《數(shù)據(jù)安全法(草案二審稿)》八大修訂要點(diǎn)解讀
2021年4月29日,中國人大網(wǎng)公布《中華人民共和國數(shù)據(jù)安全法(草案二次審議稿)》(以下簡稱“《數(shù)安法(草案二審稿)》”)全文,[1]并對其公開征求意見。繼《數(shù)據(jù)安全法(草案)》(以下簡稱“《數(shù)安法(草案)》”)于2020年7月3日公開征求意見后,歷時(shí)9個(gè)月,《數(shù)安法(草案二審稿)》公開亮相。
相較于《數(shù)安法(草案)》,《數(shù)安法(草案二審稿)》在征求意見的基礎(chǔ)上,結(jié)合最新發(fā)展情況,進(jìn)行了多處修訂,并新增了部分規(guī)定。其中,八大修訂要點(diǎn)概覽如下:
接下來,筆者將對《數(shù)安法(草案二審稿)》八大修訂要點(diǎn)進(jìn)行詳細(xì)解讀,以期幫助大家快速掌握《數(shù)安法(草案二審稿)》的內(nèi)容。
要點(diǎn)一、完善數(shù)據(jù)分級(jí)分類保護(hù)制度
1、條文對比
2、解析
從上述條文對比可以看出,《數(shù)安法(草案二審稿)》進(jìn)一步明確了站在國家角度、自上而下的數(shù)據(jù)分類制度將成為我國數(shù)據(jù)安全的基本性制度,其重要意義可以與《網(wǎng)絡(luò)安全法》第二十一條的“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”做類比。[2]具體解析如下:
第一,明確從國家角度確定重要數(shù)據(jù)目錄,解決了《數(shù)安法(草案)》第十九條直接將重要數(shù)據(jù)的管理權(quán)限下放到各地方和各部門,可能帶來的地區(qū)之間、部門之間劃分標(biāo)準(zhǔn)的沖突問題;亦解決了現(xiàn)行有效規(guī)定中多數(shù)采取由企業(yè)自主進(jìn)行數(shù)據(jù)分類分級(jí),可能帶來的企業(yè)自主劃分時(shí)優(yōu)先考慮保護(hù)自身利益而非關(guān)注數(shù)據(jù)安全的問題。當(dāng)然,該等重要數(shù)據(jù)目錄意義重大、影響深遠(yuǎn),有待國家有關(guān)部門在廣泛研究、充分論證的基礎(chǔ)上加以明確。
第二,各地區(qū)、各部門確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。在國家確定重要數(shù)據(jù)目錄的基礎(chǔ)上,由各地區(qū)、各部門確定重要數(shù)據(jù)具體目錄,有助于在統(tǒng)一基準(zhǔn)之上進(jìn)一步提高本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)保護(hù)的顆粒度和針對性,能夠?qū)χ匾獢?shù)據(jù)進(jìn)行更好地保護(hù)。
要點(diǎn)二、新增強(qiáng)化網(wǎng)絡(luò)安全等級(jí)保護(hù)制度(以下簡稱“等?!保┰跀?shù)據(jù)安全保護(hù)要求中的基礎(chǔ)作用
1、條文對比
2、解析
從上述條文對比可以看出,《數(shù)安法(草案二審稿)》新增“在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上”開展數(shù)據(jù)安全保護(hù)工作,強(qiáng)化了等保在數(shù)據(jù)安全保護(hù)要求中的基礎(chǔ)作用,亦做好了與《網(wǎng)絡(luò)安全法》的銜接。
網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求出自《網(wǎng)絡(luò)安全法》第二十一條,其明確國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,并提出了履行安全保護(hù)義務(wù)的具體要求。[3]此外,《網(wǎng)絡(luò)安全法》第五十九條第一款明確了違反網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求的法律責(zé)任,包括責(zé)令改正、警告、罰款等。[4]
筆者以“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”為關(guān)鍵字,于2021年4月26日在威科先行法律信息庫中檢索相關(guān)行政處罰,共計(jì)檢索到972個(gè)行政處罰決定書,其中主要違法事實(shí)多為“未開展等級(jí)保護(hù)備案工作,未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,例如冀公(冀)行罰決字〔2020〕0586號(hào)行政處罰決定書、杭西公(蔣)行罰決字[2020]02791號(hào)行政處罰決定書等。
