2020年7月2日,十三届全国人大常委会公布了《数据安全法》草案,并向社会公开征求意见,中国第一部专门针对数据安全法律的立法过程正式启动。如果该法律得以实施,不仅对中国的数据安全实践意义重大,也将对处理中国数据的外国组织和个人产生深远影响。草案提交意见的截止日期是2020年8月16日。鉴于其重要性,我们鼓励各相关主体通过全国人大官网入口1提交对该草案的建议,并及时了解发展动态。
本文重点介绍了草案的关键条款,并阐述了我们的观点。
背景
目前,中国还没有专门针对数据安全的国家立法。《数据安全法》和《个人信息保护法》均被列入本届全国人大常委会的立法议程(2018年9月公布)。2020年6月,这两部法律都被纳入2020年度立法工作计划。《数据安全法》草案已提请全国人大常委会初次审议,预计在提交表决前会经过三读。不过,全国人大常委会并没有公布立法程序的具体时间表。
关键条款和我们的观察
一、 关键概念和监管机构
《数据安全法》草案将数据定义为电子或非电子形式对信息的记录,并引入了“数据活动”的概念,包括数据的收集、存储、加工、使用、提供、交易和公开等行为。数据安全是指通过采取必要措施,保障数据得到有效保护和合法使用,并持续处于安全状态的能力。
不同部门根据地域和行业特点对本地区、本部门工作中的数据安全负监管职责。但是,草案并未没有明确界定这些权限的范围,这将使得不同部门间权力产生重叠。
地方政府负责各自地区的数据安全,各行业主管部门负责本行业的监管。公安机关和国家安全机关在职责范围内承担数据安全监管职责。国家网信部门负责统筹协调网络数据安全和相关监管工作。
二、重要数据保护
分级分类保护制度
《数据安全法》草案提出了分级分类保护的制度框架。该分级分类制度的依据为:(1)数据在经济社会发展中的重要程度;和(2)数据破坏、泄露或非法利用对国家安全、公共利益和个人合法权益造成的损害。地方政府和行业监管机构都应确定本地区、本行业、本部门的重要数据保护目录,目录中的数据将得到重点保护。但是,草案没有界定重要数据的概念,也没有提供确定数据级别或类别的指引。
工业和信息化部(“工信部”)和中国证券监督管理委员会目前都发布了确定数据级别和类别的指南。根据工信部的指南,数据通常根据其在相关业务中的使用情况进行分类,而保护级别则由数据破坏、泄露或非法利用对行业的运营和经济影响来确定。目前尚不清楚分级分类保护制度是否会遵循这一做法,也不清楚是否每个监管机构都会公布自己的指南,或是否会有一套统一的指南。
草案也未明确分级分类与监管机构和地方政府起草的重要数据保护目录的效力如何相互作用。此外,地方政府和行业监管机构发布的目录可能会产生冲突,而草案目前并未涉及如何解决此类冲突。
风险评估
重要数据的处理者须对数据活动定期开展风险评估,并向监管机构报送报告。报告应包括以下信息:重要数据的种类和数量;数据的收集、存储、加工和使用情况;数据安全风险和应对措施。
草案定义了数据活动,但很遗憾的是没有定义数据处理者或数据处理行为。我们希望在下一个版本的草案中,以与民法等其他法律相一致的方式来对其进行界定。
数据安全负责人及管理机构
重要数据的处理者应设立数据安全负责人和管理机构以负责数据保护。草案目前没有进一步详细说明如何设置此职位以及规定其职责。
三、 影响外国主体和外商投资的措施
国家安全审查
《数据安全法》草案提出了数据安全审查制度。根据该制度,影响(或可能影响)国家安全的数据活动将接受国家安全审查。草案中没有明确规定进行安全审查的机构,也没有就如何评估数据活动对国家安全的影响提供指导。有趣的是,中国主体的数据活动并没有被排除在国家安全审查条款之外,尽管这种制度通常是为了审查外国主体的数据活动而设计的。这项审查与其他国家安全审查制度之间的关系目前也未在草案中予以阐释。
出口管制
如果数据属于国家履行国际义务或为维护国家安全而被限制出口的范围,将受到出口管制的限制。常委会最近公布了《出口管制法》草案第二稿,该法很可能在《数据安全法》出台之前通过表决。
对不公平待遇的反制措施
如果任何国家或地区对中国在数据或数据开发利用技术方面的投资或贸易采取歧视性的限制、禁止或其他类似措施,该草案授权政府对该国家或者地区采取相应的反制措施。
向境外执法机构提供数据
草案规定,未经中国政府事先批准,任何组织和个人不得应境外执法机构的要求向其提供储存在中国境内的数据。这适用于存储在中国的任何数据,而不考虑控制数据的组织或个人的国籍。
域外效力
根据该草案,中国政府有权追究中国境外任何组织或个人进行危害中国国家安全和公共利益、损害中国公民或组织合法权益的数据活动的责任。草案没有具体说明如何对外国组织或个人执行这项法律,也没有具体说明由哪个部门来实施。该域外效力条款所涉及的范围有过大之嫌,在实践中可能难以实施,但预计这一概念将保留在草案中。
四、 数据业务开展要求
在线数据处理服务提供商需要获得相关经营业务许可证或进行备案,并由电信监管机构进行管理。目前尚不清楚哪些业务会受到规制,因为在线数据处理服务可能涵盖各类在线上处理数据的服务。
草案还提议对数据交易活动和其市场进行监管。数据交易中介服务提供者应当要求数据提供者说明数据来源、审查交易当事人的身份、并保存交易记录。
五、统一的数据安全机制
草案提出,国家将在全国范围内建立集中统一的数据安全风险评估和报告机制,共享相关信息,并提供监测预警。政府亦会建立数据安全应急处置机制,并由有关监管机构实施相应的应急处置措施、消除安全隐患、防止危害扩大、并向社会公众发出安全警示。
注释
[1]http://www.npc.gov.cn/flcaw/userIndex.html?lid=ff80808172b5fee801731385d3e429dd
本文由“壹伴编辑器”提供技术支持
如需更多信息,请联系我们。
Mark Robinson
Partner, Singapore
Mark.Robinson@hsf.com
Nanda Lau 刘依兰
Head of Shanghai office
Nanda.Lau@hsf.com
James Gong 龚钰
Of Counsel, Beijing
James.Gong@hsf.com
史密夫斐尔律师事务所是领先的全球一体化综合性律所,在全球各主要司法辖区设有26家办公室,拥有约3000位律师。本所根植大中华区市场30余年,北京、上海、香港三个办公室拥有强有力的律师团队,对中国的商业文化有着细致深入的体会和理解,为客户提供高效、优质的全方位法律服务。
史密夫斐尔与上海市自贸区的科伟律师事务所正式联营,通过科伟史密夫斐尔联营办公室 (Herbert Smith Freehills Kewei (FTZ) Joint Operation) 提供中国法及外国法服务。
