作者:北京德和衡律师事务所网络安全和数据合规团队 史蕾 周杨 辛小天

《数据安全法(草案)》自2020年7月公开征求意见后一直备受关注。2021年4月26日,十三届全国人大常委会第二十次会议对草案进行了初次审议,此次为二审(下称“二审稿”)。

经过近10个月的打磨,二审稿重点厘清了与其他法律法规已建立的数据相关制度的统筹协调性,并在细节上围绕数据“安全”与“发展”进行修订完善体现了立法精准度和前瞻性。

一、宏观性调整

1、数据安全法与其他各法律法规的衔接

数据是数字经济时代的重要生产要素,有关数据的安全要求在现有和规划中的立法都有体现。《数据安全法》作为数据安全领域的重要纲领性法律,必须厘清与其他法律法规中数据相关制度的衔接以避免解读上的误区。《二审稿》在这个方面进行了重要的改进:

1) 数据的“处理”内涵与民法典保持一致

《二审稿》全文将“数据活动”更新为“数据处理”或“数据处理活动”,第三条定义数据处理的内涵时,参考《民法典》第一千零三十五条中有关个人信息处理的定义,采纳了与个人信息处理完全相同的列举词汇,即“收集、存储、使用、加工、传输、提供、公开等”,从而保障了立法的统一性。

2) 《网络安全法》下的“网络安全等级保护制度”是数据安全的基础

《二审稿》第二十六条有关数据处理活动的合规义务规定中,较原文遵守法律、法规的要求外,新增“在网络安全等级保护制度的基础上”的要求,从而重申了网络安全法下的企业义务不可忽视,自然延伸到数据安全保护之下,强调网络安全等级保护制度是保护数据安全的基础性义务。

3) 重要数据出境与《网络安全法》衔接并预留其他重要数据的出境监管空间

作为《二审稿》新增的条款之一,第三十条有关数据出境的安全管理活动,巧妙的区分关键信息基础设施企业的重要数据和其他数据处理者的重要数据,即紧密地衔接了《网络安全法》下对关键信息基础设施运营者的重要数据出境的本地存储以及安全影响评估要求已有制度安排,又为其他运营者的重要数据监管框定了网信办未来的监管空间,这与目前正在进行的重要数据出境征求意见的立法现状相匹配,并将法律层面上为授权行政法规立法确定了基础。

4) 国际数据合作与《国际刑事司法协助法》与《民事诉讼法》衔接

《二审稿》第三十五条扩展了调取存储于中国境内数据的境外机构的性质,从原有的执法机构补充了境外司法机构,从而与《国际刑事司法协助法》与《民事诉讼法》中有关司法协助的内容衔接。

5) 与行业准入监管部门各司其职

《二审稿》聚焦数据安全的角度,对数据行业的准入监管仅做原则性规定。原来的针对专门提供在线数据处理等服务的经营者的许可和备案要求,给行业内的数据经营者带来了不小的困惑和担忧。在《二审稿》以第三十三条“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。”替代,从而将行业准入监管与其他法律法规规定的涉及不同行业市场准入的行政许可要求相衔接,也为未来随时制定或放宽市场准入的方式和条件预留了灵活性。此外,新规也不再局限在明确由国务院电信主管部门会同有关部门制定。由此可见,未来数据处理相关服务的市场准入监管将不仅仅局限在电信行业主管部门一家。

6) 明确具体类型的数据保护与本法的关系

《二审稿》在第七章附则条款里说明了有关国家秘密的数据处理活动,以及个人信息的数据处理活动的另行适用与衔接。军事数据安全保护的办法在规定由中央军事委员另行制定时,本次《二审稿》中新增强调了“依据本法”另行制定,奠定了《数据安全法》作为保护各类数据安全的基本规则的地位。

2、强化责任与威慑力

针对征求意见中民众对《数据安全法》整肃数据市场的希冀,《二审稿》从扩大监管范围、提高处罚金额以及增加企业市场准入处罚等三个角度,强化责任担当与法律威慑力。

1) 《二审稿》在第二条使用范围上调整原有表达,明确规定我国境内的组织和个人在境外开展数据处理活动,如侵犯国家安全、公共利益或者公民、组织合法权益的,同样依法追究法律责任。从而杜绝了某些组织和个人将服务器转移到境外企图规避法律监管的侥幸心理。

2) 《二审稿》第四十四条对违反数据安全保护义务提高2或5倍处罚金额

适用情形

原处罚

提高后处罚

一般情况下

一万元以上十万元以下

五万元以上五十万元以下

(直接责任人)五千元以上五万元以下

(直接责任人)一万元以上十万元以下

拒不改正或者造成大量数据泄露等严重后果的

十万元以上一百万元

五十万元以上五百万元以下

(直接责任人)一万元以上十万元以下

(直接责任人)五万元以上五十万元以下

说明: 直接责任人从“直接负责的主管人员”扩展到“直接负责的主管人员和其他直接责任人员”,下同。

3) 《二审稿》第四十五条对于从事数据交易中介服务的机构未履行审核义务的罚款中,新增补充内容针对违法所得不足十万的情况,处罚金额应适用“十万元以上一百万元以下罚款”。

4) 《二审稿》第四十六条新增两项处罚。

违反内容

处罚

违反第三十四条,拒不配合调取数据

由有关主管部门责令改正,给予警告,可以并处罚款:

五万元以上五十万元以下

(直接责任人)一万元以上十万元以下

违反第三十五条,未经主管机关批准向境外的司法或者执法机构提供数据

由有关主管部门责令改正,给予警告,可以并处罚款:

