重在数据安全保护,夯实出境管理制度——简评《数据安全法(草案)》二审稿
发布时间:2021-05-06
文 | 李天航 黄春林 汇业律师事务所 合伙人
《数据安全法》作为互联网领域最重要的三部基础法律之一,其立法进程备受关注。2021年4月29日,十三届全国人大常委会第二十八次会议对《数据安全法(草案)》二次审议稿(以下称“草案二审稿”)进行审议并发布公开征求意见稿,草案二审稿对一审稿删除1条,增加3条,修改后共7章53条。与一审稿相比,草案二审稿涉及实质性修改的条款比重不大,重点集中在三个方面:数据安全用语和定义、数据安全保护制度、数据出境。本文将重点针对修改内容,结合网络安全立法、政策与标准制定和汇业实践进行梳理解读,供大家参阅。有关草案二审稿其他部分内容因变化较小可参阅汇业网数团队对一审稿的解读《〈数据安全法(草案)〉解读》。
一、精确界定适用范围和目的,实现对“管”与“被管”的闭环
一是立法目的更加完整。草案二审稿第一条增加了“规范数据处理活动”作为该法的目的依据且排序在首,开篇明义的说明了该法将作为开展数据处理活动的遵循依据。
二是规制对象更加准确。草案二审稿将第二条中的“数据活动”修改为“开展数据处理活动”,并进一步完善了数据处理和数据安全的定义,用语表述更加准确,具体涵盖的内容更加精准,覆盖了数据全生命流程的各个环节,不留死角。
三是明确对数据处理活动的安全监管适用该法,将监管机关的执法和监督管理行为一并予以规范,使数据处理活动中从“管”与“被管”两个角度形成闭环。
二、确立了数据分类分级保护的法律制度
一是确立了数据分级分类保护的制度,并加强对重要数据的重点保护。草案二审稿首次明确了国家建立数据分类分级保护制度,并阐明了重要数据与数据分类分级保护的的关系,即重要数据保护是数据分类分级保护制度的重要内容,将数据分类分级标准与重要数据界定进行了有机融合。该项制度类似于网络安全等级保护(以下简称“等保”)与关键信息基础设施保护(以下简称“关保”)的关系和制度设计。参考等保及关保的立法技术,该制度的落地执行有赖于配套的法规规章和国家标准、行业标准等的完善,以进一步细化操作和执行层面的要求。当前,有关主管部门和行业已经逐步推进或者试点推行此项工作,如工信部门制定了《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号),金融业出台了《证券期货业数据分类分级指引》(JR/T 0158—2018),并公布了《金融数据安全 数据安全分级指南(送审稿)》。
二是明确了重要数据界定的责任和依据。草案二审稿要求各地区、各部门按照分类分级保护制度确定本地区、本部门以及相关行业、领域的重要数据具体目录。《网络安全法》虽然对重要数据出境作出了原则性规定,但此后对重要数据的识别与界定工作一直停滞不前,致使企业在重要数据合规方面的遵循无所适从,主要的原因是没有从法律层面对监管职能部门提出要求。该法生效后,相信各地区、行业主管部门将会陆续制定本地区、本行业、本领域的重要数据具体目录,为企业识别、保护重要数据提供具体操作依据和合规遵循基础。
三、与《网络安全法》做了更好的衔接,完善了数据保护措施的要求和数据出境制度
一是明确了数据保护措施与网络安全等级保护制度的关系。草案二审稿增加规定,明确开展数据处理活动应当“在网络安全等级保护制度的基础上”建立健全全流程安全管理制度,加强数据安全保护。即,网络安全等级保护制度是数据安全管理制度的基础,企业必须落实等保义务,开展等保评测,方能符合对数据保护的合规要求。当前数据与网络高度融合,绝大多数数据通过网络渠道产生、收集、存储和处理,因此,数据赖以存在的网络环境安全成为数据安全的基石。该法生效后,等保相关的配套规定和国家标准也必将在数据安全方面作出对应性完善,等保与数据分类分级保护必然相互呼应。当然,也有部分情况下产生、存储或者处理数据的环节是在非网络环境下进行,如存储纸质文档、刻录光盘、磁带保存等,该等情形下也需要有针对性的完善全流程数据安全管理制度,采取有效安全保护措施,如防潮、防火、防磁等措施。
