CN English中文ItalianoFrançais

《数据安全法》的亮点解读及处罚风险识别

发布日期:2021-06-16 18:25:52浏览:






广悦律师事务所重磅推出的关于金融、财经领域法律服务的栏目,由银行与金融团队研究总结刊发。专栏内容包括重大疑难金融借款纠纷、信托纠纷、保理纠纷、汇票纠纷、不良资产处置、投融资并购交易,以及金融企业风险控制及处理等各个方面。


广悦律师事务所银行与金融团队业务领域全面覆盖华南地区,并辐射到西南、华东、华中、华北及东北地区,现服务或曾服务的客户类型涵盖商业银行、全牌照金融控股集团、互联网金融企业、资产管理公司等,多年来为多家商业银行及其他金融机构提供定制化、精品化、全方位的金融法律服务。



前言:

2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)由第十三届全国人民代表大会常务委员会第二十九次会议通过。这是我国第一部关于数据安全的专门法律,前后历经三次审议与修改,将于2021年9月1日正式施行。


一、《数据安全法》的亮点解读



2020年,我国先后发布了《关于构建更加完善的要素市场化配置体制机制的意见》、《关于新时代加快完善社会主义市场经济体制的意见》等相关文件,明确将数据列为土地、劳动力、资本、技术之后的第五大生产要素并强调要加快数据要素市场的培育。提出加快数据要素市场培育,加强数据资源整合和安全保护。《数据安全法》响应《意见》,将数据要素的发展与安全加以统筹,其功能不仅体现于对数据处理活动的规范和对数据安全的保障,还体现于对数字经济产业的促进功能《数据安全法》的优越性在于面对日新月异的数字经济产业时,不脱离产业发展来保障数据安全,用产业发展和数据安全保障“两手抓”的方式来规避法律本身的滞后性


(一)数据安全与产业发展方面

1、确立数据安全与产业发展的关系。


《数据安全法》第十三条规定,国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。


追求产业的发展离不开安全制度的保障,但安全制度又需要在产业的不断发展中结合具体问题加以完善。由此,《数据安全法》贯穿了“安全与发展”的理念,要求构筑好数据安全基石的同时,也要坚定不移地抓数据开发及产业发展。


2、推进数据安全的技术研究及标准体系建设


《数据安全法》第十七条规定,国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。


数据安全的推进离不开标准化的支撑。数据安全相关标准能够引导及规范有关部门的数据安全工作,亦能够引导相关企业去制定、完善自己的数据安全制度。可以预见,未来国家还将制定、推出一系列关于数据安全的标准。另外,国家也支持企业等组织机构参与标准制定,相关企业可把握机会参与到有关标准的制定中,以此增强企业核心竞争力。


3、推进数据安全检测评估、认证等服务的开展


《数据安全法》第十八条规定,国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。


作此规定的原因在于:第一,若数据安全的检测评估、认证全部依靠政府部门完成,则政府的工作压力及成本颇高,促进该类服务发展能够缓解政府压力;第二,符合“数据安全、产业发展两手抓”的原则,首先发展数据安全检测评估、认证等服务产业,在该类产业发展过程中,当下未发现的数据安全问题将会浮出水面,并进一步指引着数据安全制度的完善。


4、建立数据交易管理制度及培育数据交易市场


《数据安全法》第十九条规定,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。


数据若能交易,其价值将得到显著提升,《数据安全法》出台之前,尚未有法律明确支持数据交易。本条规定释放了强烈的信号——在数据来源合法且安全保护到位的前提下,国家允许数据交易行为。可预见后续国家还会建立相应的数据交易管理制度,进一步厘清数据权属、可交易数据的范围、形式等问题。



(二)数据安全制度方面

1、数据分类分级保护制度、区分国家核心数据


《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。


本条规定中,首先设立了数据分类分级的评定标准:①数据在经济社会发展中的重要程度;②数据遭不法分子破坏、获取时所造成的危害程度。其次是提出国家核心数据(正式稿新增)采取更严格的管理制度,但在本法中尚未明确其具体管理制度,后续国家应该还要就国家核心数据的管理制度另行制定配套法规。


2、重要数据目录及重要数据具体目录的制定


《数据安全法》第二十一条同时规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护;各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。


本条所述数据目录,其制定目的在于确保重要数据得到应有保护。而区分重要数据目录和重要数据具体目录,其意义则在于:①在国家制定的重要数据目录下,可形成重要数据认定的统一标准;②地方政府部门根据前述统一标准并结合地方实际情况将相关数据纳入具体目录,并按具体目录进行地方的数据管理及保护。


