2021年6月10日,历经三审,全国人大常委会会议表决通过了《中华人民共和国数据安全法》(下称《数据安全法》),并将于2021年9月1日起施行。这部法成为了我国数据领域的基础性法律,构成国家安全领域的一部重要法律,同时也为国家机构、企业以及个人在数据处理领域的规范性提供了法律依据。

《数据安全法》的生效将影响中国的全行业、全领域,对于企业而言,数据安全法的落地实施,标志着企业的数据治理工作将迈入常态阶段。本文意从司法实践入手,对《数据安全法》简单分析,以启示企业在数据安全领域了解自身的合规义务。

ー、《数据安全法》的管辖范围

不同于《个人信息保护法》立足于强调个人信息权益,国家安全则是《数据安全法》的首要立法目标,保障国家数据主权是《数据安全法》的基调,在此基础上保障数据安全,促进数据开发利用,保护个人、组织的合法权益亦是《数据安全法》的重要立法目标。而数据的保存形式不仅包括电子形式,也包括以其他方式对信息的记录,在数据的收集、存储、适用、加工、传输、提供、公开等全周期中的任意一个环节,均可被称之为"数据处理",管辖范围相当宽泛。《数据安全法》生效之后,将与《网络安全法》以及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。

值得一提的是,《数据安全法》实现了境外管辖的突破,其适用范围不仅包括在中国境内开展数据处理活动及其安全监管,同样囊括了在境外开展的损害中国国家安全、公共利益或者公民、组织合法权益的数据处理活动,这也就意味着境外企业在境内展业,其在境外发生的数据处理如损害国家安全或公民合法权益,也必将受到中国法律的监管。

二、 数据安全保护义务

1. 个人信息收集及管理

《数据安全法》第八条规定,"开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。"第三十二条规定,"任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。"

企业在日常运营管理过程中,难免涉及个人信息的数据收集和处理。对内收集员工的个人信息,例如员工的家庭地址、身份信息、指纹或人脸识别信息,过往学习及工作经验等,对外收集用户或客户的个人信息,例如姓名、地址、联络方式、身份信息等。随着信息技术的快速发展和各种网络技术的广泛应用,企业越来越多的依赖于数据来支撑自己业务生产的正常运转,一旦发生信息泄露,影响力和破坏力都将不容小觑。对于金融、医疗、电信、交通、互联网科技等重点行业应更为重视数据安全合规,建立重要数据保护机制,完善数据安全的风险防范和应急处理机制。

以《数据安全法》为启发,笔者对企业运营过程中的数据安全合规提出如下建议:

  1. 收集和处理数据应当遵循采取合法、正当、必要原则。在收集个人信息时,企业应当提前取得个人的同意,且收集的范围应限于订立或者履行个人作为一方当事人的合同所必需,企业处理使用收集到的信息必须合法合理。
  2. 在处理数据前履行事前告知并获取授权。企业处理数据前应以显著方式和清晰易懂的语言向个人告知数据处理的目的、方式、保存期限等必要信息,并取得个人明示同意。
  3. 对已取得的数据内容进行分级、分类。企业可以根据数据的重要程度设置不同类型和级别,设立不同的保护机制,重要程度越高的数据保护措施及监管力度应当更为严格。
  4. 建立数据风险评估机制。定时定期对收集到的数据开展风险评估,评估所面临的安全风险等级,对产生安全风险的数据及时采取应对措施,形成风险评估报告并向主管部门报送报告内容。
  5. 建立内部数据管理制度。企业甄别出数据安全的等级及对应措施后,应及时建立规章制度,并将用工过程中的数据安全处理及风险防范进行培训,针对重要数据岗位的员工,还应做好保密培训并采取适当的保密措施。

2. 数据出境先行报告义务

《数据安全法》第三十六条规定,"中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 "

上述条款对如何处理外国司法或者执法机构关于提供数据的请求做出明文规定,例如外资银行在面临境外监管机构的直接执法时,不应直接提供境外监管机构要求的数据,而应先行上报给我国主管机关,获得批准后方才可提供,该条款亦是对部分国家域外长臂管辖执法进行回应。

