數據安全成貴公司戰略新指揮棒 企業如何應對?
來源:中國經營報
原標題:數據安全指揮棒
文/屈麗麗
一場被觸發的中概股監管風暴,讓大量企業意識到,自己的頭上又高懸起了一柄利劍,這就是數據安全。由此,網絡安全審查、數據安全對很多企業來說,正成爲當下不可迴避的重要問題。
有相關企業合規部門的人士告訴《等深線》記者,之前數據安全等方面的問題,一般在企業內部都被視爲合規部門的業務,通過合規部門和業務部門的相互協調而實現,但是,自這一場監管風暴觸發以來,數據安全、網絡安全等,已經成爲公司戰略層面的重要甚至是核心內容之一。“這與以前的情況是完全不同的。”一位互聯網企業合規部門的人士說。
這並不是一柄全新的達摩克利斯劍,《網絡安全法》、《民法典》、《數據安全法》、《刑法》、《電子商務法》、《消費者權益保護法》,以及正在制定中的《個人信息保護法》等構建了網絡安全和數據安全領域近乎完整的法律體系,這一切,實際上早就存在。
而另一方面,各個地方已經推出或正在推出的《數據條例》也將進一步強化數據保護和利用中的規則。
北京大學法學院(互聯網法律中心主任)張平教授告訴《等深線》記者,“無論是已經實施的《網絡安全法》,還是正在制定過程中的《個人信息保護法》,都規定了縣級以上行政主管(監管)部門在網絡安全保護、個人信息保護方面的監督管理的職責。這對在全國範圍內進行經營的企業來說,關注區域(屬地)合規及其引發的法律風險同樣不容迴避。”
事實上,伴隨地方數據“立法”風起雲湧,一些頭部企業開始擔心由此帶來的長臂管轄問題,以及縣級以上行政主管部門的“處罰”是否可以重複進行的問題。
而在國際層面上,各國之間能否打造數字化的國際規則和秩序也正影響着企業之間的貿易和投資活動。
清華x-lab數權經濟實驗室主任鍾宏也告訴記者,“數據即權力。伴隨數字經濟爆發,數據成爲新的生產要素,數據的獲得和使用將成爲決定一個國家經濟發展的關鍵資源。同時數據也是新的權力來源,數據的流通和管控可以成爲影響國際政治關係的新的戰略武器。傳統國際貿易體系和構建於‘二戰’後的國際治理體系,都已不適應數權時代的新要求,正在孕育嶄新的數字化國際規則和秩序。”
“從歐盟的GDPR,到美國的CAPP及其各州的法律,再到APEC對數據和隱私保護問題的關注,不難看出,各國都將數據權利上升到前所未有的國家主權的高度,這可能會讓數據保護制度成爲國家間新的競爭領域以及貿易壁壘。”張平告訴記者。
面對國際國內的數據新秩序,國內企業到底該如何應對,他們面臨怎樣的困惑和問題,接下來國家相關法規、政策的細化方向又會有着怎樣的趨勢,企業如何更早地做出合規準備,對此,記者採訪了來自資本、法律、技術等不同維度的專家學者,以及企業的經營管理人員,希望藉此勾勒出一張數據安全面前的“企業合規地圖”。
深圳的立法創新嘗試
6月7日,《深圳經濟特區數據條例》(以下簡稱《深圳數據條例》)正式對外公佈,並將於明年1月1日起施行。可以說,這是國內數據領域首部基礎性、綜合性立法。
對此,中國政法大學互聯網金融法律研究院院長、參加《深圳數據條例》全程起草的權威專家李愛君教授告訴記者,“該《條例》是爲實現國家大數據戰略,保證國家安全、社會利益、公共利益和個人合法權益以及促進數字經濟發展,由深圳經濟特區率先制定的,以‘數據’爲調整客體,以規範促進數字經濟發展爲終極目標的,對個人數據、公共數據、數據要素市場培育和數據安全的首部具有基礎性和綜合性的立法。”
在李愛君教授看來,“一方面,此《條例》是在遵循憲法和法律、行政法規基本原則的前提下,立足改革創新實踐的需要,根據授權對法律、行政法規、地方性法規作變通進行立法。另一方面,在具體的操作環節上也有大量的創新。”
“舉例來說,《條例》創新性地提出‘自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益’,該規定是根據數據和數據所承載的信息所呈現的不同主體利益進行的規定,其目的是爲了解決數據在開發利用過程中出現的對個人數據人格利益和國家安全的保護,以及數據市場經營主體的合法權益。“