3、国家建立数据安全风险评估、报告、信息共享、监测预警机制,以及应急处置机制。


《数据安全法》第二十二条规定,国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。


《数据安全法》第二十三条规定,国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。


第二十二条规定主要针对数据活动的事中风险防范。建立数据安全风险评估→报告→信息共享→监测预警机制,从前端的安全风险评估界定相关数据的安全风险等级,并将相关的评估结果报告有关主管部门,当一类数据可能涉及多个主管部门时,保证风险评估结果在多部门间甚至行业间的信息共享,再由相关区域、相关主管部门进行持续性监测,当风险达到一定程度,可能造成数据泄露或其他危害结果时进行及时预警。


第二十三条则是针对数据活动的事后风险应对,即在风险识别基础上确立了数据安全应急处置机制。其结合前条规定,实现了全链条、持续性、高效率的数据安全保障目的。


4、国家建立数据安全审查制度


《数据安全法》第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。


首先,数据安全审查制度的审查重点在于“是否影响或者可能影响国家安全”。其次,明确“安全审查决定为最终决定”,即数据安全审查的决定一经作出即生效。那么不服决定的当事人能否申请救济?这一点在本法中暂未明确,有待后续配套法规加以规定。最后,《数据安全法》尚未对数据安全审查的审查主体、流程、内容等方面作具体规定,后续有关部门应该会专门针对该审查制度来制定配套的法规。


二、企业面临的处罚风险识别



(一)《数据安全法》的处罚要点归纳


《数据安全法》第六章“法律责任”中共有九条规定,其中五条包含具体明确的行政处罚规则,总体而言处罚力度较大,能够对相关组织、个人产生足够的震慑力。


处罚对象而言,包括开展数据处理活动的组织、个人以及组织中直接负责的主管人员和其他直接责任人员。


处罚的违法内容而言,包括不履行规定的数据安全保护义务、违反国家核心数据管理制度、违法为境外提供重要数据、数据中介机构未核实数据来源、拒不配合公安及国安机关调取数据、未经批准向外国司法或者执法机构提供数据。


处罚措施而言,包括责令改正、没收违法所得、警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。


处罚标准而言,罚款金额的上限为一千万元,可能面临该“顶格”处罚的违法行为包括违反国家核心数据管理制度(危害国家主权、安全和发展利益)、向境外提供重要数据(情节严重)。同时,对于直接负责的主管人员和其他直接责任人员,其可能面临的罚款金额亦不低,上限达一百万元。



(二)企业或面临的处罚风险


《数据安全法》的调整对象不仅包括国家机关,也包括社会企业在内的非国家机关主体。从本法规定的罚则来看,企业在数据处理的相关业务中若未遵循下列义务,则可能面临相应的行政处罚。(对应处罚条款详见《数据安全法》处罚对照表)


1、建立全流程数据安全管理制度


《数据安全法》第二十七条规定,进行数据处理活动的组织应依据相关法律法规建立全流程的数据安全管理制度。


结合本法对数据处理的定义,此处的“全流程”包括数据的收集、存储、使用、加工、传输、提供、公开等环节,故企业建立的数据安全管理制度应当覆盖所述全部环节。


2、开展数据安全教育培训


《数据安全法》第二十七条规定,开展数据处理活动应当组织开展数据安全教育培训。


企业在建立健全数据安全管理制度的基础上,应当针对该制度对员工进行教育培训活动,帮助企业员工了解数据安全管理的法律法规、数据安全保护制度的运行模式、具体情境下的操作流程等。


3、采取相应的技术措施和其他必要措施来保障数据安全


《数据安全法》第二十七条规定,开展数据处理活动应当采取相应的技术措施和其他必要措施。


此处“相应的技术措施”和“其他必要措施”具有解释的空间,在认定企业是否未履行本义务时,可能会针对不同企业的业务内容及所处理数据的类别、等级等因素来进行考量。例如,若企业在日常业务中会获得大量包含个人信息的数据时,企业应严格防止此类数据的泄漏,相应的,企业在数据处理过程中,便应采取数据加密等常规性数据保护技术措施,在发生数据泄漏事件后,还应采取设备冻结、系统修复等防止事件恶化的必要措施,否则将被认为未履行本条所规定义务。