实践中,外资、合资的企业与境外母公司的日常沟通中,不时会收到境外母公司、甚至可能境外母公司转发的外国司法或执法机构的指示,要求配合提供本公司、本公司员工,乃至客户的相关信息,而中国境内设立的外资或合资金融机构发生此类情形尤为频繁。随着《数据安全法》的生效,可以明确,企业在向境外传输已收集或处理数据转移前,应先评估相关数据是否符合法律法规及行业标准的要求,审查、核实数据接受者的资质,并且及时向中国的主管机关进行申报审批,非经主管机关批准,境内企业应当拒绝执行境外要求,否则境内企业将承担相应的法律责任。

三、《数据安全法》中的其他合规义务

《数据安全法》第六章规定了企业或个人在违反数据安全的各项情形下所应承担的法律责任。对此笔者梳理如下,以供读者参考。

合规类别 合规行为 法律责任
履行数据安全保护义务
  • 建立健全全流程数据安全管理制度
  • 组织开展数据安全教育培训
  • 采取相应技术措施和其他必要措施保障数据安全
  • 网络安全等级保护制度
  • 责令改正,给予警告
  • 罚款50,000~500,000元
  • 对直接责任人罚款10,000~100,000元
  • 造成严重后果,罚款500,000~2,000,000元
  • 责令暂停相关业务、停业整顿、吊销相关许可证或营业执照
  • 对直接责任人罚款50,000~200,000元
开展数据处理活动应加强风险监测
  • 发现数据安全缺陷、漏洞等风险时,应及时采取补救措施
  • 发生数据安全事件时,应立即采取处置措施并及时告知用户或向主管部门报告
重要数据处理
  • 明确数据安全负责人和管理机构
  • 定期开展风险评估
  • 向主管部门报送风险评估报告
核心数据管理
  • 遵守国家核心数据管理制度
  • 不得危害国家主权、安全和发展利益
  • 罚款2,000,000~10,000,000元
  • 责令暂停相关业务、停业整顿、吊销相关许可证或营业执照
  • 依法追究刑事责任
向境外提供重要数据
  • 关键信息基础设施运营者在境内集中收集和产生的重要数据出境,适用《网络安全法》规定
  • 其他数据处理出境办法,由国家网信部会同国务院有关部门制定
  • 责令改正,给予警告
  • 罚款100,000~1,000,000元
  • 对直接责任人罚款10,000~100,000元
  • 情节严重,罚款1,000,000~10,000,000元
  • 责令暂停相关业务、停业整顿、吊销相关许可证或营业执照
  • 对直接责任人罚款100,000~1,000,000元
数据交易中介服务机构的数据保护义务
  • 要求数据提供方说明数据来源
  • 审核交易双方身份
  • 留存审核、交易记录
  • 责令改正,没收违法所得
  • 罚款违法所得1倍~10倍
  • 没有违法所得或不足100,000元的,责令暂停相关业务、停业整顿、吊销相关许可证或营业执照
  • 对直接责任人罚款10,000~100,000元
配合数据调取
  • 配合公安、国家机关依法维护国家安全或者侦查犯罪的需要调取数据
  • 责令改正,给予警告
  • 罚款50,000~500,000元
  • 对直接责任人罚款10,000~100,000元
未经批准向境外提供数据
  • 向外国司法或者执法机构提供储存于中国境内的数据,应当经中国主管机关批准
  • 给予警告
  • 罚款100,000~1,000,000元
  • 对直接责任人罚款10,000~100,000元
  • 造成严重后果,罚款1,000,000~5,000,000元
  • 责令暂停相关业务、停业整顿、吊销相关许可证或营业执照
  • 对直接责任人罚款50,000~500,000元


据笔者了解,《数据安全法》通过后,各地方都将依据本地特点出台相应的具体条例与措施,北京、上海、天津、深圳、贵州、安徽等地已启动数据立法工作计划。企业应及时关注相关法律法规的颁布和实施,严格对照《数据安全法》及各地陆续即将出台的法规要求,强化数据安全的内控管理,建立健全数据安全相关的内部政策和操作指引,明晰内部人员分工,从源头上杜绝可能存在的合规风险。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.