建議企業(yè)積極落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,盡快進(jìn)行等級(jí)保護(hù)測評(píng)、整改和備案工作,以避免潛在的行政處罰。
要點(diǎn)三、調(diào)整數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的要求
1、條文對比
2、解析
從上述條文對比可以看出,對于數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),《數(shù)安法(草案二審稿)》將“設(shè)立”調(diào)整為了“明確”。筆者初步理解,其不再強(qiáng)調(diào)必須設(shè)置數(shù)據(jù)安全負(fù)責(zé)人和專門的數(shù)據(jù)安全管理機(jī)構(gòu),而只需明確數(shù)據(jù)安全負(fù)責(zé)人是誰以及哪個(gè)部門負(fù)責(zé)管理數(shù)據(jù)安全。
可供參照的法律為《網(wǎng)絡(luò)安全法》,其第二十一條要求網(wǎng)絡(luò)運(yùn)營者“確定網(wǎng)絡(luò)安全負(fù)責(zé)人”,并在第三十四條進(jìn)一步要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者“設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人”。本條規(guī)定的“明確”與這里的“確定”比較接近,而《數(shù)安法(草案二審稿)》并未進(jìn)一步提出設(shè)置數(shù)據(jù)安全負(fù)責(zé)人和專門管理機(jī)構(gòu)的要求。
如若該理解準(zhǔn)確,則有助于降低企業(yè)的合規(guī)成本,比如可以由網(wǎng)絡(luò)安全負(fù)責(zé)人同時(shí)擔(dān)任數(shù)據(jù)安全負(fù)責(zé)人,而無需另行專門聘請數(shù)據(jù)安全負(fù)責(zé)人。
要點(diǎn)四、新增重要數(shù)據(jù)出境的管理規(guī)定和對應(yīng)的法律責(zé)任
1、規(guī)定內(nèi)容
《數(shù)安法(草案二審稿)》新增第三十條規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定”,加強(qiáng)了對重要數(shù)據(jù)出境的管理。
此外,《數(shù)安法(草案二審稿)》第四十四條新增了不履行第三十條規(guī)定的法律責(zé)任。
2、解析
《數(shù)安法(草案二審稿)》前述規(guī)定從主體區(qū)分的角度,對重要數(shù)據(jù)出境提出了不同的規(guī)范要求,并明確了法律責(zé)任,具體包括:
第一,明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的重要數(shù)據(jù)出境,適用《網(wǎng)絡(luò)安全法》的規(guī)定。該規(guī)定對《數(shù)安法》與《網(wǎng)絡(luò)安全法》規(guī)定進(jìn)行了銜接,避免了潛在的法律適用之間的沖突問題?!毒W(wǎng)絡(luò)安全法》第三十七條對此采取了“一般規(guī)定+例外情形”的規(guī)定方式,即一般情況下應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估,在法律、行政法規(guī)另有規(guī)定的情況下則適用其規(guī)定。
需要指出的是,這里提到的“辦法”尚未正式出臺(tái)。此前與重要數(shù)據(jù)出境直接相關(guān)的規(guī)定為《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》,但其發(fā)布時(shí)間為2017年4月11日,參考價(jià)值相對有限。
第二,明確其他數(shù)據(jù)處理者的重要數(shù)據(jù)出境,由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定出境安全管理辦法,擴(kuò)大了重要數(shù)據(jù)出境的約束范圍。這里提到的“出境安全管理辦法”亦未出臺(tái),有待監(jiān)管部門的制定。不排除在同一出境管理辦法中分別規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和其他數(shù)據(jù)處理者重要數(shù)據(jù)出境要求的可能性。
