《数据安全法》下企业合规之待办清单
- 发表时间:2021-06-18 16:09:41
- 作者:史倩君
- 来源:星来法律智引
- 分享到:微信新浪微博QQ空间
自2020年6月28日,《数据安全法》历经三次审议与修改,于2021年6月11日由第十三届全国人民代表大会常务委员会第二十九次会议审议通过,并将于2021年9月1日起正式生效。《数据安全法》被视为是中国网络空间与信息安全治理的三部基础性法律之一,其着力于从保障中国数字新经济发展角度,强调数据安全与经济发展的辩证关系,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
数据安全要素兼具多重属性,《数据安全法》的制定既从宏观上对保障国家安全、维护国家主权提出了制度性的管理要求,又对组织与个人对落实数据安全保护义务提出了原则性规定及相应的法律责任。对企业而言,与“网安监管”相对应,新的“数安法”监管时代即将到来。
为方便企业了解新规内容,快速把握《数据安全法》下的合规应对措施,星来律师梳理了本份合规待办清单,以帮助企业尽快落实合规措施,对企业数据安全管理做到“心中有数”。
一、《数据安全法》的适用范围及对企业的影响
1.适用范围
《数据安全法》的适用范围可以用“三个全面”来概括:
一是监管对象,信息形式全覆盖,即该法下所称的数据,是指任何以电子或者其他方式对信息的记录;
二是监管活动,数据生命周期全覆盖,即《数据安全法》囊括了对数据的收集、存储、使用、加工、传输、提供、公开等活动(统称为“数据处理活动”)的安全管理要求;
三是适用地域范围,域内外效力双重覆盖,不仅在中华人民共和国境内开展数据处理活动及其安全监管,适用本法,还创设了具有中国特色的长臂管辖条款,即在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,也适用本法。
因此,《数据安全法》辐射范围广泛,只要在华企业的日常经营、业务活动涉及数据生命周期的任何一个环节、或者境外企业涉及对中国有关联的数据处理活动的,皆会受到该法的规制。
2.对企业的影响
《数据安全法》作为第一部针对数据安全领域的专门立法,明确了一系列的制度性框架与管理义务要求。除对企业的一般性要求外,《数据安全法》特别就二类企业提出了特殊要求。一是要求可能涉及重要数据的金融、电信、交通、自然资源等关键行业的企业,紧密关注数据分类及重要数据保护制度,明确数据安全负责人和管理机构,落实数据安全保护责任;二是对数据交易平台,提出了审核数据来源及交易双方的要求,并将违反该义务的法律责任与违法所得挂钩,突破了以往定额罚款的限制。
二、企业当前可着手准备的合规工作
《数据安全法》下定义的数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。从这一定义来看,《数据安全法》要求企业落实数据安全保护义务需要达到两个标准,一是企业自身的管理能力,具备保障数据安全的能力;二是从结果出发,保障数据处于有效保护和合法利用的状态。
基于这两个重点,我们依据《数据安全法》下明确的系列制度与义务,特别梳理了企业当前阶段可着手准备的待办事项,梳理了企业内部可制定执行的管理制度,一方面,建议企业把握其生效前的三个月左右的过渡期,及时完成自查自纠、合规整改;另一方面,管理制度的构建和严格执行也有助于企业在不慎发生数据安全事件时提供内部依法管理、审慎经营的证明。
三、待配套立法明确的事项
除前述列明的义务或制度要求外,《数据安全法》中还有一些重点内容需要提请企业注意,虽然囿于当前配套的立法规则尚未完善,企业尚无法落地具体制度,但我们仍建议企业未雨绸缪,重点跟踪以下内容立法,待配套规则发布后,企业可以实现应对新的强监管的平稳过渡:
1.重要数据与核心数据保护
《数据安全法》第二十一条规定了国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《网络安全法》生效后,“重要数据”一直是各行业重点关注的内容,但可惜过去一直尚未明确重要数据的概念和范围。《数据安全法》为重要数据的保护明确要求了相关的配套规则,一方面要求中央指导地方,细化“重要数据保护目录”,明确重要数据的范围;另一方面也对重要数据的保护提出了多方位的要求,例如明确数据安全负责人和管理机构、定期开展风险评估并发送风险评估报告、重要数据出境安全管理等。
建议企业持续跟踪重要数据保护目录发布情况以及核心数据的界定标准,一旦企业控制的数据落入重要数据、核心数据范畴,则企业当前的合规管理应及时予以升级。
2.数据跨境流动
随着近年来中国企业走出去呈井喷之势,数据跨境流动一直是企业实践的热切诉求,也是国家立法、执法所关注的重点。目前我国对数据跨境传输的规定尚停留在原则性规定上,尚未发布生效的对数据跨境流动实操有指导意义的法律文件。
《数据安全法》虽表明了国家对数据跨境流动的积极态度,指出国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动,但我们不难发现,数据自由流通的前提仍是确保数据安全。特别是《数据安全法》中还格外强调,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,由此可见重要数据的流动仍适用严监管态度。