解讀:數(shù)據(jù)安全法的機(jī)構(gòu)合規(guī)義務(wù)
2021年6月10日《數(shù)據(jù)安全法》正式通過,并將于同年9月1日正式施行。我國數(shù)據(jù)安全法治框架的帷幕即將拉開,數(shù)據(jù)安全法治進(jìn)程正式掛擋上路。可以預(yù)期,在《數(shù)據(jù)安全法》的大框架下,更多規(guī)范與法規(guī)等配套實(shí)施細(xì)則將陸續(xù)頒布。
1
《數(shù)據(jù)安全法》的法律體系
《數(shù)據(jù)安全法》的立法是總體國家安全觀的重要組成部分,旨在保護(hù)數(shù)據(jù)這一新型生產(chǎn)要素的安全。
《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》關(guān)系尤其密切,二者相輔相成,分別從數(shù)據(jù)與安全的角度為機(jī)構(gòu)設(shè)定了大量的合規(guī)要求。
值得關(guān)注的是,對個(gè)人信息這一特殊類型數(shù)據(jù)的保護(hù),不僅是安全的需要,也與人格權(quán)保護(hù)的角度息息相關(guān),即機(jī)構(gòu)需要考慮用戶個(gè)人行使訪問、修改、刪除等權(quán)利時(shí),如何進(jìn)行協(xié)助。
下面將《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》兩部法律的合規(guī)框架進(jìn)行了簡單梳理,幫助機(jī)構(gòu)更全面地理解自己的合規(guī)義務(wù):
除了與《網(wǎng)絡(luò)安全法》關(guān)系密切,《數(shù)據(jù)安全法》還預(yù)留了大量接口與其他法律相銜接,如《刑法》、《保守國家秘密法》、《出口管制法》、《檔案法》等,都會(huì)在不同情況下予以交叉。
2
《數(shù)據(jù)安全法》的管轄范圍
在《數(shù)據(jù)安全法》中,管轄覆蓋了境內(nèi)與境外兩個(gè)層面:
范圍 |
管轄內(nèi)容 |
境 內(nèi) |
|
境外 |
|
相較于《網(wǎng)絡(luò)安全法》,《數(shù)據(jù)安全法》在境外管轄上實(shí)現(xiàn)了突破。
《數(shù)據(jù)安全法》不會(huì)僅在中國境內(nèi)具有效力,部分境外的數(shù)據(jù)處理行為同樣可以依據(jù)《數(shù)據(jù)安全法》進(jìn)行規(guī)制。
比如境內(nèi)組織或個(gè)人開展跨境電信詐騙、網(wǎng)絡(luò)賭博活動(dòng)中在境外生成的數(shù)據(jù),就可能會(huì)依據(jù)《數(shù)據(jù)安全法》第35條要求有關(guān)機(jī)構(gòu)配合調(diào)取境外的數(shù)據(jù)。
但這可能會(huì)需要《數(shù)據(jù)安全法》承擔(dān)美國CLOUD法案(《澄清境外合法使用數(shù)據(jù)法》)的相關(guān)職責(zé),未來少不了在國際間的運(yùn)用。
在《網(wǎng)絡(luò)安全法》的未來修訂中,管轄問題也可能仿照《數(shù)據(jù)安全法》,將危害中國國家安全、公共利益或者公民、組織合法權(quán)益的境外網(wǎng)絡(luò)活動(dòng)列入管轄范圍。
3
《數(shù)據(jù)安全法》中的數(shù)據(jù)及相關(guān)概念
《數(shù)據(jù)安全法》中的“數(shù)據(jù)”,不僅包括電子形式,也包括以其他方式記錄的信息。即無論是電子形式,或是紙質(zhì)形式的數(shù)據(jù)都需要受到《數(shù)據(jù)安全法》的管轄,范圍相當(dāng)寬泛。
此外,“重要數(shù)據(jù)”自《網(wǎng)絡(luò)安全法》以來備受關(guān)注,關(guān)于重要數(shù)據(jù)定義、范圍、目錄的討論從未間斷。此次《數(shù)據(jù)安全法》仍未明確重要數(shù)據(jù)的概念,僅明確重要數(shù)據(jù)的目錄將由國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào),并由各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。
預(yù)期,隨著《數(shù)據(jù)安全法》的實(shí)施,各部門、各地區(qū)的重要數(shù)據(jù)目錄也會(huì)加速制定。
