事实证明,数据安全是当前国家间实力博弈的重要战场。据华盛顿当地时间6月9日消息,美国白宫签署行政令,宣布撤销此前于2020年由美国前任总统颁出的对T公司、W公司等多款母公司在中国的移动应用程序禁令。纵观行政令全文[1],有媒体指出此举并不意味着美国已经放弃了对中国应用“以安全为由”的审查、阻拦乃至封锁。[2]新签署的行政令还要求美国商务部等相关部门对可能影响美国国家安全和敏感数据(包括身份信息、健康和基因信息等)安全构成风险的“外国敌手(foreign adversary)”的应用程序开展评估,并视情况采取必要措施。该行政令被部分西方媒体解读为“美方对华政策的最新风向”[3]

如此同时,据全国人大北京时间2021年6月10日消息,《中华人民共和国数据安全法》(“《数据安全法》”)经历三轮审议,已由十三届全国人大常委会第二十九次会议表决通过。正逢其时、掷地有声,作为我国数据安全领域内的“基础性法律”和我国国家安全领域内的“重要法律”[4]《数据安全法》积极回应了时下国内外数据竞争和保护的关键问题,给企业数据经营合规、以及进一步的数据资产化治理与发展提供指引。

一、《数据安全法》对全面数字时代的主动回应

(一)当数据安全成为一项全球冲突与合作议题

(1)应对全球数字主权化浪潮

近些年来,从网络主权延伸至数据主权的发展趋势日渐明显,数据安全成为国际间竞争与合作的全新议题。围绕数据控制权和管辖权,全球各个国家和地区正在兴起新一轮的“数字主权化”浪潮,对抗与防御在数据竞争领域里表现得日益显著。

当人们意识到“数据关乎国家主权”[5]后,除开篇所提及的T公司事件所依赖的时局背景(即美方针对性发起的“清洁网络”计划),美国自CLOUD法案以来以“域外长臂管辖”争夺网络空间数据控制权,试图建构国际数据市场竞争规则的新秩序;而印度通过其数据本地化策略加以应对的同时,也以“国家安全”为由对我国出海互联网企业实施了“大面积封锁”。在对抗日益加剧的同时,遗憾的是,数据领域的国际合作努力频频受挫。2019 年 G20 大阪峰会上,印度就因秉持数据本地化立场而拒绝会谈,印度尼西亚和南非则拒绝签字,并且表达了对跨境数据流动持反对意见,认同数据本地化价值,[6]客观上呈现出世界主权国家就数据合作的割裂趋势。

不难理解,在数据已经成为一种全新的国际竞争领域的前提下,凭借综合国力和科技影响力,确认数据要素地位并优先立法的国家,能够占据国际数据竞争市场高地,从而成为数据领域的游戏规则制定者。2020年,我国向国际社会公开呼吁全面客观看待数据安全问题,维护全球信息技术产品和服务的供应链开放、安全、稳定,并发出《全球数据安全倡议》[7];而眼下出台《数据安全法》,正是基于此种国际社会历史的背景而诞生,且被寄予了提升数据主权竞争优势、改变并重塑数据国际规则的厚望

(2)确保“国家总体安全观”下的数据安全

国际数据竞争的另一目标维度,是通过确保数据安全的路径以维护国家核心利益。在全面数字化时代,数据安全已经成为国家战略层面的重要考量。2020年,欧盟发布《欧洲数据保护监管局战略计划(2020—2024)》,旨在从前瞻性、行动性和协调性三个方面继续加强数据安全保护;美国发布《联邦数据战略与 2020 年行动计划》,确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则;德国成立国家网络安全机构,负责发起网络安全创新项目、研究打击网络威胁,以加强德国的“数据主权”[8]