十万元以上一百万元以下

(直接责任人)二万元以上二十万元以下

5) 增加市场经营性处罚机制

除原有第四十五条,针对从事数据交易中介服务的机构未履行审核义务有吊销相关业务许可证或者吊销营业执照的处罚外,《二审稿》扩展了市场经营性处罚机制包括“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”四种方式,并在对违反数据安全保护义务的严重情况下也适用此类市场经营性的处罚。此类处罚带给企业经营者的威慑力远大于罚款,将极大地提高经营者对于数据安全义务以及数据商业性运营模式合规性的重视。

二、精准性的打磨

《二审稿》全文贯穿着定义和用语的细微调整,这些细微调整对于明确立法方式、监管重点、前瞻性保护都有重大的意义。我们从以下几个角度重点分析:

1、自上而下的数据“分类分级”基本制度

《数据安全法》草案第一稿建立数据“分级分类”这一数据安全保护的基本义务,但不少企业都困惑分级分类如何做,并针对第一稿中第十九条第二款中各地区各部门“确定本地区、本部门、本行业重要数据保护目录” 提出可能带来的差异和政策洼地的质疑。其实,《数据安全法》希望建立的是国家管理下的“自上而下”“先分类再分级”的数据保护制度,各地区各部门的重要数据保护名录也应当以遵循国家层面已建立的分类分级制度为前提。为了澄清这一要求,《二审稿》对第十九条进行了调整,更换用语采纳“分类分级”替代“分级分类”,并且在两款中都强调“国家”国家建立数据分类分级保护制度和确定重要数据目录的主体身份。

2、 细化政务数据的安全管理

政务数据的安全管理是《数据安全法》的专章规范的重要内容。本次《二审稿》中的修订体现在两处实务具体环节。

第一,数据安全保护义务提前到“电子政务系统的建设和维护”环节。即国家机关在委托他人建设、维护电子政务系统时就应该遵守本法,不仅应当经过严格的批准程序,并应当监督受托方、数据接收方履行相应的数据安全保护义务。可见,数据安全保护也采纳了同步的原则,在电子政务系统的设计和建设时就应当考虑如何实施数据安全保护。我们预测不仅电子政务系统,其他各类数据处理系统开发方在设计建设阶段的数据安全义务条款及承诺保证条款将会日渐严苛。

第二,细化政务数据扩展适用到具有公共事务管理职能的组织的“合法性”条件,首先此类组织必须是法律、法规授权,第二,此类组织行使公共事务管理职能时的数据处理必须依法进行。

3、数字经济与行业引导性

《二审稿》结合时代需求,在一些条款的修改上前瞻性地考虑了数据安全管理政策的布局和行业特色,例如:

第七条有关行业主管部门实施数据安全监管职责的列举是,新增“交通”行业,并将“国防科技工业”修订为“科技”行业,这体现了交通行业人工智能发展带来的车联网数据安全的重视,以及科学行业中科学数据大有可为并将给重视的认识;

第十四条有关数字经济发展规划纳入国民经济和社会发展规划,不再仅仅对省级以上人民政府提出要求,而是下沉到县级以上人民政府。县级以上人民政府将根据需要制定数字经济发展规划。

4、鼓励数据安全技术研发,发挥科研机构更大作用

《二审稿》第十五条关于国家支持与鼓励数据开发利用和安全技术研究的条款修订更清晰,第十六条和第十九条明确科研机构作为参与标准制定、人才培训的主体,这些对于与数据安全相关的研发,例如密码技术、隐私计算技术,隐私数据开发利用的科学研究与成果落地有极大的激励作用,这从立法层面对于数据价值释放、赋能数字经济促进数据产业发展提供了保障。

5、行业组织在监管和合规落地中将有望发挥更大作用

《二审稿》新增相关行业组织的独立条款,即相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。由于实务中数据安全行为的具体要求需要更落地的指导,而各地区各部门的监管需要更有力的来自业务口的需求重点支持,相关行业组织将在这个过程中获得立法支持,并预期会发挥更大作用。

三、对企业的启示

《数据安全法》(草案)目前已经二审,预计有可能在2021年内立法通过,并且大规模变动的可能性不大。《数据安全法》是一部兼顾监管要求与企业合规义务的法律,因此,企业应该认真学习《数据安全法》给企业带来的合规要求。

对企业的数据合规要求主要体现在一审稿中所建立的基本制度与规则,本此《二审稿》并无实质变化,例如数据安全保护义务、数据分类分级、重要数据保护、数据安全风险防范机制、数据安全事件应急处理机制等等并无变化,此处就不再重申和强调,仅从二审稿的一些变化趋势对企业的合规要求作出如下启示建议:

1、《数据安全法》与现有法律法规下的企业数据安全保护要求义务是一脉相承的,所以企业应持续遵守,这些合规要求在《数据安全法》实施后会有执法处罚依据,并且处罚严苛,不能再存在任何侥幸心理。

2、行业自律性组织将在数据合规中发挥作用,建议企业应选择对自己所在行业有重要指导意义的自律性组织积极加入。

3、数据安全法是建立框架体系和原则要求,未来还需要更多的法规落地和支持,因此,企业仍要密切关注未来数据分类分级管理、重要数据制度,数据出境要求等领域的最新立法。

4、与数据处理相关的服务形式将会越来越明细,业态分类也会有更明确的市场准入要求和行业主管部门,因此从事数据处理的相关服务机构应该关注和及时满足市场准入要求,并符合行业主管部门的监管要求。

5、数据安全法不仅仅影响数据处理者要在运营中考虑合规要求,也会间接影响到以系统研发设计的软件开发生产类企业,系统软件的数据保护将作为天然的设计需求并且越来重要地影响一款软件的销售市场。

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。