2021年6月10日《中华人民共和国数据安全法》(以下简称“《数安法》”)正式公布,并将于9月1日生效。这对于作为我国国家战略的数字经济,在法制保障方面迈出了重要的一步。
《数安法》出台后,彭博社在报道中指出,数据合规将面临越来越繁重的合规压力。合规,从字面上看,就是符合规定,而这个“规定”在实践中包含了国家法律、行业规范、国际规则以及自身的规章制度等,以使企业自身的经营不受行政处罚、刑事处罚、行业制约、国际组织的制裁等。随着数字经济的兴起与发展,数据合规在合规体系中占据重要地位,笔者将根据《数安法》第六章法律责任的九条规定,试从以下三方面解读《数安法》对数据合规提出的要求。
一、制度,制度,制度。
首先,数据处理者的核心义务是保障数据安全。《数安法》第四十五条指向了第二十七条、第二十九条、第三十条规定的数据安全保护义务,其中涉及的无论是管理制度、等保制度、DPO(数据保护官)制度,还是培训教育、应急措施、风险评估,都是组成整个数据安全体系的一部分,可以说其核心就是制度。
关于二十七条是要求建立健全全流程数据安全管理制度,其重点就在于建立健全。建立是要求从无到有,健全是要求从有到全,全就是全流程,是能覆盖数据的收集、存储、使用、加工、传输、提供、公开等环节的,而每一个环节都应当有配套的制度或者整个制度能覆盖每一个环节。但是可以看到二十七条并没有冠以“有效”之类的定语,由此可见,对于目前管理制度“有没有”很重要,“行不行”次之,在有了之后再根据实际运行的情况进一步调整完善也是一种选择。事实上,从目前的立法现状来看,在摸索中不断完善也是企业对数据合规监管要求的务实之举。
关于二十九条加强风险监测、预设应急措施等可以视为是数据安全方面的风险等级保护制度要求。参考《中华人民共和国网络安全法》(以下简称“《网安法》”)促使等级保护2.0的全面展开,《数安法》的实施也将会促使数据安全等级保护的出台,届时有合规需求的企业可以根据自身的实际情况对所涉数据进行分级保护,而在眼前还是要如上所述,先练好内功,制订起相应的管理制度,以应对当下的监管要求。
关于三十条是对重要数据处理者进行常态化风险评估的要求。重要数据、核心数据的识别是《数安法》出台前后都一直被关注的话题。根据该法二十一条的规定,建立数据分类分级制度是国家对于数据安全制度的第一要务,目前对于数据重要性的考量主要是从数据的保密性、完整性、可用性三个方面进行,而对于其风险评估的相关要求相信也将陆续出台,这将与前述的DPO制度、等级保护制度等规定共同构成完整的国家数据保护体系。
其次,《数安法》的第四十五条、第四十七条分别指向了三十一条和三十三条,其涵盖了一老二新的三项制度。
关于三十一条是规定在数据出境的场景中,对于关键信息基础设施所涉的重要数据适用“老”办法,即《网安法》第三十七条进行安全评估的相关规定。而对于非关键信息基础设施的重要数据将有新办法出台。随着《出口管制法》将数据纳入管制物项,企业在对外贸易时需要开始重视各类数据的出境合规。
关于三十三条是对于数据交易中介机构的要求。数据作为新的生产要素,其价值已经越来越重要,数据的流通能大大提高各行业效率,我国多个地区均已建立数据交易的中介机构,而各地政府部门、专业机构对于新制度的制订也在如火如荼地展开。
最后,对于《数安法》第四十四条、第四十八条、第四十九条可以解读为在数据安全领域对于政府部门的制度要求,由于其主体的特殊性,笔者将在后文进行详细解读。
二、罚款不是目的
《数安法》第四十五条至四十八条规定的法律责任包括行政责任和刑事责任。总体看来,虽然罚款不多,但其他处罚措施不可谓不严。
