《数据安全法》颁布,企业如何避免数据合规风险?
INTRODUCTION
导言
数据安全法
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(“《数据安全法》”)。
《数据安全法》于2021年9月1日实施,共七章(总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则),五十五条。
《数据安全法》施行后,将与《民法典》、《网络安全法》、《个人信息保护法》(制定中)共同构筑中国个人信息与数据保护的法律规范体系。
对数字化时代的企业而言,数据无疑是企业最重要的资产之一,如何建立数据安全保护制度,合规利用数据资产,避免违规法律责任,《数据安全法》提供了法律层面的规范指引。
本文从企业视角梳理《数据安全法》的重要规范制度,供企业在建立数据保护合规体系制度和规范经营时参考。
1
基本概念:数据、数据权益与数据处理
数据与个人信息:既有关联,又有不同
《数据安全法》第三条:本法所称数据,是指任何以电子或者其他方式对信息的记录。
《民法典》第一千零三十四条:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
《个人信息保护法(草案)》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
就个人信息与个人数据的关系而言,信息是数据的内容,数据是信息的形式。在互联网时代,个人信息被收集、处理和加工,被数据化后以数据的形式体现,并具有了新的价值,所以个人信息和个人数据既有关联,又有不同。
数据权益:依然模糊的法律定位
《数据安全法》第七条:国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
如同《民法典》是否规定了个人信息权的争论一样,数据是否可以成为权利的客体,并进而以数据权的形式加以保护,目前理论界仍无定论。
司法实践中,法院通常用《反不正当竞争法》第2条的一般条款,以抽象的不正当竞争行为名义,基于企业所享有的“合法权益”对企业数据权利予以保护,如新浪微博诉脉脉案、酷米诉车来了案、淘宝诉美景案。
如果将数据权益界定为数据权,围绕权利的内容、权利行使、权利利用构建数据权利体系,数据可以如同其他“物”一样利用、流转、融资担保,无疑会促进数据的流动和共享,才能打破“数据孤岛”,发挥数据的价值并最大程度挖掘和释放数据价值。
《深圳经济特区数据条例(征求意见稿)》第四条规定“自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权”,这是目前首次提出数据权概念的地方性立法。《数据安全法》依然选择了“数据有关的权益”给数据权利定位,有其现实考量,但相信数据权的争论并不会尘埃落定。
数据处理:企业经营无法避免的行为
《数据安全法》第三条:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
企业关注《数据安全法》,主要应关注企业涉及数据的行为是否受《数据安全法》所规制。从该条的定义,互联网时代的企业毫无例外会受到《数据安全法》的影响。即使是传统行业的企业,也必然会涉及到对信息和数据的收集、存储和使用,对于互联网、大数据、高科技等行业的企业则更是如此。
2
数据分类分级保护:数据安全保护制度体系的基础
《数据安全法》第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
与数据分类分级保护制度相匹配,《数据安全法》第三章同时规定了数据安全风险评估、报告、信息共享机制(第二十二条),数据安全应急处理机制(第二十三条),数据安全审查制度(第二十四条),数据出口管制(第二十五条)。
3
《数据安全法》的合规要求:企业数据处理的法律义务
建立全流程数据安全管理制度,明确数据安全负责人和管理机构
《数据安全法》第二十七条规定了企业开展数据处理活动的合规制度体系建设要求。
企业应当依法建立全流程数据安全管理制度,并通过教育培训、技术措施保障数据安全。利用网络开展出具处理活动的,应当在网络安全等级保护的基础上履行数据安全保护义务。
对于处理重要数据的企业,应当明确数据安全负责人和管理机构。注意,此处的要求是“明确”,而非《数据安全法(草案)》时的“设立”,可能意味着不再强调必须设置数据安全负责人和专门的管理机构,而只需要明确具体的负责人及部门,原有的网络安全负责人可以兼任,有助于企业降低合规成本。
处理重要数据的企业开展风险评估并报送风险评估报告的义务
根据数据分类分级制度,企业处理重要数据目录中的数据的,应当按照规定对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
数据交易中介服务机构的法律义务
企业从事数据交易中介服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
违反前述规定义务的,根据《数据安全法》第四十七规定,企业将承担责令改正、没收违法所得、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可或吊销营业执照的处罚,对直接负责的主管人员和其他责任人员处以罚款。
依法取得行政许可的义务
《数据安全法》第三十四条:法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
企业判断数据处理服务是否需要取得行政许可,需要结合现行的与行业相关的法律、法规的规定做出判断,避免违规经营的风险。
配合数据调取的义务与拒绝配合的责任
《数据安全法》第三十五条:公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
企业有义务提供所存储的数据,但有三个前提:1、调取的主体是公安机关和国家安全机关;2、调取数据的目的是维护国家安全或者侦查犯罪的需要;3、应当依法经过严格的批准手续。
企业拒不配合数据调取的,根据《数据安全法》第四十八条规定,企业将承担责令改正、警告、罚款的法律责任,对直接负责的主管人员和其他责任人员处以罚款。
4
数据出境:《数据安全法》的特别规制
《数据安全法》第三十六条对向外国司法或者执法机构提供数据规定了特别的规范要求,有助于封堵境外机构的“长臂管辖”。
根据该条规定,只有外国司法或者执法机构才能提出调取储存于中国境内数据的要求,境内组织、个人提供数据必须经过中国机关批准。如果违法提供数据,根据《数据安全法》第四十八条,将根据情节轻重承担警告、罚款、暂停业务、停业整顿、吊销许可或营业执照等处罚。
数据的跨境流动一直是各国法律关注的问题,结合网络安全法对数据境内存储的规定及对外提供的安全评估要求,以及有关部门的规章制度,我国基本构建了数据出境的规范体系。
5
余论
从国家对数据处理进行管理的角度,显著的特点是多头管理、分工负责,涉及到的主管部门包括国家安全机构、国家网信部门、公安机关、工业、电信、交通、金融、自然资源、卫生健康、教育、科技等,同时还强调进行数据处理活动的企业的数据安全管理制度建设和保障措施。
从数据相关规范体系的角度,除了法律、法规的规定之外,大量的“日新月异”的规章、规定、标准、规范等共同构成了数据法律规则体系非常重要的组成部分,为企业合规从事数据处理活动提供着更为具体和具有可操作性的规范指引。
在互联网时代,即使是传统行业企业也不可避免的从事着数据处理的活动,面对尚在不断完善和变动中的数据法律体系和规范制度,企业需要不断研究规则、关注变化,才能充分挖掘和利用数据价值以助力企业经营。