《数据安全法》颁布,企业如何避免数据合规风险?

INTRODUCTION

导言

数据安全法

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(“《数据安全法》”)。

《数据安全法》于2021年9月1日实施,共七章(总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则),五十五条。

《数据安全法》施行后,将与《民法典》、《网络安全法》、《个人信息保护法》(制定中)共同构筑中国个人信息与数据保护的法律规范体系。

对数字化时代的企业而言,数据无疑是企业最重要的资产之一,如何建立数据安全保护制度,合规利用数据资产,避免违规法律责任,《数据安全法》提供了法律层面的规范指引。

本文从企业视角梳理《数据安全法》的重要规范制度,供企业在建立数据保护合规体系制度和规范经营时参考。

1

基本概念:数据、数据权益与数据处理

数据与个人信息:既有关联,又有不同

《数据安全法》第三条:本法所称数据,是指任何以电子或者其他方式对信息的记录。

《民法典》第一千零三十四条:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

《个人信息保护法(草案)》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

就个人信息与个人数据的关系而言,信息是数据的内容,数据是信息的形式。在互联网时代,个人信息被收集、处理和加工,被数据化后以数据的形式体现,并具有了新的价值,所以个人信息和个人数据既有关联,又有不同。

数据权益:依然模糊的法律定位

《数据安全法》第七条:国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。

如同《民法典》是否规定了个人信息权的争论一样,数据是否可以成为权利的客体,并进而以数据权的形式加以保护,目前理论界仍无定论。

司法实践中,法院通常用《反不正当竞争法》第2条的一般条款,以抽象的不正当竞争行为名义,基于企业所享有的“合法权益”对企业数据权利予以保护,如新浪微博诉脉脉案、酷米诉车来了案、淘宝诉美景案。

如果将数据权益界定为数据权,围绕权利的内容、权利行使、权利利用构建数据权利体系,数据可以如同其他“物”一样利用、流转、融资担保,无疑会促进数据的流动和共享,才能打破“数据孤岛”,发挥数据的价值并最大程度挖掘和释放数据价值。

《深圳经济特区数据条例(征求意见稿)》第四条规定“自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权”,这是目前首次提出数据权概念的地方性立法。《数据安全法》依然选择了“数据有关的权益”给数据权利定位,有其现实考量,但相信数据权的争论并不会尘埃落定。

数据处理:企业经营无法避免的行为

《数据安全法》第三条:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

企业关注《数据安全法》,主要应关注企业涉及数据的行为是否受《数据安全法》所规制。从该条的定义,互联网时代的企业毫无例外会受到《数据安全法》的影响。即使是传统行业的企业,也必然会涉及到对信息和数据的收集、存储和使用,对于互联网、大数据、高科技等行业的企业则更是如此。

2

数据分类分级保护:数据安全保护制度体系的基础

《数据安全法》第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

《数据安全法》的数据分类分级保护制度,其重要意义与《网络安全法》第二十一条的“国家实行网络安全等级保护制度”类似,通过数据的分类分级,明确不同数据的管理权限,也为企业的数据处理活动提供了指引。对于不同类型和等级的数据,企业在数据处理、数据出境时将遵循不同的程序要求,履行相应的批准程序。

与数据分类分级保护制度相匹配,《数据安全法》第三章同时规定了数据安全风险评估、报告、信息共享机制(第二十二条),数据安全应急处理机制(第二十三条),数据安全审查制度(第二十四条),数据出口管制(第二十五条)。

3

《数据安全法》的合规要求:企业数据处理的法律义务

建立全流程数据安全管理制度,明确数据安全负责人和管理机构

《数据安全法》第二十七条规定了企业开展数据处理活动的合规制度体系建设要求。

企业应当依法建立全流程数据安全管理制度,并通过教育培训、技术措施保障数据安全。利用网络开展出具处理活动的,应当在网络安全等级保护的基础上履行数据安全保护义务。

对于处理重要数据的企业,应当明确数据安全负责人和管理机构。注意,此处的要求是“明确”,而非《数据安全法(草案)》时的“设立”,可能意味着不再强调必须设置数据安全负责人和专门的管理机构,而只需要明确具体的负责人及部门,原有的网络安全负责人可以兼任,有助于企业降低合规成本。