“可以說,這一規定有利於促進數據的價值挖掘和促進大數據技術的發展,也充分實現了本《條例》以規範促發展的立法目標。”李愛君表示。
同時,“針對上述數據產品和服務,‘可以依法自主使用,取得收益,進行處分’的規定,也試圖創新性地從數據產權的維度來解決數據開發利用過程中的數據財產歸屬問題。”
對此,李愛君向記者分析指出,“數據產權不是法律意義的所有權,它是佔有、使用、處分、收益等各種合法權益的集合。這也體現了該《條例》對數據本質認識的體現,即‘數據’可佔有,數據可通過佔有來排他,但數據所承載的信息是不可佔有,也不可排他,只能通過法律規定來實現排他。”
“但數據非排他性體現在數據使用環節,佔有通過數據的無限複製的特性來實現非排他。因此‘數據產權的權利束’中的權利行使可以根據所承載的內容規範行使和分離。”
事實上,上述立法背後底層邏輯的分析,揭示的恰恰是很多地方在數據立法上面臨的困惑和問題。
此外,李愛君教授還告訴記者,“《條例》爲促進發展,降低數據市場經營主體的成本和合法成本,創新地提出對個人數據和公共數據的分級分類的同意規則和安全標準。爲維護數據要素市場的公平秩序,《條例》建構了‘數據要素市場培育’和數據要素市場公平競爭和消費者權益保護的制度體系。”
“爲解決數據侵權行爲的隱蔽性、取證難和維護成本高造成的數據要素市場的逆向選擇,劣幣驅逐良幣的問題,《條例》規定了公益訴訟的制度。同時,《條例》通過制定具體的責任機制一改地方立法責任空泛、不具體而導致立法無法達到應有的引導性、阻嚇性和懲治性,從而實現公平與正義(比如《條例》第九十五條規定)。”
多地積極響應數據“立規”
事實上,不只是《深圳數據條例》,在此之前,貴州省已經出臺了自己的數據條例——《貴州省大數據發展應用促進條例》,並號稱爲“全國首部大數據地方性法規”。而在此之後,包括杭州、成都、北京等諸多城市都在醞釀推出本地方的數據條例。
那麼,在全國層面的數據立法已經相對成形的背景下,在《網絡安全法》《民法典》《數據安全法》,以及正在制定中的個人信息保護法對國家安全、數據安全、個人信息保護已經建構起近乎完整的保護體系的情況下,爲什麼各個地方還要制定適合本地方的數據條例呢?
事實上,我們國家此前曾出臺過很多法律,地方並沒有如此急迫地跟進。爲什麼數據立法會在各地形成風起雲湧的態勢呢?
對此,張平告訴記者,“這與我們國家的大數據發展戰略有關。2015年國務院發佈了《促進大數據發展綱要》,提出了建設數據強國的目標,建設數據強國就會有數據利用,加上中國人口資源的基數奠定了我國電子商務發展的領先優勢,從而開啓了地方對數據經濟的關注。”
“緊接着,2019年,黨的十九屆四中全會通過了《中共中央關於堅持和完善中國特色社會主義制度、推進國家治理體系和治理能力現代化若干重大問題的決定》,提出建立健全勞動、資本、土地、知識、技術、管理、數據等生產要素由市場評價貢獻、按貢獻決定報酬的機制。這是首次提出數據作爲生產要素的文件。”
2020年4月,中共中央、國務院印發了《關於構建更加完善的要素市場化配置體制機制的意見》,其中第六部分專門提到要加快培育要素市場。
在張平看來,“地方的積極性正是緣於此,中央的文件就是要求地方加快培育數據要素市場,構建數字經濟模式,地方政府當然也都會將其作爲新的經濟增長點。”
此外,2020年12月,中央印發了《法制社會實施綱要》(2020—2025年)提出要建立健全數據安全管理制度。“2020年一系列的立法也是呼應了這樣一個五年的立法計劃。”張平表示。
“最近發改委也正研究起草制定培育數據要素市場的政策文件,倡導各地方政府對數據要素市場的培育進行部署。比如深圳的數據條例就提出政府要構建城市大數據運營中心。那麼,深圳建了,其他城市是否也要建設類似的大數據中心呢?”
