数据安全法(草案二审稿)》八大修订要点解读
转自:中伦律师事务所
作者:刘新宇 宋海新
2021年4月29日,中国人大网公布《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“《数安法(草案二审稿)》”)全文,[1]并对其公开征求意见。继《数据安全法(草案)》(以下简称“《数安法(草案)》”)于2020年7月3日公开征求意见后,历时9个月,《数安法(草案二审稿)》公开亮相。
相较于《数安法(草案)》,《数安法(草案二审稿)》在征求意见的基础上,结合最新发展情况,进行了多处修订,并新增了部分规定。其中,八大修订要点概览如下:
接下来,笔者将对《数安法(草案二审稿)》八大修订要点进行详细解读,以期帮助大家快速掌握《数安法(草案二审稿)》的内容。
要点一、完善数据分级分类保护制度
- 条文对比
- 解析
从上述条文对比可以看出,《数安法(草案二审稿)》进一步明确了站在国家角度、自上而下的数据分类制度将成为我国数据安全的基本性制度,其重要意义可以与《网络安全法》第二十一条的“国家实行网络安全等级保护制度”做类比。[2]具体解析如下:
第一,明确从国家角度确定重要数据目录,解决了《数安法(草案)》第十九条直接将重要数据的管理权限下放到各地方和各部门,可能带来的地区之间、部门之间划分标准的冲突问题;亦解决了现行有效规定中多数采取由企业自主进行数据分类分级,可能带来的企业自主划分时优先考虑保护自身利益而非关注数据安全的问题。当然,该等重要数据目录意义重大、影响深远,有待国家有关部门在广泛研究、充分论证的基础上加以明确。
第二,各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。在国家确定重要数据目录的基础上,由各地区、各部门确定重要数据具体目录,有助于在统一基准之上进一步提高本地区、本部门以及相关行业、领域重要数据保护的颗粒度和针对性,能够对重要数据进行更好地保护。
要点二、新增强化网络安全等级保护制度(以下简称“等保”)在数据安全保护要求中的基础作用
1、条文对比
2、解析
从上述条文对比可以看出,《数安法(草案二审稿)》新增“在网络安全等级保护制度的基础上”开展数据安全保护工作,强化了等保在数据安全保护要求中的基础作用,亦做好了与《网络安全法》的衔接。
网络安全等级保护制度的要求出自《网络安全法》第二十一条,其明确国家实行网络安全等级保护制度,并提出了履行安全保护义务的具体要求。[3]此外,《网络安全法》第五十九条第一款明确了违反网络安全等级保护制度要求的法律责任,包括责令改正、警告、罚款等。[4]
笔者以“网络安全等级保护制度”为关键字,于2021年4月26日在威科先行法律信息库中检索相关行政处罚,共计检索到972个行政处罚决定书,其中主要违法事实多为“未开展等级保护备案工作,未落实网络安全等级保护制度”,例如冀公(冀)行罚决字〔2020〕0586号行政处罚决定书、杭西公(蒋)行罚决字[2020]02791号行政处罚决定书等。
建议企业积极落实网络安全等级保护制度,尽快进行等级保护测评、整改和备案工作,以避免潜在的行政处罚。
要点三、调整数据安全负责人和管理机构的要求
1、条文对比
2、解析
从上述条文对比可以看出,对于数据安全负责人和管理机构,《数安法(草案二审稿)》将“设立”调整为了“明确”。笔者初步理解,其不再强调必须设置数据安全负责人和专门的数据安全管理机构,而只需明确数据安全负责人是谁以及哪个部门负责管理数据安全。
可供参照的法律为《网络安全法》,其第二十一条要求网络运营者“确定网络安全负责人”,并在第三十四条进一步要求关键信息基础设施的运营者“设置专门安全管理机构和安全管理负责人”。本条规定的“明确”与这里的“确定”比较接近,而《数安法(草案二审稿)》并未进一步提出设置数据安全负责人和专门管理机构的要求。
如若该理解准确,则有助于降低企业的合规成本,比如可以由网络安全负责人同时担任数据安全负责人,而无需另行专门聘请数据安全负责人。
要点四、新增重要数据出境的管理规定和对应的法律责任
1、规定内容
《数安法(草案二审稿)》新增第三十条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”,加强了对重要数据出境的管理。
此外,《数安法(草案二审稿)》第四十四条新增了不履行第三十条规定的法律责任。
2、解析
