安全資訊

2021年4月29日，中國人大網(wǎng)公布《中華人民共和國數據安全法（草案二次審議稿）》（以下簡(jiǎn)稱(chēng)“《數安法（草案二審稿）》”）全文，[1]并對其公開(kāi)征求意見(jiàn)。繼《數據安全法（草案）》（以下簡(jiǎn)稱(chēng)“《數安法（草案）》”）于2020年7月3日公開(kāi)征求意見(jiàn)后，歷時(shí)9個(gè)月，《數安法（草案二審稿）》公開(kāi)亮相。

相較于《數安法（草案）》，《數安法（草案二審稿）》在征求意見(jiàn)的基礎上，結合最新發(fā)展情況，進(jìn)行了多處修訂，并新增了部分規定。其中，八大修訂要點(diǎn)概覽如下：

接下來(lái)，筆者將對《數安法（草案二審稿）》八大修訂要點(diǎn)進(jìn)行詳細解讀，以期幫助大家快速掌握《數安法（草案二審稿）》的內容。

要點(diǎn)一、完善數據分級分類(lèi)保護制度

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》進(jìn)一步明確了站在國家角度、自上而下的數據分類(lèi)制度將成為我國數據安全的基本性制度，其重要意義可以與《網(wǎng)絡(luò )安全法》第二十一條的“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度”做類(lèi)比。[2]具體解析如下：

第一，明確從國家角度確定重要數據目錄，解決了《數安法（草案）》第十九條直接將重要數據的管理權限下放到各地方和各部門(mén)，可能帶來(lái)的地區之間、部門(mén)之間劃分標準的沖突問(wèn)題；亦解決了現行有效規定中多數采取由企業(yè)自主進(jìn)行數據分類(lèi)分級，可能帶來(lái)的企業(yè)自主劃分時(shí)優(yōu)先考慮保護自身利益而非關(guān)注數據安全的問(wèn)題。當然，該等重要數據目錄意義重大、影響深遠，有待國家有關(guān)部門(mén)在廣泛研究、充分論證的基礎上加以明確。

第二，各地區、各部門(mén)確定本地區、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數據具體目錄。在國家確定重要數據目錄的基礎上，由各地區、各部門(mén)確定重要數據具體目錄，有助于在統一基準之上進(jìn)一步提高本地區、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域重要數據保護的顆粒度和針對性，能夠對重要數據進(jìn)行更好地保護。

要點(diǎn)二、新增強化網(wǎng)絡(luò )安全等級保護制度（以下簡(jiǎn)稱(chēng)“等?！保┰跀祿踩Ｗo要求中的基礎作用

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》新增“在網(wǎng)絡(luò )安全等級保護制度的基礎上”開(kāi)展數據安全保護工作，強化了等保在數據安全保護要求中的基礎作用，亦做好了與《網(wǎng)絡(luò )安全法》的銜接。

網(wǎng)絡(luò )安全等級保護制度的要求出自《網(wǎng)絡(luò )安全法》第二十一條，其明確國家實(shí)行網(wǎng)絡(luò )安全等級保護制度，并提出了履行安全保護義務(wù)的具體要求。[3]此外，《網(wǎng)絡(luò )安全法》第五十九條第一款明確了違反網(wǎng)絡(luò )安全等級保護制度要求的法律責任，包括責令改正、警告、罰款等。[4]

筆者以“網(wǎng)絡(luò )安全等級保護制度”為關(guān)鍵字，于2021年4月26日在威科先行法律信息庫中檢索相關(guān)行政處罰，共計檢索到972個(gè)行政處罰決定書(shū)，其中主要違法事實(shí)多為“未開(kāi)展等級保護備案工作，未落實(shí)網(wǎng)絡(luò )安全等級保護制度”，例如冀公（冀）行罰決字〔2020〕0586號行政處罰決定書(shū)、杭西公(蔣)行罰決字[2020]02791號行政處罰決定書(shū)等。

建議企業(yè)積極落實(shí)網(wǎng)絡(luò )安全等級保護制度，盡快進(jìn)行等級保護測評、整改和備案工作，以避免潛在的行政處罰。

要點(diǎn)三、調整數據安全負責人和管理機構的要求

1、條文對比

2、解析

從上述條文對比可以看出，對于數據安全負責人和管理機構，《數安法（草案二審稿）》將“設立”調整為了“明確”。筆者初步理解，其不再強調必須設置數據安全負責人和專(zhuān)門(mén)的數據安全管理機構，而只需明確數據安全負責人是誰(shuí)以及哪個(gè)部門(mén)負責管理數據安全。

