引言
新设国家核心数据管理制度,增加保障弱势体正当需求的条款,建立国家层面的数据安全工作协调机制,增加国家机关在履职中对数据的保密义务,加大违法行为处罚力度。《数据安全法》监管思路已跃然纸上,企业未来合规工作的重点方向已明。考虑到从颁布到正式实施不到三个月的准备期,企业需要尽快理解法律规定的义务,对比查企业的合规差距,立即实施合规整改。此前我们持续跟踪《数据安全法》的立法进程,针对《数据安全法》(草案)及《数据安全法》(草案二审稿)分别进行了详细的解读。[1]本文将从《数据安全法》正式生效后企业应当满足何种合规义务,如何通过合规工作满足法律要求,降低合规风险,为企业提供可理解、可操作、可落地的《数据安全法》落地建议。 一.
《数据安全法》明确七大合规义务
作为我国“数据安全领域的基础性法律”,《数据安全法》重点关注数据安全保障制度方面的建设,包括:数据分类分级保护、重要数据保护、国家核心数据保护、数据安全风险预警机制、数据安全应急处置机制、数据国家安全审查机制等。上述制度建设看似多为自上而下的“顶层设计”与“制度构建”,然而其背后却 蕴含着企业应遵守的法律义务,对企业的合规工作影响重大。对于企业而言,《数据安全法》的以下方面尤其值得关注:
合规义务一:数据分类分级保护
《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”
实际上,数据分类分级保护的监管思路并非在《数据安全法》中首次提出。在此前的立法实践中,诸如《工业数据分类分级指南(试行)》、《证券期货业数据分类分级指引》、《个人金融信息保护技术规范》等部委指引性文件及行业标准,对特定行业的数据分级分类具体标准进行了一些有益的尝试。
《数据安全法》中的数据分类分级保护与此前立法中出现的数据分级分类保护相比,有相似之处,但又有显著的区别。在评定要素上,二者均将“保护对象遭到篡改、破坏或非法获取”等行为所产生的危害程度作为原则性标准,体现了监管思路的一致性。然而,在分类主体方面,此前立法中出现的数据分级分类保护制度均要求所规范主体开展数据分类分级,而《数据安全法》则以监管机构的视角,对不同类型数据采取不同的监管措施和法律要求,即“国家建立数据分类分级保护制度”。此种“自上而下”的监管路径,更有利于从国家层面明确所需维护的国家和公共利益、个人合法权益,判断其是否得到充分的保护,
也有利于统一的管理和监督工作。对于企业来说,自然应当遵循此种数据监管的新路径,开展自身数据分类
分级工作,或将已有的分类分级体系与国家行将出台分类分级保护制度进行有机衔接。
合规义务二:重要数据与核心数据保护
《数据安全法》第二十一条还规定了国家核心数据及重要数据的保护制度。
重要数据制度中,区分了重要数据目录和重要数据具体目录。重要数据目录由国家数据安全工作协调机制统筹协调有关部门制定,形成国家级的重要数据目录;而各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。
国家核心数据为本次《数据安全法》正式稿中新增制度,其重要程度及保护严格程度将高于重要数据。此次《数据安全法》虽未规定国家核心数据的具体管理义务,但已明确提出将对其实施更加严格的制度化管理。可以预见,有关部门将针对国家核心数据制定配套的法规,进一步加强管理。
自《中华人民共和国网络安全法》(以下简称“《网络安全法》”)生效后,重要数据的范围、识别和流动监管,一直是业界关注的焦点问题。《数据安全法》一方面通过“重要数据保护目录”的方式来明确重要数据的范围,另一方面围绕重要数据保护提出了全方位的监管要求,包括数据安全负责人和管理机构
的设置、定期开展风险评估并发送风险评估报告、重要数据出境安全管理等。企业所处理的数据一
旦纳入重要数据保护目录的范畴,则上述管理要求就将转化为企业所必须遵守的合规义务。
重要数据的保护也体现了中央事权与具体地方、部门管理权限之间的合理协调。《数据安全法》明确将“确定重要数据目录”一项纳入中央事权范畴,有助于从宏观层面把握重要数据的监管方向,形成重要数据认定统一标准;同时也赋予各地区、各部门细化确定本地区、本部门以及相关行业、领域的重要数据具体目录的权利,使得重要数据的认定能够与具体区域、领域的实际情况有机结合,确保真正重要的数据被纳入目录中,得到有效保护。
合规义务三:数据跨境流动的合规义务
《数据安全法》第十一条明确了国家促进数据跨境安全、自由流动的基本态度,第二十五条、二十六条、三十一条、三十六条等条文则对数据跨境流动作出了明确规定。
数据跨境流动一直是国家立法、执法所关注的重点。《网络安全法》对重要数据及个人信息的跨境流动做出了原则规定。而作为数据安全领域的基础性法律,《数据安全法》自然也不会回避这一重要问题。
整体来看,《数据安全法》明确了国家将积极开展数据领域国际交流与合作,促进数据跨境安全、自由流动。由此我们可以看出国家对于数据跨境流动问题的基本态
度,即鼓励一般数据的跨境流动,重点监管个人信息及重要数据的跨境流动。如企业确有需要进行个人信息和重要数据的出境,则需遵守《网络安全法》、即将出台的《中华人民共和国个人信息保护法》(“以下简称《个人信息保护法》”)及《数据安全法》所明确的合规义务。
与此同时,《数据安全法》把属于管制物项的数据纳入了出口管制对象。出口管制是指对物项的出口采取禁止或者限制性措施,以达到对该物项的使用主体或者用途进行控制的目的。2020年新修订的《中华人民共和国出口管制法》(以下简称“《出口管制法》”)中即将“与物项相关的技术资料等数据”也被纳入了出口管制的范围。此次生效的《数据安全法》顺延该思路,对与履行国际义务和维护国家安全相关的,属于管制物项的数据依法实施出口管制,明确了出口管制在数据活动中的适用。《数据安全法》和《出口管制法》都将管制物项的数据纳入了出口管制对象,足以体现国家对于关键领域的特殊数据出境管理从严的决心。一旦待出境数据落入物项出口管制清单,需要向国家出口管制管理部门提出申请许可后才能进行数据出境。
对于重要数据而言,如前所述,《网络安全法》对于关键信息基础设施运营者规定了重要数据出境的事前安全评估的要求。而《数据安全法》衔接了这一制度,明确关键信息基础设施运营者在境内运营中收集和产生的重要数据出境问题仍适用《网络安全法》的有关规定,同时还增加规定了其他数据处理者对于重要数据出境同样负有安全保护义务,应当遵守国家网信部门会同国务院有关部门制定的管理办法。这一规定,填补了非关键信息基础设施运营者的其他主体在向提供重要数据时
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议