根据《数据安全法》第4条规定,维护数据安全,应当坚持总体国家安全观。基于国家总体安全观,网络与数据安全属于政治、领土和军事威胁之外的非传统安全,但在国家安全战略体系中的地位仍然十分关键。这是因为,数字化时代多源信息融合技术的发展模糊了国家秘密与非秘密之间的界限,而部分影响国家安全的数据并不在传统国家安全部门的统领之下,不少可能影响国家经济命脉、社会稳定和整体福利水平的重要数据可能由企业掌握。[9]加强国家总体安全观指引和定位下的企业数据安全治理,成为是维护国家安全的必然要求、促进数字经济健康发展的重要举措。[10]

(二)当数据安全成为我国的一项专门立法

我国《数据安全法》最终文本目前已在中国人大网上全文公布,并且将于2021年9月1日产生法律效力。在接近正式生效的三个月过渡期内,企业需要准确认识、深入研究和仔细解读其中的法律适用具体问题,以避免不必要的合规风险乃至违法成本。

(1)适用范围

最终通过的《数据安全法》延续了此前一审、二审稿的做法,为执法者的数据安全监管保留了必要的域外适用空间。总结来看,《数据安全法》从规制对象、适用地域和管辖内容与法律体系衔接三个侧面,划定了其规范约束的基本边界

首先,《数据安全法》着眼于“数据处理活动与安全监管”,将其作为一部行为约束法的法律特征凸显出来。换句话说,《数据安全法》跳脱出此前“限定约束主体”的立法思维,转而定义“数据处理”和“数据安全”并作为其规制对象,凡是符合数据处理活动的主体均需要满足或者履行数据安全义务,使得人们在解释和适用规则时不必拘泥于适用主体范围的划定,而专注于数据处理活动本身的安全、可靠性。

其次,《数据安全法》将“损害国家安全、公共利益或者公民、组织合法权益”作为监管域外数据处理活动的触发条件,以实际影响或者后果为导向,进一步明确了维护国家数据安全的决心;而从企业合规角度来看,凡是以中国公民为数据处理对象,或者数据处理活动对中国可能产生实际影响的境外主体,亦需履行中国法下的数据安全义务,这为跨国企业面向中国提供服务、在境外开展数据处理活动提供了管辖连接点。

最后,我们认为《数据安全法》仍然包含了对个人数据安全的原则性适用,其与《个人信息保护法》可能不是非此即彼的适用关系,而应当理解为,在数据安全的一般性原则之上,个人数据处理仍需遵循《个人信息保护法》中的特殊规则。虽从欧盟的立法经验来看,《通用数据保护条例》(General Data Protection Regulation, GDPR)和《非个人数据流动条例》(Regulation on the Free Flow of Non-personal Data)在明确区分数据性质属于“个人”或者“非个人”的基础上进行了法规适用,但从《数据安全法》第53条的文义解释角度来看,“开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定”,显然是为即将出台的《个人信息保护法》留出了立法接口与体系空间。相似地,《统计法》《档案法》也均存在类似的体系规范接口,在涉及数据处理活动时,除需满足《数据安全法》规定的数据安全监管责任规范外,也适用其特殊规则。

(2)价值体系

自《数据安全法》草案面世以来,“坚持安全与发展并重”一直是官方所明确秉持的立法原则。法律中多处体现了“促进以数据为关键要素的数字经济发展”的价值取向,包括国家实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等。[11]

具体而言,关于数据的保护价值与发展价值事实上已有不少讨论。而如今《数据安全法》站在立法价值体系的高度上,所需要融合或者强调的,应当是以“数据风险管控”为核心的安全价值这一统一概念,其既包括数据本身的保密性、完整性与可用性,也包括数据处理活动(即数据要素增值过程)的可控性和正当性。[12]换句话说,数据保护本身作为一种手段而非目的,最终所应当达成的目标是在合理有效控制数据处理活动的客观风险的前提下,不断实现数据要素的增值、经济财富积累以及社会总福利的提升。因此,数字时代的《数据安全法》,在准确认知数据保护与数字经济发展两大基本价值体系的基础上,不断地引领数据安全立法的前进方向。

