数据安全月|《数据安全法》让数据正向为企业赋能

摘自奈特瑞官方公众号 2021年09月10日

《数据安全法》经第十三届全国人大常委会第二十九次会议通过并正式发布,于2021年9月1日起施行。

《数据安全法》经第十三届全国人大常委会第二十九次会议通过并正式发布,于2021年9月1日起施行。

作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成,《数据安全法》的出台有着深刻的时代背景和现实意义,是对当前数据安全内外部形势的回应,是护航数字经济发展的重要举措,开创新时代中国数据安全治理新局面。

《数据安全法》共七章55条,分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则等章节。

《数据安全法》坚持总体国家安全观,明确我国数据安全治理采取最高决策、协同治理的顶层设计。增加了企业的安全责任,为实现合规,企业需要针对数据保护增加成本,规避风险。立法并非针对某一类企业,凡涉及数据处理的企业均在这部法律的调整范畴之内。现实中,一些企业因为信息化程度高,或业务事关国计民生,或存在跨国经营等情况,对于该法的反应更为敏感,对相应的合规条款也更为关切。

我们对《数据安全法》进行深入解读后,为大家提炼出七大要点。

1.明确数据安全监管的工作协调与统筹机制

《数据安全法》正式稿新增了由中央国家安全领导机构“统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制”的表述,明确由中央国家安全领导机构负责数据安全工作的决策和协调、国家网信部门统筹网络数据安全监管工作,由工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域的数据安全监管职责,由公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。

目前,我国数据领域监管工作由中央网络安全和信息化委员会与国家互联网信息办公室进行全面的统筹协调,中央和地方市场监管部门、工信部门和公安部门,以及相应的行业主管部门分管不同领域的数据安全。总体而言,《数据安全法》的数据安全监管思路基本延续了我国此前数据监管和执法实践中的工作思路。

2.建立“数据分类分级保护制度”,明确“国家核心数据”管理制度

《数据安全法》第二十一条规定,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”,“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”。

此外,《数据安全法》第二十一条相较二审稿还新增了“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”的条款,这一修改凸显了《数据安全法》以维护国家安全和网络空间主权为根本的基调,可知“国家安全、国计民生、公共利益”同样会是判定“国家核心数据”的重要因素。

3.网络安全等级保护制度与数据安全保护制度的衔接

《数据安全法》第二十七条相较二审稿新增了“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”的规定。这一条款要求数据处理者“在网络安全等级保护制度的基础上”开展数据安全保护工作,一方面强化了网络安全等保制度在数据安全保护要求中的基础作用,另一方面也体现了数据安全保护制度与《网络安全法》的衔接。

网络安全等级保护制度的要求见于《网络安全法》第二十一条,明确规定国家实行网络安全等级保护制度,并对网络运营者提出了履行安全保护义务的具体要求,包括“采取数据分类、重要数据备份和加密等措施”以“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。此外,《网络安全法》第五十九条明确了违反网络安全等级保护制度要求的法律责任,包括责令改正、警告、罚款等。此次《数据安全法》的规定再次体现了等保制度是网络安全领域的基础性制度之一,并与数据安全保护制度相互衔接。因此,相关企业应按照《网络安全法》及“等保2.0”系列标准要求,积极落实网络安全等级保护制度,尽快进行等级保护测评、整改和备案工作。

4.明确重要数据出境安全管理制度

《数据安全法》第三十一条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

一方面,这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理应适用《网络安全法》第三十七条提出的“一般情形+例外规定”,即关键信息基础设施的运营者因业务需要,确需向境外提供重要数据的,一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。

5.严格规制面向境外司法或者执法机构的数据出境活动

《数据安全法》第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”这一条款制定的背景是近年来数据管辖权冲突日益激烈的国际环境。《数据安全法》的规定再度明确了我国对境内数据的管辖权,充分体现了我国维护数据主权和国家安全的决心。值得一提的是,《数据安全法》还特别明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款、以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也使得企业在对抗境外执法或司法机构可能的数据调取要求时,拥有了可援引的有力的法律规则。

6.对政务数据的相关规定

《数据安全法》设立专章“政务数据安全与开放”,首次对政务数据的安全监管思路做出了总体规定。其中,第三十七条对政务数据质量提出科学性、准确性和时效性要求;第三十八条对政务数据的采集和使用作出合规性规定;第三十九条对建立政务数据安全管理制度作出强调;第四十条提出对政务数据加工、存储等外包服务要制定严格的审批流程;第四十一条和第四十二条提出政务数据开放的规范性要求。

但是,《数据安全法》对于“政务数据”的内涵与外延并未做出明确的规定,只是在相关条文表述上将“国家机关”作为义务主体,并且在第四十三条中规定了“法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。”依据北京、上海、浙江等地公共数据管理相关政策的规定,公共数据通常是指是指各级行政机关以及具有公共管理和服务职能的事业单位在依法履行公共管理和服务职责过程中,产生、处理的各类数据。实践中,各类与政府进行合作开展数据平台建设并对相关数据进行商业化开发的企业,在经营过程中很可能涉及政务数据或公共数据的处理活动,应当特别关注《数据安全法》明确提出的对于政务数据的合规要求。

7.明确数据处理活动不应排除、限制竞争

《数据安全法》第五十一条规定,“窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。”这一规定将数据处理活动与《反不正当竞争法》、《反垄断法》等法律法规的规定相结合,体现了我国对数据安全的综合监管思路。

在数字经济蓬勃发展的今天,数据正成为企业关键的生产要素,于国家而言,也是具有战略价值的核心资产。一家企业从数字化到智能化的转型过程,本质是对数据的积累、挖掘以及价值释放。新法增加了企业的安全责任,为实现合规,企业需要针对数据保护增加成本,规避风险。

《数据安全法》作为数据安全管理的基本大法,给我们指明了方向和提供法律保障。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。

我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化,提升社会数据资源价值,移动互联网时代下,数据承载的价值越来越高,数据面临巨大的威胁,监管部门出台相关法律法规,对数据从业者提出了相关要求,也明确了监管机构的责任。公安机关作为监管单位,将依法履职尽责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。相信随着《数据安全法》的出台、落地实施,数据资源将会迸发出更强的活力。