近日通过的《数据安全法》引发了业界的广泛关注,但说实话,这部法律非常专业,身为律师的我都觉得专业名词太多,法条太抽象有点烧脑。所以今天就挑一些主要的内容和有趣的点结合案例和大家聊聊。
一、现行数据和网络安全监管三大法律的侧重点有何不同?
《数据安全法》则旨在保障数据安全,同时关注数据处理活动与数据开发利用。内容上又进一步覆盖了非电子数据,比如纸质的信息。《个人信息保护法》则在寻求个人信息安全的基础上,促进信息的合理流通与利用。但与《数据安全法》为了维护国家安全和社会公共利益不同,《个人信息保护法》更侧重于私人权益,是为了维护公民个人的隐私、人格、财产等利益。
笔者比对了《数据安全法》和《欧盟通用数据规则》(GDPR)的法律责任条款,发现处罚相同的违法,欧盟GDPR罚款要高得多:
比如对于违反安全管理制度、风险监测、处理者的安全评估制度的,没有履行数据安全保护义务的违法,《数据安全法》的规定是给予单位50万至200万元罚款,给予负责人员5万至20万元罚款。而GDPR类似的违法,则适用上限一千万欧元,或全球年营业额的2%的罚款,具体包括第25条没有默认采用隐私保护设计、第32条安全防护措施不当、第35条未执行数据保护评估的等。
又如向境外提供重要数据情节严重的,《数据安全法》的规定是给予单位100万至1000万元罚款,并可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,给予负责人员10万至100万元罚款。而GDPR类似的违法,则适用上限两千万欧元,或全球年营业额的4%的条款,具体包括第44条转移的一般性原则、第45条跨境转移的充分保护、第46条跨境转移的适当安全保障等。
为什么欧盟对违反GDPR的罚款那么狠?我估计还是和欧盟互联网产业发展不够好,所以想借数据法律罚款从美国和其他国家互联网公司那里薅一把羊毛有关。
三、《数据安全法》和《反外国制裁法》的对接
《数据安全法》通过的同日,全国人大常委会其实通过了6部法律,有趣的是,其中的《反外国制裁法》和《数据安全法》还有衔接的条款。那就是对于外国对中国有歧视措施的反制。
《反外国制裁法》规定:外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。而《数据安全法》第二十六条的内容则与之配套:任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
对这个反制,你问我支持不支持,我当然说支持。正如我的朋友托马斯·骆所言:不能老是让中国公司受夹板气,美国公司该受也得受。
四、关于等级保护
所谓等级保护,我的理解就是接入互联网的公司对自己的系统根据重要性采取相应措施进行保护的制度。不夸张的说,它对每个人的生活都有影响。一个反面的例子,2021年5月初美国石油管道被黑客攻击,导致18个州进入紧急状态,就是因为石油管线的系统安全的等级保护没有做好。《网络安全法》与《数据安全法》中均规定了等级保护制度,但是侧重点有所不同。
《网络安全法》要求网络运营者应当按照等保制度的要求,履行网络安全保障义务,并细化地规定了网络运营者应采取的具体措施,包括制定内部安全规范、确定网络安全负责人、采取防范病毒攻击的技术措施、监测网络运营、留存网络日志、采取加密措施等。而《数据安全法》规制的是所有数据处理活动,即收集、存储、使用、加工、传输、提供、公开任何以电子或者其他方式对信息的记录的活动,所以《数据安全法》所涵盖的数据处理活动,其范围是大于网络运营者的网络信息处理活动的。
《数据安全法》要求利用互联网等信息网络开展数据处理活动的,首先要遵守等保制度,在此基础上,所有的数据处理活动均应当履行数据安全保护义务,包括建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施等。
五、关于数据出境
数据出境一直是个挺敏感的法律问题, 10年前,马云把阿里的支付宝股权转到了自己控制的一家公司的名下,主要理由就是支付宝有很多金融数据,外资不进入为宜。其实这个事情就是金融数据出境闹的。随着全球化深入,中国公司开展内部业务时也会有数据出境问题,如中国公司在美国加州设立了研发中心,当美国研究人员访问中国国内服务器上的数据也有数据出境问题。因为互联网发展太快,数据跨境传输的法律一直跟不上,所以很多问题都有点模糊。这次《数据安全法》的出台是数据出境立法的一个进步。
《网络安全法》和《数据安全法》对数据出境分别在不同层面进行了规定。《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。
而《数据安全法》对于数据出境的要求,并未区分“个人信息”和“重要数据”,规定国家将建立数据分类分级保护制度,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,而列入目录中的数据就是“重要数据”如果是关键信息基础设施的运营者需要将“重要数据”出境的,应适用《网络安全法》的规定;其他数据处理者需要将“重要数据”出境的,由国家网信部门会同国务院有关部门制定相关的管理办法。
此外,《数据安全法》还特别地规定了境外司法执法机构要求提供数据时的处理,即国家按照缔结或参加的国际条约、协定,或者按照平等互惠原则,处理相关请求。并且任何组织或个人在未经主管机关批准之前,不得向境外的司法执法机构提供数据。
以上是笔者个人对于《数据安全法》部分内容的解读,其实这部法律新规定了不少内容,有兴趣的朋友可以通读一下法律全文进一步了解。
本文作者:游云庭,上海大邦律师事务所高级合伙人,知识产权律师。电话:8621-52134900,Email: yytbest@gmail.com,本文仅代表作者观点。