中国通过新的数据安全法
07/30/2021盛佳,许春彬,陶颖男
新《数据安全法》将与《网络安全法》(2017年6月1日起施行)和《个人信息保护法》(预计于今年晚些时候正式发布)一起成为中国规范网络安全和数据安全保护的基本性和框架性立法
《数据安全法》将数据分为国家核心数据、重要数据和一般数据三类。该法建立了数据分类分级管理和保护制度,考虑不同类型数据对国民经济、国家安全和公共利益的重要性。《数据安全法》反映了《网络安全法》等其他适用法律法规对数据跨境传输的监管和限制要求,进一步强调了对数据本地化和数据跨境传输的监管。
除非获得政府主管部门的批准,《数据安全法》要求中国境内的组织和个人不得向任何外国司法部门和外国执法部门提供存储在中国境内的任何数据。
2021年6月10日,中国最高立法机关全国人民代表大会常务委员会在发布《中华人民共和国数据安全法》草案二次审议稿两个月后通过了该法律。《数据安全法》将于2021年9月1日生效,它广泛适用于并将影响在中国境内或与中国开展业务的、参与处理任何类型数据的所有实体。在中国的经营者和与中国开展业务的跨国公司必须重视法律规定的要求,建立相应的数据安全保护制度和安全评估方案。以下是该法律的重点摘要。
《数据安全法》适用于中国境内的数据处理活动和对此类活动的安全监管(第二条第一款)。此外,《数据安全法》还将其域外效力扩大到可以规范在中国境外的任何可能损害中国国家安全、公共利益或者中国公民、组织合法权益的数据处理活动(第二条第二款)。
《数据安全法》下的数据涵盖任何以电子或其他方式对信息的记录。这意味着除了数字和网络信息之外,以其他形式记录的信息(例如纸质记录的信息)也构成数据。《数据安全法》监管的数据处理活动包括但不限于数据的收集、存储、使用、加工、传输、提供和公开。
根据该法第二十一条,中国将根据特定数据对中国国民经济、国家安全、公共利益的重要性以及出现数据安全事件可能造成的损害,建立数据分类和分级制度,并实施不同级别数据安全所需的多级别保护方案。这意味着更重要的数据将受到更严格的管理和保护要求。特别地,国家核心数据和重要数据将受到更严格的保护和监管。
《数据安全法》引入了国家核心数据的新概念,将其定义为关系国家安全、国民经济命脉或重大公共利益的数据,受到更严格的监管和保护。《数据安全法》没有提供有关国家核心数据的具体范围和保护要求的详细信息。违反国家核心数据管理制度或者从事危害中国国家主权、安全和发展利益的行为,将被处以最高1000万元人民币(约合156万美元)的罚款、停业整顿、吊销相关业务许可证,情形严重的将追究刑事责任。我们预计,未来将发布更多实施细则,就哪些信息将作为国家核心数据进行保存以及如何保护此类核心数据提供指南。
重要数据的概念最早出现在《网络安全法》(2017年7月1日起施行)中。《网络安全法》要求我国网络运营者对数据进行分类,制定备份和加密措施,以保护重要数据。《数据安全法》进一步要求处理重要数据的经营者必须指定数据安全负责人,并设立专门的内部重要数据保护部门,定期开展风险评估,并将风险评估结果报告主管部门。
《网络安全法》和《数据安全法》都没有详细说明重要数据的定义和范围以及详细的保护机制。《数据安全法》授权国家数据安全工作协调机制(将根据该法第五条设立)会同有关部门制定国家层面的重要数据目录。《数据安全法》还授权不同的行政区域和行业领域制定各自的重要数据具体目录并提出保护要求。这意味着不同地区、不同行业的经营者在日常业务中处理数据时,不仅需要关注和遵守国家重要数据目录的保护要求和规则,还需要遵守具体适用的区域或行业重要数据目录的保护要求和规则。
数据本地化和跨境传输
对于重要数据的跨境传输,《数据安全法》将对关键信息基础设施(“CII”)运营者的要求与非CII数据处理运营者的要求区分开来。CII是指重要行业和领域(如公共通信和信息服务、能源、交通、水利、金融、公共服务和电子政务)的信息基础设施,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重威胁国家安全、国计民生、公共利益的信息基础设施。