《数据安全法》给依法依规经营的境内外数字化企业带来的应是信心而非阻力。可以预见的是,数据产业与数字经济发展将在《数据安全法》的护航下走向下一个红利期,尽管必不可免地将带来一定的数据合规成本,但法律明朗的游戏规则还会将成本转换为一定的竞争门槛与安全优势,从而有效地防止“劣币驱除良币”效应,使得合法合规的数据驱动型企业更为精准、有力地把握市场机遇。

(3)立法定位

结合立法背景和价值考量,不难理解数字经济时代下的《数据安全法》理应包含两个层面的定位:其一,《数据安全法》是关乎国家安全与数据主权的基本“宣言”,顺应了国际数据竞争的客观趋势,同时积极回应规则挑战与域外影响,以立法这一国际社会通行的现代文明方式服务于维护国家利益、公民合法权益这一最高价值目标;其二,《数据安全法》亦是数据领域里的上位法与基础性法律,除特定类型数据处理活动(涉国家秘密和军事数据)外,进行数据处理活动的企业均需以《数据安全法》为蓝本和依据,进行深层次的数据安全合规。

二、《数据安全法》的法规范重点制度图景

(一)以“重要数据”为核心搭建的安全监管制度

(1)重要数据的识别

作为数据安全层面的上位法和基础性法律,《数据安全法》搭建了以“重要数据”为核心的安全监管制度,而重要数据的识别则是数据安全工作的重中之重,同时也体现了数据治理的分类分级管理和保护原则。

《数据安全法》第21条在笼统定义重要数据并要求国家数据安全工作协调机制统筹协调各部门重要数据识别工作的基础上,将重要数据的具体识别工作下放至各地区、部门,以地区、部门以及相关行业、领域为维度制定重要数据目录,充分平衡了法律规定的普适性和灵活性。同时,相较于此前的二审稿,《数据安全法》加强了国家层面对重要数据目录制定的统筹工作,可以有效避免因各部门管理标准的差异而导致的数据安全规则碎片化,无形增加不必要的合规成本。

而早在《数据安全法》正式发布前,各部门与行业也不乏根据行业特性进行重要数据识别的尝试。例如,2017年全国信息安全标准化技术委员会发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》附录A“重要数据识别指南”中对27个重点行业的重要数据做了概括性的描述,如石油、电力、金融等。

近期,国家互联网信息办公室发布的《汽车数据安全管理若干规定(征求意见稿)》(“《汽车数据规定》”)首次明确界定了汽车行业重要数据的范围,具体包括:

  • 军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
  • 高于国家公开发布地图精度的测绘数据;
  • 汽车充电网的运行数据;
  • 道路上车辆类型、车辆流量等数据;
  • 包含人脸、声音、车牌等的车外音视频数据;以及
  • 国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

从上述重要数据范围可以看出,《汽车数据规定》对重要数据的框定偏于严格,车辆外装的摄像头等传感器记录的数据,以及车辆GPS定位数据均有可能落入重要数据的范畴。根据行业实践,相关车联流量数据、高精测绘数据是自动驾驶、智能汽车行业常用数据类别,参考《汽车数据规定》下的重要数据处理原则,如车内处理,非必要不向车外提供,以及数据本地化要求,相关企业更需要在进行重要数据识别与分类的基础之上审慎合规。

诚然,重要数据的识别需要考虑诸多因素,并且重要数据的识别并不是一成不变的,如何确定重要数据将取决于各地区、各部门制定的重要数据目录以及诠释,而各行业主管部门也会根据行业发展变化,对本行业重要数据的定义和范围进行调整,并对重要数据目录进行适当的替换 。[13]

(2)重要数据的安全保护义务主体

《数据安全法》延续《网络安全法》的规定,以重要数据为锚点,对重要数据的处理活动提出了若干延展数据安全保护义务,主要包括:

