环球律师事务所
对于企业在《数据安全法》项下的合规义务,可以区分为一般企业的合规义务以及处理重要数据的企业的额外义务。
(一)一般企业的合规义务
1. 明确企业自身所控制的受规制数据
如前所述,《数据安全法》所规制的数据极为广泛,不仅包括电子的数据,还包括其他形式的数据,例如员工填表所得的数据。因此,企业首先需要明确企业自身所受《数据安全法》约束的数据范围,并在“数据”这一基本类型的基础上,识别除《数据安全法》外是否须额外受《网络安全法》、日后出台的《个人信息保护法》的规定。
2. 确保数据收集的合法、正当与必要性
根据《数据安全法》第三十二条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的, 应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。除了直接收集外,企业需要特别注意从第三方间接收集数据时,也需要核实第三方数据来源的合法性、正当性,例如进行前期安全尽调、要求第三方签订承诺书、保证书等,并审查自身获取数据是否符合必要性要求。
未能履行合法、正当、必要收集数据要求的企业,则根据《数据安全法》第五十一条的规定,窃取或者以其他非法方式获取数据,开展数据活动排除、限制竞争,或者损害个人、组织合法权益的,按照有关法律、行政法规的规定处罚,从而进一步援引至《网络安全法》、《刑法》、《反垄断法》以及未来出台的《个人信息保护法》等规定。
3. 数据中介服务机构确定交易主体与交易合法性
根据《数据安全法》第三十三条的规定,从事数据交易中介服务的机构在提供服务时,应当要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。《数据安全法》本身并没有对何为“数据交易中介服务”的定义进行规定,我们结合相关实践,初步分析可能是指《信息安全技术 数据交易服务安全要求》中的“数据交易服务平台”(例如上海数据交易中心等提供数据交易平台的企业)等企业。对于此类企业,根据《数据安全法》的规定,需要数据交易一方说明数据来源,审查交易双方的主体身份以及过往是否存在违规交易记录,并对交易记录进行留存。未能按照《数据安全法》要求进行交易数据提供方的背景审核、记录留存的,则根据《数据安全法》第四十七条的规定,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
从落地的角度来说,“数据交易中介服务”概念(例如是否支持民营企业做成数据交易中介等)、交易记录留存时间等尚未明确规定,可能对实践带来一定的障碍,建议相关企业密切关注相关配套法规动态,以便完成相关合规举措。
4. 设立数据安全管理制度,采取技术和必要措施保障数据安全
根据《数据安全法》第二十七条的规定,开展数据活动应依照法律法规规定,建立健全全流程数据安全管理制度, 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。对于企业而言,一方面需要在企业内部设置相应的数据安全管理制度,例如《数据访问权限管理制度》、《IT管理制度》《外部人员访问审批管理流程》等,对涉及处理数据的员工进行专项培训等;另一方面,需要采取相应的技术措施和其他必要措施,保障数据安全,例如采取进行网络安全等级保护认证,采取数据分类分级存储、加密传输、保存等措施。在这里法案并没有要求公司采取企业所能实现的“最高的”技术措施,而是采取“相应的”措施,没有为企业的合规落地设置过高的要求与挑战。因此,企业可能需要结合不同类别数据的情况、风险等级、技术手段与成本,对数据采取技术和安全保障措施。
根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
5. 对数据分类分级保护
对于数据分类分级制度,《数据安全法》借鉴了今年2月工信部印发的《工业数据分类分级指南(试行)》,以一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度作为标准之一,辅以该数据在经济社会发展中的重要程度,对数据进行分类分级保护。相对应地,企业在开展业务的过程中也针对数据的重要程度、敏感程度对数据进行分类分级的保护,例如对儿童的个人信息应当加密存储。信安标委也正在研发《重要数据分类分级指南》;各行业也在研制本行业的数据分类分级标准,企业也可以关注相关动态,以便提前规划合规义务的落地。
6. 按照要求进行安全检测与评估认证
《数据安全法》第十八条指明了国家对安全检测评估、认证服务的支持态度。目前我国是通过中国网络安全审查技术与认证中心,将强制测评与自愿测评相结合进行定期和年度检测认证或自愿认证,企业可以根据自身业务所对应的要求进行相关检测与评估。笔者认为,对于自愿认证的项目,未来也可考虑采取类似司法鉴定机构清单式管理的做法,由国家有关部门对机构的资质、能力进行考核,认证,并将有权开展评估服务的专业机构予以公告。
7. 发生数据安全事件的报告义务
根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
《数据安全法》本身并没有对“数据安全事件”进行明确的规定,可参考其他法律法规、国家标准。《网络安全法》第四十二条说明“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。《数据安全管理办法》第三十五条也采取了类似的表述,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。《数据安全法》本条款目前的写法虽然呼应了《网络安全法》、《数据安全管理办法》的表述,但可能存在以下问题:
“数据安全缺陷、漏洞等风险”与“数据安全事件”之间的关系较为模糊:如果前者只需要立即采取补救措施而不需要上报主管机构的话,那么在《数据安全法》并未对“数据安全事件”作出明确定义的前提下,对于企业落实相关的上报/告知要求存在一定的不确定性;
此外,这里没有明确“数据安全事件”是否仅局限于中国境内运营所发生的数据安全事件。如果中国企业在境外发生了数据安全事件是否需要上报?从《网安法》角度看,可能并不需要上报,但如果事件结果也同时影响了中国境内用户呢?