可供參照的法律為《網(wǎng)絡(luò )安全法》，其第二十一條要求網(wǎng)絡(luò )運營(yíng)者“確定網(wǎng)絡(luò )安全負責人”，并在第三十四條進(jìn)一步要求關(guān)鍵信息基礎設施的運營(yíng)者“設置專(zhuān)門(mén)安全管理機構和安全管理負責人”。本條規定的“明確”與這里的“確定”比較接近，而《數安法（草案二審稿）》并未進(jìn)一步提出設置數據安全負責人和專(zhuān)門(mén)管理機構的要求。

如若該理解準確，則有助于降低企業(yè)的合規成本，比如可以由網(wǎng)絡(luò )安全負責人同時(shí)擔任數據安全負責人，而無(wú)需另行專(zhuān)門(mén)聘請數據安全負責人。

要點(diǎn)四、新增重要數據出境的管理規定和對應的法律責任

1、規定內容

《數安法（草案二審稿）》新增第三十條規定“關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定；其他數據處理者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理辦法，由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定”，加強了對重要數據出境的管理。

此外，《數安法（草案二審稿）》第四十四條新增了不履行第三十條規定的法律責任。

2、解析

《數安法（草案二審稿）》前述規定從主體區分的角度，對重要數據出境提出了不同的規范要求，并明確了法律責任，具體包括：

第一，明確關(guān)鍵信息基礎設施運營(yíng)者的重要數據出境，適用《網(wǎng)絡(luò )安全法》的規定。該規定對《數安法》與《網(wǎng)絡(luò )安全法》規定進(jìn)行了銜接，避免了潛在的法律適用之間的沖突問(wèn)題?！毒W(wǎng)絡(luò )安全法》第三十七條對此采取了“一般規定+例外情形”的規定方式，即一般情況下應當按照國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評估，在法律、行政法規另有規定的情況下則適用其規定。

需要指出的是，這里提到的“辦法”尚未正式出臺。此前與重要數據出境直接相關(guān)的規定為《個(gè)人信息和重要數據出境安全評估辦法（征求意見(jiàn)稿）》，但其發(fā)布時(shí)間為2017年4月11日，參考價(jià)值相對有限。

第二，明確其他數據處理者的重要數據出境，由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定出境安全管理辦法，擴大了重要數據出境的約束范圍。這里提到的“出境安全管理辦法”亦未出臺，有待監管部門(mén)的制定。不排除在同一出境管理辦法中分別規定關(guān)鍵信息基礎設施運營(yíng)者和其他數據處理者重要數據出境要求的可能性。

第三，新增了不履行重要數據出境管理規定的法律責任。對于關(guān)鍵信息基礎設施運營(yíng)者違規向境外提供重要數據的法律責任，適用《網(wǎng)絡(luò )安全法》第六十六條的規定，責任形式包括責令改正、警告、沒(méi)收違法所得、罰款、責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照；[5]對于其他數據處理者違規向境外提供重要數據的法律責任，適用《數安法（草案二審稿）》第四十四條的規定，責任形式包括責令改正、警告、罰款、責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照。對于該條規定，筆者將在要點(diǎn)七詳細探討，此處不再贅述。

要點(diǎn)五、調整數據處理相關(guān)服務(wù)的資質(zhì)要求

1、條文對比

2、解析

從上述條文對比看出，《數安法（草案二審稿）》調整了數據處理相關(guān)服務(wù)的資質(zhì)要求，具體分析如下：

第一，不再強調專(zhuān)門(mén)提供在線(xiàn)數據處理等服務(wù)的經(jīng)營(yíng)者的許可或備案要求?！稊蛋卜ǎú莅福返谌粭l首次提出了專(zhuān)門(mén)提供在線(xiàn)數據處理等服務(wù)的經(jīng)營(yíng)者的許可或備案要求，其面臨的爭議較大，這里的“在線(xiàn)數據處理等服務(wù)”與《電信業(yè)務(wù)分類(lèi)目錄（2015版）》中B21類(lèi)別“在線(xiàn)數據處理與交易處理業(yè)務(wù)”服務(wù)的關(guān)系如何都是需要厘清的問(wèn)題?！稊蛋卜ǎú莅付徃澹返谌龡l調整后，筆者初步理解，可能暫時(shí)不會(huì )新增數據處理方面的許可要求，做好與現有法律、行政法規的銜接。比如，前面提到的B21類(lèi)別“在線(xiàn)數據處理與交易處理業(yè)務(wù)”，就是《中華人民共和國電信條例（2016修訂）》（以下簡(jiǎn)稱(chēng)“《電信條例》”）這一行政法規規定的從事該等業(yè)務(wù)需要取得的許可。

第二，取消了未經(jīng)許可或備案專(zhuān)門(mén)提供在線(xiàn)數據處理等服務(wù)的罰則?！稊蛋卜ǎú莅付徃澹穭h除了《數安法（草案）》第四十四條規定的罰則，但此舉并不意味著(zhù)放寬了要求，其更應被理解為旨在做好與現有法律、行政法規的銜接。例如，《電信條例》第六十九條第一款就對擅自經(jīng)營(yíng)電信業(yè)務(wù)規定了罰則，責任形式具體包括責令改正、沒(méi)收違法所得、罰款、責令停業(yè)整頓。[6]