4、遵守网络安全等级保护制度


《数据安全法》第二十七条规定,在利用互联网等信息网络开展数据处理活动时,应在遵守网络安全等级保护制度的基础上履行上述数据安全保护义务。


此处的“网络安全等级保护制度”是我国《网络安全法》规定的基本制度。因此,企业在履行《数据安全法》规定的义务的同时,还应遵守《网络安全法》及《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)等标准体系的规定。


5、建立数据安全的风险防范机制及数据安全事件的应对机制


《数据安全法》第二十九条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。


本条规定要求企业具有自己的数据安全风险防范机制及数据安全应急处置机制,在发现数据安全漏洞等风险时及时补救,在发生数据安全事件时及时处置并告知用户和有关部门。企业可参照前文对《数据安全法》规定的“安全风险评估、报告、信息共享、监测预警机制”及“应急处置机制”的解读,结合企业自身特点来构建“事中”到“事后”的数据安全风险防范及应对机制。



6、作为重要数据处理者定期开展风险评估及向有关部门报送风险评估报告


《数据安全法》第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。同时规定,风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。


本条规定了重要数据处理者的应尽义务:①定期开展风险评估;②报送评估报告。首先,确定的义务主体为“重要数据”处理者,结合重要数据目录制度来看,企业需要根据重要数据目录及重要数据具体目录来确定自己是否为本条规定的义务主体。其次,结合《数据安全法》对“数据安全检测评估服务”行业的支持态度来看,风险评估可以由重要数据处理者自行完成或是由数据安全评估专业机构来完成。最后,本条规定对评估报告的内容加以明确,企业在自行制作或委托他人制作该报告时,应注意报告中必须包含处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等内容。


7、向境外提供重要数据时须遵守重要数据的出境安全管理办法


《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。


关于“关键信息基础设施”,《网络安全法》首次明确了其原则性范围[1],即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业领域以及其他遭到非法利用可能造成严重危害的关键信息基础设施。若企业属于前述基础设施的运营者并准备向境外提供重要数据的,应适用《网络安全法》的规定。同时,本条明确非关键信息基础设施的运营者亦须遵守有关部门制定的管理办法,则企业若非关键信息基础设施的运营者,也应当关注后续配套的有关数据出境的管理办法。


关于出境的数据范围,本条明确了需遵守管理办法的出境数据为“重要数据”,那么国家核心数据和一般数据的出境是否有限制?关于国家核心数据,《数据安全法》明确其相较重要数据适用更为严格的管理制度(相关配套法律法规尚未出台),同时国家核心数据是关系到国家安全、国民经济及重大公共利益的一类数据,因此我们推断对其的出境将由更为严格的管理办法加以限制。而就非重要数据也非国家核心数据的一般数据而言,《数据安全法》则并未加以限制。因此,企业在进行数据出境活动时,必须要明确数据属于一般数据、重要数据或者国家核心数据,进而确定所需履行的义务。

[1]《中华人民共和国网络安全法》第三十一条规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国际民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。


8、作为数据交易中介机构须核实数据来源


《数据安全法》第三十三条规定,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。


本条规定强调数据交易中介的数据来源审核义务,要求数据交易中介机构应尽如下义务,即说明数据来源、审核身份、留存审核及交易记录。


9、是否拒不配合数据调取或未经批准向外国司法、执法机构提供数据


《数据安全法》第三十五条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。


《数据安全法》第三十六条规定,中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。


第三十五条明确在我国公安、国安机关在需要调取数据时,有关组织或个人需依法配合,拒不配合的将面临处罚。因此,企业应当明确,在公安及国安机关基于需要调取数据时,应充分予以配合。但在数据调取前,企业应要求相关机关出示批准证明,以防不法人员通过诈骗而获取企业重要数据。


第三十六条明确向境外司法机构或执法机构提供境内存储的数据需经主管机关批准。因此,若出现境外司法机构或执法机构要求提供数据,企业应当及时报告有关主管部门,未经批准不得将数据提供。


《数据安全法》处罚对照表:



结语:

《数据安全法》的出台吹响了建立健全数据安全法律法规体系的号角,从宏观层面敲定框架、锁定方向、点明重点,将从法律层面引领数字经济产业的健康发展,也将为数据要素市场化体制机制的培育与发展保驾护航。


声明

本微信文章仅为交流探讨之目的,不得视为广悦律师事务所或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。

分享到:

  • 免责声明
  • 隐私保护
  • 网站地图

Copyright 2020 广东广悦律师事务所. All Rights Reserved. 粤ICP备13002423号-2 Designed by Wanhu