首先,关于行政责任,对于企业和主管人员和其他责任人员都将予以处罚,处罚的形式包括警告、责令改正、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、罚款。《数安法》对于企业的罚款最高是1000万元或违法收入的10倍,对个人罚款最高是100万元。单从罚款的金额来看,相比《中华人民共和国个人信息保护法(草案)》的5000万元或GDPR的2000万欧元来看,还是相对较低的。但对于企业来说,相对于罚款,更需要的是开发与持续占有市场、保持良好的商业形象,国际国内市场的准入资格,而暂停其相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等行政处罚,对企业来说将是更为严重的打击。
其次,关于刑事责任,主要是第四十五条第二款,该规定已将违反国家核心数据管理制度与危害国家主权、安全挂钩,根据《刑法》第二编第一章危害国家安全罪的12条规定,所涉罪名包括背叛国家罪、分裂国家罪等12个罪名,其中尤以间谍罪、为境外窃取、刺探、收买、非法提供国家秘密、情报罪最易在规定中适用。作为涉及核心数据处理的企业、政府部门以及相关人员必须要加强数据保护的意识,扎紧篱笆,严格执行管理制度,以防止国家利益受损。
最后,对于政府部门工作人员的违法行为,《数安法》第四十九条、第五十条也对不同的行为作出适用行政处分的规定。
三、有关部门
从上述四十四条、四十八条、四十九条、五十条规定,都体现了《数安法》对于政府部门的要求和规定。从四十四条的政府监管角度来看,对于负责数据安全监督职责的主管部门依法履职的一般形式是约谈和要求整改,其中涉及两个问题:一是履职的主体,即常见于舆论的“有关部门”;二是有关部门的履职的权限和程序。
对于第一个问题的“有关部门”,《数安法》第六条作出了相关的规定,由于数据存在于社会生活的各个方面,其全面性和复杂性使得数据安全的责任主体几乎覆盖了国家的全部地区、部门和行业,各行政部门均不可避免得成为职务范围内的《数安法》的“裁判员”。关于第二个问题,就是各级地方政府部门、各行业主管机构都应当了解掌握《数安法》,制订相应的规章制度,明确其在履职时所涉及的数据处理各个环节的权限与程序,由此可见,有关部门也是《数安法》“运动员”。因此,政府各级单位都需要未雨绸缪,根据《数安法》的规定,既要尽快建立起本单位本部门的数据安全管理制度,也要制订好依法履行监管职责的权限与程序。
最后,在本文收尾之时,忽闻国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。前不久,该国内最大的网约车平台公司全部应用均被下架,这与其在美国上市引起的数据安全问题密不可分,其或将成为数安法生效后的首批法律责任的适用对象。而近期国家网信办对《网络安全审查办法》的修订、工信、网信、公安三部门的《网络产品安全漏洞管理规定》接连出台,对于数据安全可谓山雨欲来,对于数据之争已拉开序幕。
作者介绍
王兴华
道朋律师事务所 合伙人
王兴华,上海道朋律师事务所合伙人。曾在某中外合资网络公司从事法务工作,2006年起从事专职律师工作,现任上海市律师协会企业法律顾问业务委员会委员。王兴华律师在民商事诉讼及企业非诉事务,包括但不限于:公司法、合同法、劳动法、物权法、电子商务、房产物业等领域耕耘多年,有着丰富的代理经验。现任多家企业常年法律顾问、参与多个政府部门购买法律服务项目。
END
招聘职位:律师 (若干)
工作地点:上海市
职位描述:
1. 持有中华人民共和国律师执业证书。
2. 为人正直、品行端正、热爱律师职业,有较强的责任心和团队合作意识,工作认真细致,务实勤奋。
3. 良好的文字处理、口头表达能力以及沟通协调能力,能够独立办案。
有意者请将简历按照以(附件)形式,发送至邮箱:
service@daopenglawyer.com
长按二维码了解更多详情