再则,《数据安全法》尚未对上报的时间进行要求,而是采用了较为模糊的“及时告知”的表述。作为参考,GDPR在规制数据泄露时,则明确要求数据控制者在可行的情况下,应当在知悉数据泄露事件后的 72 小时内告知。如果仅停留在“及时”上报的层面可能难以有效实现对国家有效控制数据安全事件的目的。
期待《数据安全法》后续的配套法律法规、国家标准等文件能够对前述问题进一步澄清与细化。
根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
8. 境内执法的配合义务
根据《数据安全法》第三十五条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,有关组织、个人应当予以配合。此条款则是从法律的层面明确企业面临公安机关、国家安全机关执法调查时的配合义务。需要提示的是,企业在收到来自公安等其他有关部门协助调查的请求时,应要求其出具相关的执法函件,比如企业可以要求出具《协查函》等方式让公安等文件后进行存档,以便日后作为企业履行企业配合义务提供数据的证明、而非不经查验轻易对外提供用户个人信息。
根据《数据安全法》第四十八条第一款规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。
9. 遇域外执法时的先行报告义务
根据《数据安全法》第三十六条规定,境外执法机构要求提供数据的请求,非经中华人民共和国主管机关批准,我国境内的组织、个人不得提供。例如,当中国企业直接向欧盟境内的数据主体提供商品、须受到GDPR域外管辖时,如欧盟的数据保护机构依据其职权对企业进行调查,要求企业提供相关的数据时,不能径直按照境外执法机构的要求,提供相关的数据,应当先向主管机关报批方可提供。
根据《数据安全法》第四十八条第二款规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
(二)处理重要数据的企业的额外义务
除了做到前述企业的一般合规义务外,对于处理重要数据的企业,还应额外履行以下义务:
1. 设立数据安全负责人和管理机构义务
根据《数据安全法》第二十七条的规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》将必须明确数据安全负责人的企业限定在掌握“重要数据”这个范畴。对于设立数据安全负责人和管理机构义务虽非一项崭新规定,但在设置的要求与对应规制的对象上,与以往的法规还是有所不同。《网络安全法》第二十一条规定网络运营者应当确定网络安全负责人;第三十四条要求关键基础信息设施的运营者应当设定专门的安全管理机构和安全管理负责人;《关键信息基础设施安全保护条例(征求意见稿)》第二十四条要求关键基础信息设施的运营者设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;《信息安全技术 个人信息安全规范》(2020版)第11.1条则要求个人信息控制者应任命个人信息保护负责人和个人信息保护工作机构。
如前所述,《数据安全法》并没有对受《数据安全法》规制的公司或个人作明确的限定,“重要数据的处理者”、“关键基础信息设施的运营者”、“个人信息的控制者”所涵盖的范围,相互间既有所交织,又略有不同,因此企业在落地实践中,应当更加明确自身处理的数据类型,将主要数据类型视为重点合规的对象,设置相关的负责人与保护机构。当然,在企业内部,为了避免多头设置不同类型数据保护的虚拟部门与负责人员,可以设置一套机构管理企业内部不同类型的数据安全。具体可以参阅《国内企业的DPO工作现状与能力发展》一文。
根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
2. 定期开展风险评估义务
根据《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况、面临的数据安全风险及其应对措施等。
企业如果处理的是重要数据,则需要按照要求定期开展风险评估,并向主管部门报告。因此实施本条仍然是定义并识别重要数据为前提。
未能履行此义务的,根据《数据安全法》第四十五条的规定,未能设立数据安全负责人和管理机构的重要数据处理者,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处五十万元以上二百万元以下罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
3. 合法开展数据出境活动义务
《数据安全法》第三十一条明确了重要数据出境时的合规义务,对于属于关键信息基础设施的企业,则需要根据《网络安全法》的要求,履行相关合规义务;对于其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法。由于目前与数据出境相关的配套法规、国家标准尚处于征求意见状态,建议公司密切关注相关立法动态,特别是行业内对于本行业数据出境的特殊要求(例如对于特定数据的本地化存储要求)。
根据《数据安全法》新增的第四十六条的规定,违法向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。