CII运营者必须遵守《网络安全法》规定的跨境传输规则,该规则要求CII运营者将在中国境内收集或产生的重要数据存储在本地;业务需要跨境传输某些重要数据的,CII运营者必须按照国家互联网信息办公室(“网信办”)会同国务院有关部门制定的办法进行安全评估。对于非CII运营商,网信办等政府部门将另行制定重要数据跨境转移实施细则。
对于法律程序中涉及的数据跨境传输,《数据安全法》明确禁止运营者未经中国政府事先批准,向外国执法机关或其他外国司法部门提供在中国境内存储的任何数据。未获得此类跨境传输事先批准的经营者可能会被处以最高100万元人民币(约合156,000美元)的罚款,并对责任人处以额外罚款;如果未经批准的跨境传输造成严重影响,经营者可能被处以最高1000万元人民币(约合156万美元)的罚款、停业整顿和吊销相关业务许可证。需要注意的是,这一要求将显着影响中国境外诉讼和其他法律程序中的数据跨境传输(例如为在外国法院的诉讼提供文件和应对外国政府调查)。
经营者的主要义务
经营者开展数据处理活动时,必须遵守适用的法律法规,建立、健全全流程数据安全管理制度,组织数据安全教育培训,采取相应的技术措施和其他必要措施,以保障数据安全。任何组织或者个人收集数据应当依法合法,不得窃取或者以其他非法手段获取数据(第二十七条、第三十二条)。
法律、行政法规对数据收集、使用的目的和范围由规定的,经营者必须在法律、行政法规规定的目的和范围内收集、使用数据(第三十二条)。
重要数据处理者应当对其数据处理活动定期开展风险评估,并向有关主管部门提交风险评估报告。风险评估报告应当包括处理重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等(第三十条)。
任何个人或组织不履行上述数据安全保护义务(即《数据安全法》第二十七条、第二十九条和第三十条)的,可能会被责令改正、给予警告和/或处不低于5万元人民币(约合7,500美元)以上50万元人民币(约合75,000美元)以下的罚款。对直接负责的主管人员和其他直接责任人员,可以处1万元人民币(约合1,500美元)以上10万元人民币(约合15,000美元)以下的罚款。该组织或者个人拒不改正或者造成大量数据泄露或者其他严重后果的,处50万元人民币(约合7.5万美元)以上200万元人民币(约合30万美元)以下的罚款,并且可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
我们的观察
就在我们撰写本文时,2021年7月2日,网信办下属的网络安全审查办公室(“网安办”)宣布已对滴滴出行(“滴滴”)启动网络安全审查,该公司是中国领先的汽车租赁公司,刚刚于2021年6月30日在纽约证券交易所上市。根据网安办的官方公告,针对滴滴的网络安全审查是根据《国家安全法》、《网络安全法》和《网络安全审查办法》的要求启动的,目的是“防范国家数据安全风险,维护国家安全,保障公共利益”。滴滴被要求在审核期间停止新用户注册,并在两天后因公司收集和使用个人信息的严重违规而在应用商店下架。这是网安办首次公开宣布启动针对企业的网络安全审查。
此外,中共中央办公厅会同国务院办公厅于2021年7月6日发布通知,加快修订对公司境外发行上市的数据安全规定,强调完善关于跨境数据流动和保密信息管理的法律法规。这些举措表明中国政府加强了对数据收集、使用和跨境传输的监控和监管,尤其是在涉及国家安全和个人信息保护的情况下。
《数据安全法》将于2021年9月1日生效,为执行数据安全要求提供了进一步的法律依据。我们建议公司开始审查和更新数据收集和管理系统,以满足《数据安全法》下的新合规义务。我们将持续关注《数据安全法》下实施规则的发展。
下载中文版业务动态