  • 重要数据的处理者应当明确数据安全负责人和管理机构(第27条);
  • 重要数据相关活动定期开展包括重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等在内的风险评估,并向有关主管部门发送风险评估报告(第30条);
  • 如果重要数据的处理活动影响或者可能影响国家安全的,应当接受国家安全审查(第24条);
  • 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。(第31条)。

虽然《数据安全法》明确了定期评估并发送报告的方式,但评估主体、报告报送对象、以及评估频率还有待配套规章制度的进一步明确。同时,风险评估更多意味着事中监管。而从防范数据安全事件的角度出发,各地区、行业重要数据目录可能会提出更为细致的监管要求,以进一步落实数据安全保护义务。例如,《汽车数据规定》明确要求的运营者事前报告义务;运营者处理重要数据,应提前当向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与实现、使用方式,以及是否向第三方提供等。除事前报告外,运营者还需将年度数据安全管理报告报送省级网信部门和有关部门。

此外,关键信息基础设施运营者重要数据跨境传输规则应适用《网络安全法》相关规定的指示性规定,揭示了《数据安全法》和《网络安全法》的体系地位,即两者均为以《宪法》为上位法的基本法律,二者为同一阶层平行的法律。[14]

最后,对于可能涉及重要数据处理活动的企业而言,其应当明确的数据安全负责人和管理机构是否需区别于《网络安全法》下有关网络安全负责人、《个人信息保护法》个人信息保护负责人的设置,以及是否需将相关负责人员以及管理机构于主管部门报备仍有待立法者在后续实施细则与配套措施中予以澄清。

(二)以“数据交易”为机制的数据权益主张共识

(1)数据交易制度延续了一审稿中的规定

《数据安全法》中关于数据交易的制度延续了一审稿中的规定,明确建立健全数据交易管理制度,确定数据交易行为的合法性,培育数据交易市场,则是数据作为一种生产要素的必要发展。在《数据安全法》的出台之前,国务院及各部委出台了多项综合性或专业性与数据市场发展相关的政策,但缺乏上位法依据和顶层制度方面的统筹,而《数据安全法》对数据交易制度完善,可以有效弥补这一缺陷,增强数据交易市场的可操作性。[15]

除上述原则性规定外,《数据安全法》还对从事数据交易中介服务的市场参与者提出了额外的安全保护要求,比如从风险控制的角度出发,规定从事数据交易中介服务的机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录,但关于审核的具体模式、数据提供方的合规风险是否会传导至中介服务提供者等细化规则还有待相关配套制度进一步明确。[16]同时,为加强事前监管,提高安全保护意识,《数据安全法》于正式稿内加强了处罚力度,未履行上述要求的数据交易中级机构,将可能被处以没收违法所得以及最高十倍的罚款,并可能被责令停止相关业务、停业整顿、吊销相关业务许可证或营业执照。

同时,根据《数据安全法》第34条,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可,本条对从事数据交易的准入资格提供了上位法依据,后续可能会在市场准入环节加强监管。[17]

建立数据交易管理制度的基础是明确数据产权或权属问题,即需要明确个人数据、公共数据、国家数据、数据要素市场主体的数据权等基础法律问题,否则数据的流通和交易将面临制度障碍。目前我国关于数产权的规定仍为原则性规定,数据产权规则不清晰,可能会导致多方数据主体之间的利益冲突,因此,数据交易市场的健全还有待后续配套规则对数据产权的细化。[18]

除此之外,数据市场的反垄断制度尚需改善。虽然2020年公布的《<反垄断法>修订草案 (公开征求意见稿)》第一次将互联网行业的垄断界定及其处置写入法律,今年年初发布的《平台经济领域反垄断指南》更细化了各类互联网平台的反垄断规则,也为数据市场反垄断提供了重要的制度性依据。但是,对于数据市场特有的垄断行为,现有反垄断相关法律法规难以覆盖。比如,对于经营者集中的垄断行为,现行《反垄断法》以及《平台经济领域反垄断指南》主要以经营者的营业额作为基准,然而对于数据公司而言,虽然营业额不高,其仍然可能对市场产生非常大的影响。[19]