第三,新增了不履行重要數(shù)據(jù)出境管理規(guī)定的法律責(zé)任。對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者違規(guī)向境外提供重要數(shù)據(jù)的法律責(zé)任,適用《網(wǎng)絡(luò)安全法》第六十六條的規(guī)定,責(zé)任形式包括責(zé)令改正、警告、沒收違法所得、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;[5]對于其他數(shù)據(jù)處理者違規(guī)向境外提供重要數(shù)據(jù)的法律責(zé)任,適用《數(shù)安法(草案二審稿)》第四十四條的規(guī)定,責(zé)任形式包括責(zé)令改正、警告、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。對于該條規(guī)定,筆者將在要點(diǎn)七詳細(xì)探討,此處不再贅述。
要點(diǎn)五、調(diào)整數(shù)據(jù)處理相關(guān)服務(wù)的資質(zhì)要求
1、條文對比
2、解析
從上述條文對比看出,《數(shù)安法(草案二審稿)》調(diào)整了數(shù)據(jù)處理相關(guān)服務(wù)的資質(zhì)要求,具體分析如下:
第一,不再強(qiáng)調(diào)專門提供在線數(shù)據(jù)處理等服務(wù)的經(jīng)營者的許可或備案要求?!稊?shù)安法(草案)》第三十一條首次提出了專門提供在線數(shù)據(jù)處理等服務(wù)的經(jīng)營者的許可或備案要求,其面臨的爭議較大,這里的“在線數(shù)據(jù)處理等服務(wù)”與《電信業(yè)務(wù)分類目錄(2015版)》中B21類別“在線數(shù)據(jù)處理與交易處理業(yè)務(wù)”服務(wù)的關(guān)系如何都是需要厘清的問題?!稊?shù)安法(草案二審稿)》第三十三條調(diào)整后,筆者初步理解,可能暫時(shí)不會(huì)新增數(shù)據(jù)處理方面的許可要求,做好與現(xiàn)有法律、行政法規(guī)的銜接。比如,前面提到的B21類別“在線數(shù)據(jù)處理與交易處理業(yè)務(wù)”,就是《中華人民共和國電信條例(2016修訂)》(以下簡稱“《電信條例》”)這一行政法規(guī)規(guī)定的從事該等業(yè)務(wù)需要取得的許可。
第二,取消了未經(jīng)許可或備案專門提供在線數(shù)據(jù)處理等服務(wù)的罰則?!稊?shù)安法(草案二審稿)》刪除了《數(shù)安法(草案)》第四十四條規(guī)定的罰則,但此舉并不意味著放寬了要求,其更應(yīng)被理解為旨在做好與現(xiàn)有法律、行政法規(guī)的銜接。例如,《電信條例》第六十九條第一款就對擅自經(jīng)營電信業(yè)務(wù)規(guī)定了罰則,責(zé)任形式具體包括責(zé)令改正、沒收違法所得、罰款、責(zé)令停業(yè)整頓。[6]
要點(diǎn)六、加強(qiáng)對向境外司法或執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的監(jiān)管
1、條文對比
2、解析
從上述條文對比可以看出,《數(shù)安法(草案二審稿)》明顯加強(qiáng)了對向境外司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中國境內(nèi)的數(shù)據(jù)的監(jiān)管,具體分析如下:
第一,將條文規(guī)定調(diào)整為禁止性規(guī)定。即從“應(yīng)當(dāng)報(bào)告獲批”調(diào)整為“非經(jīng)批準(zhǔn)不得提供”。該等調(diào)整意味著,如不遵照其執(zhí)行,將明顯違反法律的禁止性規(guī)定,對企業(yè)合規(guī)、融資、上市等產(chǎn)生重大的影響。
第二,擴(kuò)大了向境外提供數(shù)據(jù)的監(jiān)管適用情形。在“境外執(zhí)法機(jī)構(gòu)”的基礎(chǔ)上增加了“境外司法機(jī)構(gòu)”,解決了原有的“境外執(zhí)法機(jī)構(gòu)”范圍的爭議,即只要中國境外的司法或者執(zhí)法機(jī)構(gòu)要求提供存儲(chǔ)于中國境內(nèi)的數(shù)據(jù),均適用本條的規(guī)定,有助于更好地封堵境外機(jī)構(gòu)的“長臂管轄”。
