随着数字经济在全球范围内蓬勃发展,世界各国对于数据主权和安全保护的需求日益增长,数据安全的有效监管成为一项重要的议题。近几年来,许多国家及地区陆续出台了数据保护和安全领域的相关规则条例,如欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA)、新加坡《个人信息保密条款》(PDPA)和日本《个人信息保护法》(PIPA)等。在数据安全保护的国际背景和时代浪潮下,6月10日,《数据安全法》经十三届全国人大常委会第二十九次会议表决通过,将于2021年9月1日起施行。国家网信办称,这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律。
国内某知名律所律师分享了《数据安全法》的学习感受,涉及跨境数据安全管理方面,《数据安全法》再度明确了我国对境内数据的管辖权,充分体现了我国维护数据主权和国家安全的决心。《数据安全法》还特别明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。
关于《数据安全法》的内容,相关企业应密切关注这一立法进展,借助数据安全领域的时代好风,强化数据领域的合规应对,确保业务的长远稳定发展。总结下来,大概可以从几点说明。
《数据安全法》正式稿相比二审稿新增了由中央国家安全领导机构“统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制”的表述,明确由中央国家安全领导机构负责数据安全工作的决策和协调、国家网信部门统筹网络数据安全监管工作,由工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域的数据安全监管职责,由公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。[1]
目前,我国数据领域监管工作由中央网络安全和信息化委员会与国家互联网信息办公室进行全面的统筹协调,中央和地方市场监管部门、工信部门和公安部门,以及相应的行业主管部门分管不同领域的数据安全。例如,市场监管部门从市场综合监督管理视角进行执法,对个人信息保护和网络产品与服务等领域进行监管;工信部门从工业和通信业行业管理视角进行执法,对于信息的应急响应制度、个人信息保护、网络产品与服务等领域进行监管;公安部门从公共安全的视角,对个人信息保护、网络产品与服务、网络安全等级保护等领域进行监管;各行业主管部门则从行业视角,对数据全领域进行监管,包括数据跨境、关键信息基础设施、密码产品等。总体而言,《数据安全法》的数据安全监管思路基本延续了我国此前数据监管和执法实践中的工作思路。
亮点二:建立“数据分类分级保护制度”,明确“国家核心数据”管理制度
《数据安全法》第二十一条规定,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”。不同于此前《网络安全法》规定由网络运营者按照网络安全等级保护制度要求自行采取数据分类的措施[2],《数据安全法》明确了由国家建立数据分类分级制度、由主管部门制定重要数据目录并加强保护,从而与《网络安全法》建立的网络安全等级保护制度一样,成为网络安全保护领域的重要制度。
此外,《数据安全法》第二十一条相较二审稿还新增了“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”的条款,这一修改凸显了《数据安全法》以维护国家安全和网络空间主权为根本的基调。“国家核心数据”的内涵与外延还有待数据安全监管实践的进一步探索,结合此前对《关键信息基础设施安全保护条例(征求意见稿)》中对“关键信息基础设施”的定义[3],可知“国家安全、国计民生、公共利益”同样会是判定“国家核心数据”的重要因素。
亮点三:网络安全等级保护制度与数据安全保护制度的衔接
《数据安全法》第二十七条相较二审稿新增了“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”的规定。这一条款要求数据处理者“在网络安全等级保护制度的基础上”开展数据安全保护工作,一方面强化了网络安全等保制度在数据安全保护要求中的基础作用,另一方面也体现了数据安全保护制度与《网络安全法》的衔接。
网络安全等级保护制度的要求见于《网络安全法》第二十一条,明确规定国家实行网络安全等级保护制度,并对网络运营者提出了履行安全保护义务的具体要求,包括“采取数据分类、重要数据备份和加密等措施”以“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。此外,《网络安全法》第五十九条[4]明确了违反网络安全等级保护制度要求的法律责任,包括责令改正、警告、罚款等。此次《数据安全法》的规定再次体现了等保制度是网络安全领域的基础性制度之一,并与数据安全保护制度相互衔接。因此,相关企业应按照《网络安全法》及“等保2.0”系列标准[5]要求,积极落实网络安全等级保护制度,尽快进行等级保护测评、整改和备案工作。
《数据安全法》第三十一条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
一方面,这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理应适用《网络安全法》第三十七条提出的“一般情形+例外规定”,即关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。另一方面,对于其他数据处理者在境内运营中收集和产生的重要数据,目前可参考的相关规定是国家网信办于2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景[6]。由于该办法并未正式出台和生效,且征求意见稿的发布时间也较为久远,对于关键信息基础设施的运营者以外的其他数据处理者,数据出境安全管理的相关规则仍不明确,需等待正式的管理办法出台;但在此之前,企业同样需要密切关注重要数据出境的合规义务。
亮点五:严格规制面向境外司法或者执法机构的数据出境活动
《数据安全法》第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
这一条款制定的背景是近年来数据管辖权冲突日益激烈的国际环境。2018年3月,在微软爱尔兰数据案[7]后,美国国会通过《澄清海外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act(CLOUD),简称“云法案”),其中第103(a)(1)条规定“电子通信服务提供商和远程计算服务提供商应当依据本章规定,保存、备份或披露其拥有、监管或控制的用户通讯数据、记录及其他信息,无论该等通讯数据、记录及其他信息储存于美国境内或境外”[8],从而为数据领域的“长臂管辖”规则提供了基础。该规则与欧盟《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)的相关规定存在冲突。随后,欧盟于2019年7月发布了《美国云法案对于欧盟个人信息保护法律框架以及欧盟-美国关于跨境电子取证协议谈判影响的初步法律评估》,明确指出,根据GDPR规定,云法案不能成为向美国传输欧盟境内的个人数据的合法基础。