(2)借助卡梅框架的解释方法:数据财产规则

自2017年《民法总则》对数据采取引制性规定,数据出现在权益兜底性条款之后,数据权益客体认定以及数据赋权一直是社会热议话题。我国理论界形成了数据人权说、数据知识产权说、数据新型财产权说等不同观点,而各地方政府也争相尝试创设相关权益。[20]以深圳为例,深圳市司法局于2020年发布的《深圳经济特区数据条例(征求意见稿)》明确提出了数据权这一概念,将其规定为权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利,并根据不同数据内容区分为个人数据权、公共数据权和数据要素市场主体的数据权。[21]针对该征求意见稿,理论和实务界普遍认为,由于目前还存在公众对于数据权属问题认知不统一、数据权划分边界不清,权利客体交织重合,以及划分过为绝对等问题,故直接在经济特区法规中创设“数据权”可能还为时尚早。有鉴于此,2021年新发布的《深圳经济特区数据条例(征求意见稿)》在充分考虑社会共识与司法实践的基础上,将数据权这一宽泛的概念进一步细化为对自然人对其个人数据的人格权益以及企业对其投入大量智力劳动成果形成的数据产品和服务的财产性权益的保护。[22]

从比较法的角度,虽然美国和欧盟对数据保护和利用模式不尽相同,但二者均将数上权益进行多层次区分并适用不同的保护标准,以实现数据保护与数据利用的平衡。如美国将数据分为个人数据与经过匿名处理后产生的衍生数据,对个人数据适用以隐私权为中心的保护标准,而对衍生数据适用市场自治和竞争法相结合的模式以确保对衍生数据的开发和利用。[23]

因此,基于我国的数据分类分级制度要求,并参考借鉴域外数据权属界定经验,我国日后对数据权属的划分,可考虑从数据全生命周期出发,结合数字经济发展阶段和数据应用场景,对不同类别数据的数上权益进行区分,以适用不同的保护规则,进而实现数据权利化。例如,根据处理方式,可以区分为原始数据和衍生数据;根据数据主体,可以分为个人数据、业务数据,以及公共数据。[24]

(三)以“分业管理”、“自上而下”为特征的数据安全体系

(1)数据分类分级制度

承《网络安全法》为保障网络运行安全而采纳的网络安全等级保护思路,《数据安全法》确立的数据分类分级保护制度作为数据安全管理工作的前提与基础将直接决定企业对于不同等级与类别数据全生命周期管理应承担的保护义务。

在制度范围方面,虽然《数据安全法》仅针对重要数据和国家核心数据(“关系国家安全、国民经济命脉、重要民生、重大公共利益”的数据)明确提出“重点保护”与“更加严格管理”的安全要求,但对于重要数据和国家核心数据之外的其他数据,仍然需要以《数据安全法》下有关数据在经济社会发展中的重要程度与可能的数据事件危害程度为基准进行相应的分类分级划分与差异化保护设置。

在制度制定方面,一方面《数据安全法》将国家界定为数据分类分级制度建立的主体,为国家开展“自上而下”监管提供依据,另一方面,在《数据安全法》正式颁布之前,各行业已进行行业数据分类分级标准制定的尝试,包括但不限于《金融数据安全 数据安全分级指南》、《证券期货业数据分类分级指引》、《工业数据分类分级指南(试行)》、《电信和互联网服务 用户个人信息保护 定义及分类》、《电信和互联网服务 用户个人信息保护 分级指南》等。其中,中国人民银行印发的行业标准《金融数据安全 数据安全分级指南》明确了金融数据安全分级的要素、规则,以及定级过程,并给出了金融业机构典型数据定级规则供实践参考,同样由中国人民银行印发的行业标准《金融数据安全 数据生命周期安全规范》则根据金融数据的安全等级,对不同级别金融数据的采集、传输、使用、删除、销毁做出了详细的要求。但值得注意的是,“分业管理”下形成的数据分类分级的科学性、合理性以及可验证性仍有待进一步探讨。