第三,將“從其規(guī)定”調(diào)整為“可以按照其規(guī)定執(zhí)行”,意味著可以按照本條規(guī)定而不按照相關(guān)國際條約、協(xié)定的規(guī)定執(zhí)行。該等調(diào)整,有助于防范境外主體單方從有利于其本身角度對國際條約、協(xié)定的規(guī)定進(jìn)行解釋,從而繞開本條的規(guī)定進(jìn)行“長臂管轄”。
第四,增加未經(jīng)主管機(jī)關(guān)批準(zhǔn)向境外的司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的罰則,為有關(guān)組織、個(gè)人拒絕外國不合理要求提供更為充分的法律依據(jù)。[7]新增罰則解決了《數(shù)安法(草案)》第三十三條規(guī)定下可能出現(xiàn)的難題,即面對境外執(zhí)法機(jī)構(gòu)調(diào)查取證的要求,企業(yè)以此條為依據(jù)進(jìn)行對抗,但卻無法說明不報(bào)批的法律后果,可能導(dǎo)致對企業(yè)不利的認(rèn)定。法律責(zé)任的具體形式包括責(zé)令改正、警告和罰款。
要點(diǎn)七、大幅加重不履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任
1、條文對比
2、解析
從上述條文對比可以看出,《數(shù)安法(草案二審稿)》大幅加重了不履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任,具體分析如下:
第一、大幅提高了罰款額度。從“一萬元以上十萬元以下”到“五萬元以上五十萬元以下”,從“五千元以上五萬元以下”到“一萬元以上十萬元以下”,從“十萬元以上一百萬元以下”到“五十萬元以上五百萬元以下”,從“一萬元以上十萬元以下”到“五萬元以上五十萬元”,四種不同情形下的罰款額度均大幅提高。
第二、擴(kuò)大了處罰對象的范圍。在不履行數(shù)據(jù)安全保護(hù)義務(wù)的一般法律責(zé)任情形下,將“其他直接責(zé)任人員”納入進(jìn)來,擴(kuò)大了處罰對象的范圍。
第三、大幅加重了責(zé)任形式。在拒不改正或者造成大量數(shù)據(jù)泄露等嚴(yán)重后果的加重情形下,新增規(guī)定“可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照”,大幅加重了責(zé)任形式。
要點(diǎn)八、新增明確拒不配合數(shù)據(jù)調(diào)取的法律責(zé)任
1、規(guī)定內(nèi)容
《數(shù)安法(草案二審稿)》第四十六條第一款新增規(guī)定“違反本法第三十四條規(guī)定,拒不配合數(shù)據(jù)調(diào)取的,由有關(guān)主管部門責(zé)令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款”,明確了拒不配合數(shù)據(jù)調(diào)取的法律責(zé)任。
2、解析
《數(shù)安法(草案》第三十二條規(guī)定了公安機(jī)關(guān)、國家安全機(jī)關(guān)因依法維護(hù)國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)的規(guī)范要求,包括按照規(guī)定、經(jīng)過嚴(yán)格批準(zhǔn)手續(xù)、依法進(jìn)行,并明確“有關(guān)組織、個(gè)人應(yīng)當(dāng)予以配合”?!稊?shù)安法(草案二審稿)》第三十四條完全沿用了該條的規(guī)定,未作修訂。
在此基礎(chǔ)上,《數(shù)安法(草案二審稿)》第四十六條第一款新增明確拒不配合數(shù)據(jù)調(diào)取的法律責(zé)任,有助于提高其威懾力。有關(guān)組織、個(gè)人應(yīng)當(dāng)配合該等情形下的數(shù)據(jù)調(diào)取,以避免承擔(dān)本條規(guī)定的法律責(zé)任。
結(jié)語
縱觀上述八大修訂要點(diǎn),可以看出,《數(shù)安法(草案二審稿)》整體趨嚴(yán),并優(yōu)化了部分法律適用之間可能產(chǎn)生的問題。不可否認(rèn),《數(shù)安法(草案二審稿)》仍存在待完善之處,但其價(jià)值依然值得肯定。對于企業(yè)而言,應(yīng)高度關(guān)注本次立法修訂的要點(diǎn)和后續(xù)的立法動(dòng)態(tài),特別是數(shù)據(jù)分類分級(jí)制度和數(shù)據(jù)出境管理要求的變遷,其將對企業(yè)運(yùn)營產(chǎn)生重大影響。