处理重要数据的企业开展风险评估并报送风险评估报告的义务

根据数据分类分级制度,企业处理重要数据目录中的数据的,应当按照规定对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

数据交易中介服务机构的法律义务

企业从事数据交易中介服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

违反前述规定义务的,根据《数据安全法》第四十七规定,企业将承担责令改正、没收违法所得、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可或吊销营业执照的处罚,对直接负责的主管人员和其他责任人员处以罚款。

依法取得行政许可的义务

《数据安全法》第三十四条:法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。

相比《数据安全法(草案)》,《数据安全法》删除了“专门提供在线数据处理等服务的经营应当取得经营许可或备案”的内容,但这并非对数据处理服务资格放宽了要求,而只是从立法技术层面做好与现有法律、法规的衔接。比如,电信条例已对在线数据处理业务的行政许可做出了规定。

企业判断数据处理服务是否需要取得行政许可,需要结合现行的与行业相关的法律、法规的规定做出判断,避免违规经营的风险。

配合数据调取的义务与拒绝配合的责任

《数据安全法》第三十五条:公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

企业有义务提供所存储的数据,但有三个前提:1、调取的主体是公安机关和国家安全机关;2、调取数据的目的是维护国家安全或者侦查犯罪的需要;3、应当依法经过严格的批准手续。

企业拒不配合数据调取的,根据《数据安全法》第四十八条规定,企业将承担责令改正、警告、罚款的法律责任,对直接负责的主管人员和其他责任人员处以罚款。

4

数据出境:《数据安全法》的特别规制

《数据安全法》第三十六条对向外国司法或者执法机构提供数据规定了特别的规范要求,有助于封堵境外机构的“长臂管辖”。

根据该条规定,只有外国司法或者执法机构才能提出调取储存于中国境内数据的要求,境内组织、个人提供数据必须经过中国机关批准。如果违法提供数据,根据《数据安全法》第四十八条,将根据情节轻重承担警告、罚款、暂停业务、停业整顿、吊销许可或营业执照等处罚。

数据的跨境流动一直是各国法律关注的问题,结合网络安全法对数据境内存储的规定及对外提供的安全评估要求,以及有关部门的规章制度,我国基本构建了数据出境的规范体系。

5

余论

数据因其与传统意义上的“物”大不相同,数据的收集、存储、利用等处理活动,以及数据的跨境流动,呈现出完全不同的特点,所以也就形成了不同于其他规范体系的独有的数据相关法律制度。

从国家对数据处理进行管理的角度,显著的特点是多头管理、分工负责,涉及到的主管部门包括国家安全机构、国家网信部门、公安机关、工业、电信、交通、金融、自然资源、卫生健康、教育、科技等,同时还强调进行数据处理活动的企业的数据安全管理制度建设和保障措施。

从数据相关规范体系的角度,除了法律、法规的规定之外,大量的“日新月异”的规章、规定、标准、规范等共同构成了数据法律规则体系非常重要的组成部分,为企业合规从事数据处理活动提供着更为具体和具有可操作性的规范指引。

在互联网时代,即使是传统行业企业也不可避免的从事着数据处理的活动,面对尚在不断完善和变动中的数据法律体系和规范制度,企业需要不断研究规则、关注变化,才能充分挖掘和利用数据价值以助力企业经营。

(0)

相关推荐

  • 大成研究 | 周亮:科技创新与法律前沿系列文章之四:一文“拆解”数据分类分级

    一.引文 2021年6月10日,<中华人民共和国数据安全法>(以下简称"<数据安全法>")正式发布.值得注意的是,<数据安全法>首次在法律层面提 ...

  • 四千字详解《数据安全法》:企业如何做好合规建设?

    2021年6月10日,我国第一部关于数据安全的法律<中华人民共和国数据安全法>公布,并将于2021年9月1日正式施行.<数据安全法>分别从监管体系.数据安全与发展.数据安全制度 ...

  • 《数据安全法(二审稿)》专家研讨会意见综述

    2021年5月7日下午14:00-17:00,清华大学法学院.清华大学智能法治研究院邀请学界及产业界的专家学者于线上举行"<数据安全法(二审稿)>立法研讨会",围绕&l ...