(2)数据安全标准体系建设

《数据安全法》通过统一立法的形式加强数据安全标准体系的建设,而依托于行业组织依法制定的数据安全行为规范和团体标准也将构成安全标准体系的重要部分。根据《数据安全法》第17条,国务院标准化行政主管部门和国务院有关部门牵头数据安全相关标准的制定,国家支持企业、社会团体和教育、科研机构等参与标准制定工作。在数据使用技术高速发展的情况下,立法往往滞后于行业发展,而本条则旨在加强市场参与者踊跃参与行业标准的讨论,积极分享在数据安全合规建设中探索出的实践经验,并以行业最佳实践为基础推动完善技术发展和合规建设。[25]

目前,工业和信息化部已经开始布局数据安全标准体系的建设。2020年12月工业和信息化部发布的《电信和互联网行业数据安全标准体系建设指南》对电信和互联网行业的数据安全标准提出了原则性要求,并列出数据安全体系建设的短期目标:于2021年研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推动标准在重点领域中的应用。到2023年,研制数据安全行业标准50项以上,健全完善电信和互联网行业数据安全标准体系,标准的技术水平、应用效果和国际化程度显著提高,有力支撑行业数据安全保护能力提升。

(四)以“出口管制”“对等措施”为抓手的必要反制措施

(1)属于管制物项的数据出口管制

与《出口管制法》第2条规定的“管制物项,包括物项相关的技术资料等数据”相衔接,《数据安全法》第25条规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。虽然“维护国家安全和利益、履行国际义务”可作为禁止相关数据出口的合法依据,但在具体适用上,还存在和《出口管制法》的衔接问题。[26]根据《出口管制法》,我国对出口管制物项实行清单管理,包括由国家出口管制管理部门出台的管制清单及根据需要对管制清单外的物项实施临时管制,因此有关数据是否属于管制物项需要依据《出口管制法》所确立的清单目录和标准来判断。值得注意的是,商务部、科技部在2020年修订了《中国禁止出口限制出口技术目录》,将包括人工智能交互界面技术以及语音合成技术等多项信息处理技术纳入限制出口部分,对经济活动中的技术出口行为进行限制,而未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认。

(2)投资、贸易歧视性措施的对等措施

为更好地应对国外立法和执法,依据“对等原则”,《数据安全法》第26条规定了数据领域下的反制裁措施,即任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施,为我国依法反制外国歧视性限制措施进一步提供了有力的支撑,并充分体现了我国在网络数据空间主张数据主权的立法思想。

值得注意的是,除《数据安全法》下的对等反制措施外,根据《反外国制裁法》,我国还可以对外国制裁采取阻断措施,并可以对被列入反制清单的个人、组织采取反制措施。[27]

(五)以“安全开放”为目标的政务数据体系建设

数据作为关键生产要素,不仅个人信息和企业数据受到广泛关注,在后疫情时代,政务数据的价值同样不言而喻。政务数据公开既可以促进政府科学决策,提高公共管理效能,又可以增加数据要素市场的数据资源供给,盘活数据资源交易。[28]

基于此,《数据安全法》在提出对政务数据来源合法性、管理安全性以及电子政务系统安全性要求的基础上,进一步对政务数据公开进行原则性规定。具体而言,《数据安全法》明确了政务数据以公开为原则,不公开为例外的基本理念,要求在国家层面制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据的开发利用,以消除实践中普遍存在的“数据烟囱”“数据孤岛”。[29]但同时,政务数据的开放与利用条件仍有待后续配套措施的进一步明晰。