二是厘清了不同主体关于重要数据出境的关系。草案二审稿增加规定,关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。此举确立了重要数据出境的二元路径,即CIIO的重要数据出境适用本地存储、出境需安全评估的要求,其他情况下的重要数据出境由各相关主管部门根据本行业、本地区、本领域的情况制定适应性规定。但这并不意味着非CIIO的数据出境合规义务会低于CIIO。例如《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》则禁止银行业金融机构向境外提供境内个人金融信息,诸如此类的特殊行业要求的合规义务可能更加严格。因此,《数据安全法》及其配套规定完善后,CIIO在重要数据出境时,需要同时兼顾行业监管要求,既符合《网络安全法》体系下的规定,又要不低于行业主管部门要求,将两个系列的规定中要求更高者作为执行标准。
三是增设了擅自向境外执法机构提供数据的处罚。草案二审稿在一审稿关于“境外司法和执法机构要求调取境内数据的,未经主管机关批准,不得提供”的基础上,增加对应的处罚规定“未经主管机关批准向境外的司法或者执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元(人民币,下同)以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。”该处罚设定依然沿用了《网络安全法》双罚制的原则,此举既能避免数据主体擅自对境外司法、执法机构提供数据情况的发生,也为数据主体向境外司法、执法机构调取数据提供了拒绝的法定理由。尤其是对于跨国公司,迫于境外总部或境外分支机构所在地司法、执法机构的压力,不得不提供相关数据。但该法生效后,即可有正当合法的理由予以拒绝。
四、其他方面修改
一是将一审稿第八条中的“遵守法律、行政法规”修改为“遵守法律、法规”,意味着授予地方性法规对开展数据处理活动的立法权限,具有地方性法规立法权的立法机关可以根据本地区的实际情况进行数据安全立法,今后企业开展数据处理活动还应需要遵循数据处理活动地的规定。
二是赋予行业组织进行行业自律的职责和权限,符合当前行政审批改革和监管模式优化的规律。
三是第十四条第二款中将一审稿的省级政府数字经济发展规划职责和义务修改为县级人民政府,提高了我国数字经济发展规划的颗粒度和精细度,必将进一步提高我国数字经济发展的进度和速度,有利于企业数字化转型。
四是进一步加大了处罚力度。(1)将违法开展数据处理活动的处罚幅度,对违法企业及其直接责任人员几乎均提高至一审稿规定的5倍;(2)增设了对拒不配合公安机关和国家安全机关依法调取数据行为的处罚,对单位处五万元以上五十万元以下罚款,对相关责任人员处一万元以上十万元以下罚款。在企业违法成本大幅提高的趋势下,数据合规将是企业必须做好的功课。
五是呼应社会热点,二审稿第四十九条增加“排除、限制竞争”表述,以凸显数据领域的垄断与不正当竞争执法的重要性。头部互联网、数据密集型企业应当重视在数据领域的垄断合规与竞争合规。
从《数据安全法(草案)》两次审议稿的变化看,法律草案的主体框架和内容已经趋于稳定,下一次审议修改变动的内容将更少。从我国立法三审三读的立法管理看,下次全国人大常委会审议时极有可能正式通过,即2021年第四季度(至迟于年底)《数据安全法》将有可能正式公布,并预留不超过6个月的准备施行期间。然而《数据安全法》更多的是从制度性、原则性层面作出规定,其各项规定的落地执行还需要各相关部门配套法规、规范以及国家标准、行业标准的出台。但已经明确界规定的要求必须积极准备应对执行,如对数据处理活动的风险监测,数据交易机构对数据源合法性审查,相关增值电信业务许可取得,未经批准不得擅自向境外司法、执法机关提供数据,企业应当开展等保评测,应当积极配合公安、安全机关调取数据等。