“核心數(shù)據(jù)”是《數(shù)據(jù)安全法》三審中新增的內(nèi)容,在此前的兩次審議中均未出現(xiàn)?!稊?shù)據(jù)安全法》將“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)”列為國家核心數(shù)據(jù)。
目前尚不清楚核心數(shù)據(jù)與重要數(shù)據(jù)會(huì)是何種關(guān)系,是核心數(shù)據(jù)是重要數(shù)據(jù)中的特殊類別,或是重要數(shù)據(jù)是除核心數(shù)據(jù)以外、需要重點(diǎn)保護(hù)的數(shù)據(jù)??赡茉诤罄m(xù)法規(guī)中會(huì)逐漸予以明確。
4
《數(shù)據(jù)安全法》與生產(chǎn)要素
在2020年4月中共中央與國務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》中,明確提出通過推進(jìn)政府?dāng)?shù)據(jù)開放共享、提升社會(huì)數(shù)據(jù)資源價(jià)值、加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)加快培育數(shù)據(jù)要素市場,并引導(dǎo)培育大數(shù)據(jù)交易市場,依法合規(guī)開展數(shù)據(jù)交易,建立健全數(shù)據(jù)產(chǎn)權(quán)交易和行業(yè)自律機(jī)制。
在2021年生效的《民法典》中,未對數(shù)據(jù)權(quán)益的保護(hù)有更多關(guān)注,僅規(guī)定“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的,依照其規(guī)定?!保ǖ?27條)這樣的規(guī)定連原則性的保護(hù)都算不上,只是提供了未來立法銜接開放性的接口。
《數(shù)據(jù)安全法》首次以法律的形式明確了對數(shù)據(jù)權(quán)益的保護(hù),第7條規(guī)定:“國家保護(hù)個(gè)人、組織與數(shù)據(jù)有關(guān)的權(quán)益,鼓勵(lì)數(shù)據(jù)依法合理有效利用,保障數(shù)據(jù)依法有序自由流動(dòng),促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展?!?nbsp;
《數(shù)據(jù)安全法》在第33條中關(guān)于數(shù)據(jù)交易的要求,對數(shù)據(jù)權(quán)益的規(guī)則進(jìn)行細(xì)化:“從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù),應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄?!?/span>
《數(shù)據(jù)安全法》主要關(guān)注的是安全問題,而非權(quán)益問題,但仍然會(huì)成為未來數(shù)據(jù)權(quán)益保護(hù)的重要法律依據(jù)。
數(shù)據(jù)權(quán)益保護(hù)的基本規(guī)則目前仍然主要通過司法案例進(jìn)行提煉,判斷數(shù)據(jù)權(quán)益的邊界。大量關(guān)于網(wǎng)絡(luò)爬蟲、API、賬號共享的司法案例將會(huì)逐漸“凝固”為確定的規(guī)則,并在未來立法工作中予以體現(xiàn)。而這也是法律工作中會(huì)越來越多介入數(shù)據(jù)安全工作的原因之一。
5
《數(shù)據(jù)安全法》中的合規(guī)義務(wù)
從法律的角度,沒有救濟(jì)就沒有權(quán)利,沒有責(zé)任就沒有義務(wù)。因此《數(shù)據(jù)安全法》第六章法律責(zé)任中配備有罰則的義務(wù)也可以被看作合規(guī)的重點(diǎn),主要涉及:
合規(guī)項(xiàng) |
合規(guī)內(nèi)容 |
法律責(zé)任 |
數(shù)據(jù)安全管理制度 |
|
|
風(fēng)險(xiǎn)監(jiān)測與安全事件響應(yīng) |
|
|
重要數(shù)據(jù)保護(hù) |
|
|
核心數(shù)據(jù)保護(hù) |
|
|
數(shù)據(jù)出境 |
|
|
數(shù)據(jù)交易中介 |
|
|
數(shù)據(jù)調(diào)取 |
|
|
境外執(zhí)法機(jī)構(gòu)配合 |
|
|