三、《数据安全法》的法规范关键合规要领

《数据安全法》为涉及数据处理活动的企业设定了包含消极义务和积极义务在内的多层次、全方位的数据安全义务群,期以规范数据处理活动,进一步促进数据市场发展。经我们简要概括分析,企业需要在《数据安全法》下遵从以下几点“有所为有所不为”的基本法律要求,以在实质上降低企业的数据安全合规风险。本部分将主要针对《数据安全法》向企业提出的合法合规要求进行提纲挈领式地介绍。

(一)有所不为:法律为企业设定严守的消极义务

一方面,企业应当坚持底线思维,在法律划定的数据安全红线以内从事数据处理活动。简要概括来看,以下几个合规要点需要在法律过渡期和《数据安全法》正式实施后由企业保证严格遵守,否则容易对经营活动的正常开展造成较大麻烦:

(1)确保数据来源合法合规

合法合规处理数据是《数据安全法》提出的基本要求。《数据安全法》第27条明确规定,“开展数据处理活动应当依照法律、法规的规定”;进一步地,第32条第1款明确指出,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”可以理解为,该条在“合法合规”要求的基础上,向数据处理活动的源头,及数据来源的方式提出了“合法、正当”的约束性条件。

在解释上,一方面,“合法”要求说明,如特定法律法规对于数据收集和数据来源合法性进行了特别说明,即意味着需要满足该种合法性要求,最典型如个人信息收集的“告知-同意”原则;另一方面,“正当”同时意味着数据采集手段、方式的恰当、不过度,或者说需以合理的理性人判断可被接受的程度以进行数据处理。这种“可被预期、可被接受”不意味着对手段、方式创新的限制,而是更加侧重于保护数据源对可能被采集、处理后果与潜在影响可预期的安全价值。近期频发的企业或者个人利用爬虫、在未经多重授权的情况下进行数据爬取的案例[30],轻则违反竞争法律受罚、重则入刑,也提醒着我们重视数据来源合法要求的严肃性与必要性。

通常情况下,数据来源的合法合规是企业固定与构筑自身数据资产的第一步,同时也是关键一步。企业数据资产的稳固与否、价值高低,均与数据来源的合法合规性密切相关。我们建议,企业可以区分数据来源进行内部审查,并采取必要的技术、组织管理或是协议措施,从数据来源这一最初环节做好数据隔离与风险排除,为后续的数据处理、数据治理体系以及资产化管理打下牢固根基。

(2)履行前置性的行政许可义务

《数据安全法》第34条规定,“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。”此规定意味着,相应行业或者不同经济部门的法律、行政法规设定事前许可事项的,应当严格遵照其规定,在取得相应资质或者许可牌照的前提下开展合规的数据处理服务与经营活动。

虽然在TMT领域内要求经营实体进行事前的资质证照的申请可能并非是新鲜事,但值得企业注意的是,随着个别强监管的行业领域(如金融、健康医疗和智能汽车等)数据服务样态与形式的日趋丰富,经营实体所涉及数据处理服务逐渐深入,对数据处理(尤其是个人信息处理)风险的把控也渐趋困难,不排除可能将传统经营领域内专门针对数据处理服务模块纳入监管范畴并新设许可事项。最典型如个人征信领域内提供相关数据服务可能需通过获取牌照或者与具有牌照的实体通过协议合作的方式展开。(关于个人征信领域数据服务合规问题的详细分析,可参见此前我们撰写的文章《数字征信时代的重要信号)

由此,我们建议可能涉及相关强监管行业服务的数据服务提供商紧密跟踪相关立法立规动态,在具体开展数据处理和提供数据服务前了解强制性许可要求以及潜在的审批要求,充分评估相关业务开展的数据合规风险,提前避免可能采纳的违法经营方案。