在这一背景下,《数据安全法》的规定再度明确了我国对境内数据的管辖权,充分体现了我国维护数据主权和国家安全的决心。值得一提的是,《数据安全法》还特别明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。[9]这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也使得企业在对抗境外执法或司法机构可能的数据调取要求时,拥有了可援引的有力的法律规则。
《数据安全法》设立专章“政务数据安全与开放”,首次对政务数据的安全监管思路做出了总体规定。其中,第三十七条对政务数据质量提出科学性、准确性和时效性要求;第三十八条对政务数据的采集和使用作出合规性规定;第三十九条对建立政务数据安全管理制度作出强调;第四十条提出对政务数据加工、存储等外包服务要制定严格的审批流程;第四十一条和第四十二条提出政务数据开放的规范性要求。
但是,《数据安全法》对于“政务数据”的内涵与外延并未做出明确的规定,只是在相关条文表述上将“国家机关”作为义务主体,并且在第四十三条中规定了“法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。”依据北京、上海、浙江等地公共数据管理相关政策的规定,公共数据通常是指是指各级行政机关以及具有公共管理和服务职能的事业单位在依法履行公共管理和服务职责过程中,产生、处理的各类数据。[10]实践中,各类与政府进行合作开展数据平台建设并对相关数据进行商业化开发的企业,在经营过程中很可能涉及政务数据或公共数据的处理活动,应当特别关注《数据安全法》明确提出的对于政务数据的合规要求。
《数据安全法》第五十一条规定,“窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。”这一规定将数据处理活动与《反不正当竞争法》、《反垄断法》等法律法规的规定相结合,体现了我国对数据安全的综合监管思路。
例如,《反垄断法》明确禁止经营者在其经营活动中排除、限制市场竞争。国务院反垄断委员会此前发布的《关于平台经济领域的反垄断指南》(“《指南》”)中,明确提及了经营者利用数据或算法排除、限制竞争的多种行为模式。例如:
●经营者通过数据、算法、平台规则或者其他方式实质上达成协调一致的行为(即垄断协议);
●经营者通过平台规则、数据、算法、技术等方面的实际设置限制或者障碍的方式限定交易(即滥用市场支配地位限定交易);
●基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件(即滥用市场支配地位实施差别待遇);
●此外,平台经营者掌握的数据情况对于认定经营者市场支配地位具有重要意义,《指南》明确提及,判断相关平台是否构成其他经营者进入相关市场的“必需设施”时,需要综合考虑该平台占有数据的情况和其他情况。
从这一条款的规定也可看出,企业要从《数据安全法》、《反垄断法》、《反不正当竞争法》以及《刑法》等多维度对数据合规工作进行部署,尤其是要确保与数据资产相关的商业模式合规性。
随着《数据安全法》的落地与生效,我国数据安全监管领域的法律制度更为完善。《数据安全法》在短期内可能为企业增加一部分数据合规成本,但长远而言,对于企业加强数据合规管理,在国际竞争中增强自身竞争力将具有积极影响。在崭新的数据监管时代,乘时代之风,企业应密切关注最新立法进展和配套规定,不断探索合规管理与业务发展相平衡的最佳实践。
1.《数据安全法》第五条:“中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。”第六条:“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”
2. 《网络安全法》第二十一条:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)……(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。”
3. 《关键信息基础设施安全保护条例(征求意见稿)》(2017)第十八条规定:“下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。”
4.《网络安全法》第五十九条:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”
5.参见《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》。
6. 《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条:“出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。”
7. 2013年12月,美国缉毒局(DEA)在调查一起案件时发现若干电子邮件可能是案件证据,向地区法院申请搜查令,要求微软公司向执法部门提交某邮箱用户的全部电子邮件及其他信息。但微软发现该等数据只存储在爱尔兰都柏林的数据中心。微软坚持“数据存储地标准”,认为数据存储在爱尔兰,搜查令只适用于美国境内,不能覆盖爱尔兰;而政府和地区法院坚持“数据控制者标准”,认为微软有能力在美国境内操作并向政府披露数据,搜查令适用于美国境外,微软应配合美国政府获得该数据。此案先后上诉至美国联邦第二巡回上诉法院和联邦最高法院,引发广泛关注。
8. “A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.” (18 U.S. Code § 2713.Required preservation and disclosure of communications and records).
9. 《数据安全法》第四十八条:“违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。”
10. 《浙江省公共数据和电子政务管理办法》第二条规定,“本办法所称公共数据是指各级行政机关以及具有公共管理和服务职能的事业单位(以下统称公共管理和服务机构),在依法履行职责过程中获得的各类数据资源。”《深圳经济特区数据条例》(征求意见稿二审稿)第三十一条规定,“本条例所称公共数据,是指公共管理和服务机构在依法履行公共管理和服务职责过程中,产生、处理的各类数据。