要點(diǎn)六、加強對向境外司法或執法機構提供數據的監管

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》明顯加強了對向境外司法或執法機構提供存儲于中國境內的數據的監管，具體分析如下：

第一，將條文規定調整為禁止性規定。即從“應當報告獲批”調整為“非經(jīng)批準不得提供”。該等調整意味著(zhù)，如不遵照其執行，將明顯違反法律的禁止性規定，對企業(yè)合規、融資、上市等產(chǎn)生重大的影響。

第二，擴大了向境外提供數據的監管適用情形。在“境外執法機構”的基礎上增加了“境外司法機構”，解決了原有的“境外執法機構”范圍的爭議，即只要中國境外的司法或者執法機構要求提供存儲于中國境內的數據，均適用本條的規定，有助于更好地封堵境外機構的“長(cháng)臂管轄”。

第三，將“從其規定”調整為“可以按照其規定執行”，意味著(zhù)可以按照本條規定而不按照相關(guān)國際條約、協(xié)定的規定執行。該等調整，有助于防范境外主體單方從有利于其本身角度對國際條約、協(xié)定的規定進(jìn)行解釋?zhuān)瑥亩@開(kāi)本條的規定進(jìn)行“長(cháng)臂管轄”。

第四，增加未經(jīng)主管機關(guān)批準向境外的司法或者執法機構提供數據的罰則，為有關(guān)組織、個(gè)人拒絕外國不合理要求提供更為充分的法律依據。[7]新增罰則解決了《數安法（草案）》第三十三條規定下可能出現的難題，即面對境外執法機構調查取證的要求，企業(yè)以此條為依據進(jìn)行對抗，但卻無(wú)法說(shuō)明不報批的法律后果，可能導致對企業(yè)不利的認定。法律責任的具體形式包括責令改正、警告和罰款。

要點(diǎn)七、大幅加重不履行數據安全保護義務(wù)的法律責任

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》大幅加重了不履行數據安全保護義務(wù)的法律責任，具體分析如下：

第一、大幅提高了罰款額度。從“一萬(wàn)元以上十萬(wàn)元以下”到“五萬(wàn)元以上五十萬(wàn)元以下”，從“五千元以上五萬(wàn)元以下”到“一萬(wàn)元以上十萬(wàn)元以下”，從“十萬(wàn)元以上一百萬(wàn)元以下”到“五十萬(wàn)元以上五百萬(wàn)元以下”，從“一萬(wàn)元以上十萬(wàn)元以下”到“五萬(wàn)元以上五十萬(wàn)元”，四種不同情形下的罰款額度均大幅提高。

第二、擴大了處罰對象的范圍。在不履行數據安全保護義務(wù)的一般法律責任情形下，將“其他直接責任人員”納入進(jìn)來(lái)，擴大了處罰對象的范圍。

第三、大幅加重了責任形式。在拒不改正或者造成大量數據泄露等嚴重后果的加重情形下，新增規定“可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照”，大幅加重了責任形式。

要點(diǎn)八、新增明確拒不配合數據調取的法律責任

1、規定內容

《數安法（草案二審稿）》第四十六條第一款新增規定“違反本法第三十四條規定，拒不配合數據調取的，由有關(guān)主管部門(mén)責令改正，給予警告，可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款”，明確了拒不配合數據調取的法律責任。

2、解析

《數安法（草案》第三十二條規定了公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調取數據的規范要求，包括按照規定、經(jīng)過(guò)嚴格批準手續、依法進(jìn)行，并明確“有關(guān)組織、個(gè)人應當予以配合”?！稊蛋卜ǎú莅付徃澹返谌臈l完全沿用了該條的規定，未作修訂。

在此基礎上，《數安法（草案二審稿）》第四十六條第一款新增明確拒不配合數據調取的法律責任，有助于提高其威懾力。有關(guān)組織、個(gè)人應當配合該等情形下的數據調取，以避免承擔本條規定的法律責任。

結語(yǔ)

縱觀(guān)上述八大修訂要點(diǎn)，可以看出，《數安法（草案二審稿）》整體趨嚴，并優(yōu)化了部分法律適用之間可能產(chǎn)生的問(wèn)題。不可否認，《數安法（草案二審稿）》仍存在待完善之處，但其價(jià)值依然值得肯定。對于企業(yè)而言，應高度關(guān)注本次立法修訂的要點(diǎn)和后續的立法動(dòng)態(tài)，特別是數據分類(lèi)分級制度和數據出境管理要求的變遷，其將對企業(yè)運營(yíng)產(chǎn)生重大影響。