《数安法(草案二审稿)》前述规定从主体区分的角度,对重要数据出境提出了不同的规范要求,并明确了法律责任,具体包括:
第一,明确关键信息基础设施运营者的重要数据出境,适用《网络安全法》的规定。该规定对《数安法》与《网络安全法》规定进行了衔接,避免了潜在的法律适用之间的冲突问题。《网络安全法》第三十七条对此采取了“一般规定+例外情形”的规定方式,即一般情况下应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,在法律、行政法规另有规定的情况下则适用其规定。
需要指出的是,这里提到的“办法”尚未正式出台。此前与重要数据出境直接相关的规定为《个人信息和重要数据出境安全评估办法(征求意见稿)》,但其发布时间为2017年4月11日,参考价值相对有限。
第二,明确其他数据处理者的重要数据出境,由国家网信部门会同国务院有关部门制定出境安全管理办法,扩大了重要数据出境的约束范围。这里提到的“出境安全管理办法”亦未出台,有待监管部门的制定。不排除在同一出境管理办法中分别规定关键信息基础设施运营者和其他数据处理者重要数据出境要求的可能性。
第三,新增了不履行重要数据出境管理规定的法律责任。对于关键信息基础设施运营者违规向境外提供重要数据的法律责任,适用《网络安全法》第六十六条的规定,责任形式包括责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;[5]对于其他数据处理者违规向境外提供重要数据的法律责任,适用《数安法(草案二审稿)》第四十四条的规定,责任形式包括责令改正、警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。对于该条规定,笔者将在要点七详细探讨,此处不再赘述。
要点五、调整数据处理相关服务的资质要求
1、条文对比
2、解析
从上述条文对比看出,《数安法(草案二审稿)》调整了数据处理相关服务的资质要求,具体分析如下:
第一,不再强调专门提供在线数据处理等服务的经营者的许可或备案要求。《数安法(草案)》第三十一条首次提出了专门提供在线数据处理等服务的经营者的许可或备案要求,其面临的争议较大,这里的“在线数据处理等服务”与《电信业务分类目录(2015版)》中B21类别“在线数据处理与交易处理业务”服务的关系如何都是需要厘清的问题。《数安法(草案二审稿)》第三十三条调整后,笔者初步理解,可能暂时不会新增数据处理方面的许可要求,做好与现有法律、行政法规的衔接。比如,前面提到的B21类别“在线数据处理与交易处理业务”,就是《中华人民共和国电信条例(2016修订)》(以下简称“《电信条例》”)这一行政法规规定的从事该等业务需要取得的许可。
第二,取消了未经许可或备案专门提供在线数据处理等服务的罚则。《数安法(草案二审稿)》删除了《数安法(草案)》第四十四条规定的罚则,但此举并不意味着放宽了要求,其更应被理解为旨在做好与现有法律、行政法规的衔接。例如,《电信条例》第六十九条第一款就对擅自经营电信业务规定了罚则,责任形式具体包括责令改正、没收违法所得、罚款、责令停业整顿。[6]
要点六、加强对向境外司法或执法机构提供数据的监管
1、条文对比
2、解析
从上述条文对比可以看出,《数安法(草案二审稿)》明显加强了对向境外司法或执法机构提供存储于中国境内的数据的监管,具体分析如下:
第一,将条文规定调整为禁止性规定。即从“应当报告获批”调整为“非经批准不得提供”。该等调整意味着,如不遵照其执行,将明显违反法律的禁止性规定,对企业合规、融资、上市等产生重大的影响。
第二,扩大了向境外提供数据的监管适用情形。在“境外执法机构”的基础上增加了“境外司法机构”,解决了原有的“境外执法机构”范围的争议,即只要中国境外的司法或者执法机构要求提供存储于中国境内的数据,均适用本条的规定,有助于更好地封堵境外机构的“长臂管辖”。
第三,将“从其规定”调整为“可以按照其规定执行”,意味着可以按照本条规定而不按照相关国际条约、协定的规定执行。该等调整,有助于防范境外主体单方从有利于其本身角度对国际条约、协定的规定进行解释,从而绕开本条的规定进行“长臂管辖”。