  • 高校数据安全要“合规”而行

    在大数据.云计算.人工智能蓬勃发展的数字经济时代,数据已经成为与土地.劳动力.资本.技术等传统要素并列的新型生产要素,成为社会发展倾力前行的"石油",对国家经济发展.社会治理与人民 ...

  • 太古观察:从《数据安全法》谈企业的数据安全合规

    2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了<中华人民共和国数据安全法>(以下简称"<数据安全法>").<数据安全法& ...

  • “严”字当头的《个人信息保护法》来了

    △ 近年来,浙江省杭州市临安区民政局定期组织青年志愿者为老年人讲解线上支付.打车.视频聊天等常用互联网技能,让老年人享受互联网带来的便利. 当今社会,享受数字化技术便利的个体,同样也在为无所不在的数据 ...

  • 数据安全法之下:数据交易的法律本质初探

    作者:林野丽 北京市鑫诺律师事务所合伙人 2021年6月10日,历经三审的<中华人民共和国数据安全法>(下简称"数安法")正式通过并将于今年9月1日起实施.数安法首次以 ...

  • 从《数据安全法》视角探讨重要数据保护

    <中华人民共和国数据安全法>(以下简称<数据安全法>)于6月10日第十三届全国人大常委会第29次会议通过,并已于9月1日正式实施. <数据安全法>是我国在数据安全领 ...

  • IDC:2021年中国网络安全市场投资规模将达97.8亿美元,未来五年CAGR约17.9%

    智通财经APP获悉,根据<IDC全球网络安全支出指南>的预测,2021年中国网络安全市场投资规模将达到97.8亿美元,并有望在2025年增长至187.9亿美元,五年CAGR约为17.9%, ...

  • 中华人民共和国数据安全法

    第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷.漏洞等风险时,应当立即采取补救措施:发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告. 第三十条 重要 ...

  • 《数据安全法》的五个“首次”

    数据作为"关键要素"首次写入法律 数据作为"要素"被正式提及要追溯的2020年4月9日,<中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见&g ...

  • 陈根:从数据不安全到《数据安全法》,建立数据准据

    文/陈根 在全球信息化进入全面渗透.跨界融合.加速创新.引领发展的大背景下,全球进入大数据时代,数据呈现爆发增长.随着数据在数字经济时代的社会治理和数字化商业转型中扮演着日益重要的角色,数据安全,也日 ...

  • 《数据安全法》下企业合规之待办清单

    <数据安全法>下企业合规之待办清单 发表时间:2021-06-18 16:09:41 作者:史倩君 来源:星来法律智引 分享到:微信新浪微博QQ空间 自2020年6月28日,<数据安 ...

  • 别用这五种方式经营你的大数据!

    被神化和泛化交织的大数据到底该怎么经营?你或许应该往下看看. 一.别把大数据过度神化 正如外界传言的那样,大数据确实有突破传统发展实现商业智能的潜力,但别把它奉若瑰宝,寄予厚望.因为大数据不能直接告诉 ...

  • 并购中,中国卖方如何数据合规?|高杉LEGAL

    并购卖方的数据安全合规风险防范 作者|曾磊 随着数据在社会生活和国家治理中的重要性凸显,全球各主要经济体在数据安全方面的立法和执法日趋积极和强势.作为回应,中国对数据的保护也在加强,相关立法在提速.继 ...

  • 企业数据合规操作指引

    来源:蓝海大湾区研究院 作者:施俊侃 一.企业数据合规监管要点 (一)数据来源的合法性 在信息时代,数据是新的石油,它可以为新时代创造很多前所未有的机会,但这一"新石油"却不能随意 ...

  • 公安机关:依法为数据安全保驾护航

    数据安全法 公安机关 保驾护航 重磅!! 9月1日起,我国数据安全领域的基础性法律<数据安全法>即将施行. <数据安全法>贯彻落实总体国家安全观,立足我国数据安全工作实际,在规 ...

  • 税收征管法修订:契合数字化转型需求

    2021年07月21日 来源:中国税务报 余洁 契合当前税务数字化转型的需求,建议在税收征管法中增加保障数据安全类条款,根据数字经济运行特点,转变税收征管方式,进一步完善社会协同共治的法律制度设计. ...