(3)谨慎处理域外冲突管辖与证据调取问题

《数据安全法》第36条针对可能的域外法律适用所导致的冲突管辖及其所涉及的跨境证据调取问题,提出了数据安全层面的法律要求,即“经主管机关批准”。

从根本上说,该条款属于回应域外“长臂管辖”所作出的防御性规定。该条所约束的对象为“境内的组织、个人”,相比于“数据处理者”显然拥有更加广泛的范围;但与此同时,我们认为“境内的组织、个人”并不等同于“依据境内法律设立的组织、拥有境内国籍的个人”,而应当与《数据安全法》规范的对象范围保持体系一致性,即在境内进行数据处理活动、且数据存储于境内的组织和个人均需受该条约束。虽然目前暂未有相应的主管部门审批程序或者成文规则一并公示,但我们认为相应的配套措施将在《数据安全法》实施后紧锣密鼓地出台,以尽快落实其维护境内数据安全的立法目标。

对于企业而言,在做好数据跨境合规意识准备的同时,也需要充分注意此后境内外因冲突管辖而造成的数据合规要求截然相反的实践困境和法律风险。事实上,受2020年美国《外国公司问责法案》(Holding Foreign Companies Accountable Act,HFCA)相关条款影响,此前在赴海外上市的企业证券经营活动中的冲突管辖风险已然显现,由于监管政策的不稳定性而出现了中概股退市与赴港上市的小浪潮。不过,在未有更好的解决方案出现之前,面对客观存在的冲突监管风险,我们仍然建议在境内或者面向境内开展数据处理服务的企业仍严格遵照《数据安全法》的相关要求应对境外的跨境提交数据请求,必要时咨询主管部门意见,保持必要沟通,否则依据罚则条款将可能面临封顶五百万元以下罚款,并被主管机关责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照的严重处罚。

(二)有所作为:搭建全面的数据处理安全与管理体系

另一方面,相较于上述相关消极性的义务规范,企业在迎接《数据安全法》生效实施的过渡期间,还可以发挥主观能动性,积极履行日常性和应急性的数据安全保护与治理义务,搭建企业内部数据处理合规体系,将数据安全与合规打造为企业经营管理、产品或服务上市的突出优势,以形成独特的数据竞争优势。

(1)常态化、全流程的数据安全保护义务

由于企业日常经营涉及大量数据收集、处理活动,因此从节约成本、提高效率的角度而言,搭建企业内部常态化和贯穿数据全生命周期的数据安全保护体系,无疑是最经济有效的解决方案。结合此前数据安全合规相关法律服务经验,我们提出在该体系中以下几个最为关键的合规要点:

(2)数据安全事件的应急响应规范

《数据安全法》第29条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。该条事实上与此前《网络安全法》、网信办《国家网络安全事件应急预案》和相应法律法规和标准规范形成了衔接和过渡。一方面,在已有的常见网络安全事件(包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件)管理规范基础上,应形成企业内部数据安全事件的应对策略以及应急预案;另一方面,《数据安全法》强调从网络系统安全发展到数据及数据处理安全,亦体现了经济发展与法律规制同步,从网络层到数据层,此后将发展到算法安全的智能层治理趋势。我们建议企业尽快构建区分网络信息系统与内容、数据处理与安全、算法伦理与合规等不同维度和层次的应急管理体系。

写在最后的话

理想照进现实,《数据安全法》经历这一年多的起草、初审、公开征询意见,以及二审和三审等立法历程,成为了2020年立法计划中进展最为快速的部门立法之一,并且将于2021年中正式生效实施。不可否认,限于篇幅与体系,《数据安全法》仍然为一些问题留出了空间,有待实践经验的积累、丰富、提炼和总结。但作为我国数据领域内的“基础性法律”,给予尊重、保护以及依此不断提升数据安全合规质量,才是我们对待全新的数据安全立法的端正姿态。

此外,作为对国际数据竞争和数据主权化浪潮的及时回应,《数据安全法》已然建立起了一道屏障。靴子落地、利剑出鞘,这部数字时代的法律为我们锻造和提供了更好保护企业数据安全与资产利益、国家稳定与长足发展的武器,接下来摆在人们面前最为关键的问题,便是学会如何在纷繁复杂的数据市场竞争中游刃有余地“亮剑”。