除了設(shè)定具體罰則的合規(guī)項(xiàng)目,有關(guān)部門如果發(fā)現(xiàn)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的,還可以按照規(guī)定的權(quán)限和程序?qū)τ嘘P(guān)組織、個(gè)人進(jìn)行約談,并要求有關(guān)組織、個(gè)人采取措施進(jìn)行整改,消除隱患。這意味著像《數(shù)據(jù)安全法》第28條這樣要求數(shù)據(jù)新技術(shù)符合社會(huì)公德與倫理這樣的原則性要求,也可能成為監(jiān)管部門關(guān)注的對象,尤其是涉及人臉識別、算法推薦這樣可能會(huì)對人群造成影響的新技術(shù)。
6
向境外司法、執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的限制
關(guān)于禁止向境外提供數(shù)據(jù)的規(guī)定,雖然在此前《國際刑事司法協(xié)助法》等法律中也有規(guī)定,但缺少對法律責(zé)任的設(shè)定,這也就意味著違反了也很難有什么直接的法律后果?!稊?shù)據(jù)安全法》中設(shè)定的最高500萬元罰款讓該法律義務(wù)具有了“獠牙”,威懾力顯著提升。
數(shù)據(jù)出境的相關(guān)規(guī)定主要是從數(shù)據(jù)類型的角度對數(shù)據(jù)的跨境傳輸進(jìn)行了限制。不得向境外執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)主要是從用途的角度對數(shù)據(jù)跨境進(jìn)行了限制。“非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn),境內(nèi)的組織、個(gè)人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)?!?/span>
從該法條的表述來看,僅關(guān)注境內(nèi)的組織、個(gè)人,以及存儲于境內(nèi)的數(shù)據(jù),如果是存儲于境外的數(shù)據(jù)或境外的組織和個(gè)人,則不在管轄范圍之內(nèi)。
換言之,如果境內(nèi)機(jī)構(gòu)自收集伊始就將數(shù)據(jù)存儲在中國境外,或是境外機(jī)構(gòu)所控制的境內(nèi)數(shù)據(jù),向境外提供也無妨?!稊?shù)據(jù)安全法》第36條無疑會(huì)推動(dòng)部分跨國企業(yè)將沒有本地化留存義務(wù)的數(shù)據(jù)直接存儲在中國境外,以規(guī)避第36條的義務(wù)。
該法條的另一個(gè)問題是如何界定境外執(zhí)法機(jī)構(gòu),司法機(jī)構(gòu)相對清晰,就是各國的法院,而執(zhí)法機(jī)構(gòu)每個(gè)地區(qū)都千差萬別。比如當(dāng)?shù)氐亩悇?wù)部門是否算是執(zhí)法機(jī)構(gòu)、因?yàn)橹俨媚芊裣蚝M庵俨脵C(jī)構(gòu)提供數(shù)據(jù),此類問題現(xiàn)階段可能都沒有答案,有賴于與主管機(jī)關(guān)的溝通與交流。
7
數(shù)據(jù)安全法律框架的后續(xù)
《數(shù)據(jù)安全法》的條文很多是原則性的規(guī)定,但仍通過提綱挈領(lǐng)的方式,描繪了未來一段時(shí)間數(shù)據(jù)安全領(lǐng)域細(xì)化規(guī)則與執(zhí)法重點(diǎn)的路線圖:從核心數(shù)據(jù)的提出,到境外執(zhí)法的阻卻,從跨境責(zé)任到數(shù)據(jù)權(quán)益,均是會(huì)一一細(xì)化的內(nèi)容。
在2021年5月的國家網(wǎng)信辦征求意見的《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》就是未來各行業(yè)與領(lǐng)域數(shù)據(jù)安全立法的一種可能的嘗試:細(xì)化重要數(shù)據(jù)目錄、明確報(bào)告內(nèi)容、對跨境提出更為清晰的要求。
對于中外跨國企業(yè)來說,數(shù)據(jù)安全已不再是關(guān)系自身信息安全的“小事”,而是會(huì)直接關(guān)系到國家安全與國家間的對抗。當(dāng)各國執(zhí)法部門給出相左的意見,網(wǎng)絡(luò)與數(shù)據(jù)庫的架構(gòu)、對不同國家(地區(qū))政府命令的遵從與挑戰(zhàn)都會(huì)造成深遠(yuǎn)的影響,進(jìn)而塑造國際間的數(shù)據(jù)規(guī)則。