析,根据《数据安全法》全文五十五条的篇幅和内容,我们认为,本法还是数据安全领域的一部基本法。伴随《数据安全法》的正式颁布和施行,未来会有更多的配套法规制定及出台,势必将会掀起对数据安全保护的新一轮浪潮。
以《数据安全法》为核心,我们会持续关注和分析数据安全领域的法规和案例,欢迎大家继续关注后续我们将推送的《数字经济时代的法治基石(下)——《数据安全法》对企业数据合规的要求》。
参考文献:
[1]https://wiki.mbalib.com/wiki/%E6%95%B0%E6%8D%AE%E4%B8%BB%E6%9D%83
本文作者:
黄金鹏律师是德恒上海办公室金融部合伙人;主要执业领域为金融资本、商业银行、投融资并购、私募基金、金融科技、网络安全与数据合规。在金融科技、网络安全及数据合规领域,黄律师曾为多家国内外知名企业提供了金融企业合规、网络安全合规指引、数据分类分级保护评估、数据合规体系建设、数据安全管理制度、(大)数据交易、数据跨境传输合法性论证指引、个人信息及隐私保护、跨境投融资及并购中的数据合规审查、尽职调查等优质法律服务。
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。