《中华人民共和国数据安全法》(以下简称 数据安全法)将于2021年9月1日起正式施行,可以预见,数据安全法实施后,相关配套文件将陆续出台,企业数据合规规范和要求将进一步明细。但数据安全法正式实施之前,不代表企业对数据合规“无所作为”。本文将依据数据安全法,聊一聊企业如何理解数据合规,提前做好布局和准备。
1.厘清与数据相关的重要概念
数据:指任何以电子或者其他方式对信息的记录
核心数据:关系国家安全、国民经济命脉、重要民生、重大公共利益等数据
数据处理:包括数据的收集、存储、使用、加工、传输、提供、公开等
数据安全:指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
合规意见:数据安全法监管的数据并非仅指电子数据,还包括其他方式对信息的记录,即非网络空间的数据亦包括在内;另外对数据处理的全流程进行了列举,但并不仅限于列举项,对虽未列举的内容仍应判断是否属于数据处理活动,属于的则受到数据安全法的规制;最后数据安全法对数据安全的定义采用了两标准,包括数据被有效保护和合法利用、具备保障持续安全状态的能力,使得数据安全除时点要求外,还成为动态要求。
2.明确数据安全法的监管范围
境内监管:开展数据处理活动及其安全监管
境外监管:开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的
合规提示:特别注意数据安全法具有一定的域外效力,该条款是目前国际形势下对国家主权和安全保护的必要手段。
3.了解数据安全监管部门
多部门监管:国家网信部+公安机关/国家安全机关+地区部门+行业主管部门
合规提示:数据安全法利用多部门监管模式,实现了横向和纵向的全面管理。另鉴于地区、行业的差异,地区部门、行业主管部门可以根据自身情况,指定地区区、行业的数据监管规范,既尊重了差异性,又能够为数据安全合规带来更具操作性的指引和标准。
4.关注国家数据分类分级保护制度
数据安全法规定,国家建立数据分类保护制度,其中分类分级的两个纬度为:
· 数据在经济社会发展中的重要程度
· 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度
合规提示:数据安全法在分类分级保护制度下提出了核心数据和重要数据的概念,其中核心数据在本文第1条中已经介绍,但重要数据并未在数据安全法中被定义。根据数据安全法规定,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。因此企业应特别关注近期相关国家、所处地区、主管部门、行业所制定的重要数据具体目录,匹配监管要求。
另外国家互联网信息办公室《数据安全管理办法(征求意见稿)》中对重要数据进行了定义,该定义可以作为目前重要数据评估的参考依据。即重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
责任提示:违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
5.特别威慑力的数据安全审查制度
启动安全审查的情形:对影响或者可能影响国家安全的数据处理活动;
审查范围和重点:是否存在影响或者可能影响国家安全的数据活动;
特别威慑力:依法作出的安全审查决定为最终决定。
合规提示:安全审查决定为最终决定,意味着企业没有救济途径,因此事前合规则显得尤其重要。另外,数据安全法未对数据安全审查流程等进行规定,类比《网络安全审查办法》,预计相关部门会出台《数据安全审查办法》等类似规定,企业注意新规动向。
6.落实安全保护义务
企业应落实等安全保护义务包括:
· 建立健全全流程数据安全管理制度
· 组织开展数据安全教育培训
· 采取相应的技术措施和其他必要措施
· 加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施
· 发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告
· 网络安全等级保护制度(利用互联网等信息网络开展数据处理活动的)
重要数据处理企业,还应履行如下保护义务:
· 明确安全负责人和管理机构,落实数据安全保护责任
· 定期开展风险评估,并向有关主管部门报送风险评估报告,报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等
合规提示:企业应围绕上述数据保护义务,建立系列数据保护制度,落实流程、明确岗位职责等。
责任提示:由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
7.注意数据出境合规义务
(1)重要数据出境合规
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据,适用《中华人民共和国网络安全法》,即应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
合规提示:依据《中华人民共和国网络安全法》,关键信息基础设施是指对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
企业应据此评估自身是否属于关键信息基础设施运营者,属于的则在数据出境前进行安全评估,不属于关键信息基础设施运营者,应保持关注出境安全管理办法的规范出台情况,匹配合规要求。
责任提示:违反规定向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
(2)司法协助中的数据出境合规
非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
合规提示:建立内部制度,落实向外国司法或者执法机构要求提供境内数据前,须经国家主管部门批准的程序、流程等合规要求。
责任提示:未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
(3)数据出口管制制度
出口管制范围:与维护国家安全和利益、履行国际义务相关的属于管制物项的数据。
合规提示:企业应做好数据是否属于管制物项的评估和自查,只要按照出口管制的规则判定该数据属于管制物项,均须接受出口管制。
8.数据交易中介的义务
数据交易中介除应注意是否应当取得许可外,还应落实如下义务:
· 要求数据提供方说明数据来源
· 审核交易双方的身份
· 留存审核、交易记录
合规提示:数据交易中介应围绕上述义务,建立系列制度,明确岗位职责并落实制度执行。
责任提示:由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
9.数据处理活动的整体合规要求
数据安全法明确,窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
合规提示:企业应结合自身经营,围绕数据处理全周期的活动,开展数据处理活动的合规性体检,排查风险并及时纠正。
责任提示:有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
涉及其他法律法规规定的,按照所涉法律法规处罚。