第四,增加未经主管机关批准向境外的司法或者执法机构提供数据的罚则,为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据。[7]新增罚则解决了《数安法(草案)》第三十三条规定下可能出现的难题,即面对境外执法机构调查取证的要求,企业以此条为依据进行对抗,但却无法说明不报批的法律后果,可能导致对企业不利的认定。法律责任的具体形式包括责令改正、警告和罚款。
要点七、大幅加重不履行数据安全保护义务的法律责任
1、条文对比
2、解析
从上述条文对比可以看出,《数安法(草案二审稿)》大幅加重了不履行数据安全保护义务的法律责任,具体分析如下:
第一、大幅提高了罚款额度。从“一万元以上十万元以下”到“五万元以上五十万元以下”,从“五千元以上五万元以下”到“一万元以上十万元以下”,从“十万元以上一百万元以下”到“五十万元以上五百万元以下”,从“一万元以上十万元以下”到“五万元以上五十万元”,四种不同情形下的罚款额度均大幅提高。
第二、扩大了处罚对象的范围。在不履行数据安全保护义务的一般法律责任情形下,将“其他直接责任人员”纳入进来,扩大了处罚对象的范围。
第三、大幅加重了责任形式。在拒不改正或者造成大量数据泄露等严重后果的加重情形下,新增规定“可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”,大幅加重了责任形式。
要点八、新增明确拒不配合数据调取的法律责任
1、规定内容
《数安法(草案二审稿)》第四十六条第一款新增规定“违反本法第三十四条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款”,明确了拒不配合数据调取的法律责任。
2、解析
《数安法(草案》第三十二条规定了公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据的规范要求,包括按照规定、经过严格批准手续、依法进行,并明确“有关组织、个人应当予以配合”。《数安法(草案二审稿)》第三十四条完全沿用了该条的规定,未作修订。
在此基础上,《数安法(草案二审稿)》第四十六条第一款新增明确拒不配合数据调取的法律责任,有助于提高其威慑力。有关组织、个人应当配合该等情形下的数据调取,以避免承担本条规定的法律责任。
结语
纵观上述八大修订要点,可以看出,《数安法(草案二审稿)》整体趋严,并优化了部分法律适用之间可能产生的问题。不可否认,《数安法(草案二审稿)》仍存在待完善之处,但其价值依然值得肯定。对于企业而言,应高度关注本次立法修订的要点和后续的立法动态,特别是数据分类分级制度和数据出境管理要求的变迁,其将对企业运营产生重大影响。
[注]
[1] 中国人大网:《数据安全法(草案二次审议稿)征求意见》,载http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80818178f9100801791b3c96374eef,最后访问时间2021年5月6日。
[2] 洪延青:《理解<数据安全法><个人信息保护法>二审稿的实质性修改内容(一)》,载https://mp.weixin.qq.com/s/6U3sVJ_9CxljLTYPeHGm5w,最后访问时间2021年5月6日。
[3]《网络安全法》第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
[4]《网络安全法》第五十九条第一款规定:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
[5]《网络安全法》第六十六条规定:关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
[6]《电信条例》第六十九条规定:违反本条例规定,有下列行为之一的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下罚款;情节严重的,责令停业整顿:(一)违反本条例第七条第三款的规定或者有本条例第五十八条第(一)款所列行为,擅自经营电信业务的,或者超范围经营电信业务的;……
[7] 人民日报:《建立数据分类分级保护制度(聚焦审议)》,载http://sn.people.com.cn/GB/n2/2021/0428/c378297-34699805.html,最后访问时间2021年5月7日。
原文链接:http://www.zhonglun.com/Content/2021/05-08/1356299538.html
发表评论