“可以說,國家戰略、立法計劃、政府文件都極大地影響了各個地方政府在發展數字經濟、進行數據保護方面的積極性,這也是地方數據立法風起雲湧的重要背景。”張平告訴記者。
作爲北京大學法學院互聯網法律中心主任、北京大學粵港澳知識產權發展研究院執行院長,張平參與了《深圳數據條例》的徵求意見。在她看來,《深圳數據條例》有更爲特殊的背景。
“首要的背景是2019年8月9日,中共中央、國務院印發《關於支持深圳建設中國特色社會主義先行示範區的意見》,在這個意見中,給予了深圳一些特別立法權,包括試驗區在法律適用、激勵政策、數據安全和數據共享利用方面可以先行先試,通過示範最終輻射到全國。”
“其次,深圳是高新技術企業和大數據企業的聚集地,有很多企業涉及數據安全、數據利用、數據流轉的新問題。在全國還沒有把這些問題弄清晰之前,在深圳先做試點,可以爲大數據企業合規利用數據資源指明方向。”
再有,深圳在經濟領域的優勢,不僅體現在數據產業,還體現在製造業鏈條上,比如東莞一帶就有非常全面的製造業集成,而傳統制造業數字化過程的基礎同樣是數據的流轉、利用和分享,這同樣也是深圳的產業優勢和示範所在。
在張平看來,“《深圳數據條例》是一個綜合性的數據立法,這樣的先行立法在全國領域內是一個信號,也是全國人大和社會各界達成的一個基本共識,它將對全國立法產生指導,對未來數據市場的構建、數據安全的細化規定都具有借鑑意義。”
對於未來國家層面是否會有一部數據領域的綜合性立法,張平告訴記者,“目前沒有看到這樣的立法跡象,《數據安全法》和《個人信息保護法》是本屆人大期間的立法任務,在本屆人大結束前一定會推出。綜合性立法如果放到下屆人大立法計劃中,推出也要好多年之後。我認爲如果現有的各部門法已經把問題在不同側面反映並解決,也就不再需要一部綜合性的法典式的立法。”
企業“探問”管轄問題
然而,正當業內人士認爲《深圳數據條例》將對我國其他地區進行地方性數據立法提供重要借鑑意義時,一些頭部企業已經開始擔憂,各個地方積極的數據“立規”,是否會引發長臂管轄的問題呢?
張平告訴記者,“有一些企業擔心,現在各地方都在制定數據條例,但這些條例適用的地域範圍不是很清晰。數據本身是流動的,是沒有地域性的,儘管企業可能是在你的行政區域提供服務,但它同時也是覆蓋全球的。所以,數據的開發和利用不太應該有很強的地域色彩,特別是執法上更不應該有很強的地域性。”
“舉例來說,地方條例裏都有關於執法的內容,對於某一個地方的行政監管部門來說,是按照數據流轉的屬地原則實施監管,還是按照數據企業的歸屬原則加以監管,這涉及地方管轄權的問題,如果各個地方的行政監管邊界不清晰,容易導致所謂的‘長臂管轄’。”
由此,在流動的數據面前,地方立法很難迴避長臂管轄的問題,明明是一個地方的條例,但它的職權、監管的範圍卻可能會超越了它的本地,成爲全國性的監管。
事實上,最近一年來,張平所率領的團隊對很多互聯網平臺企業進行了調研,在調研中,她瞭解到很多企業都有一個基本的困惑性問題,那就是在數據安全方面,合規如何實現。
“現在企業做數據合規,像數據在使用過程中的告知同意原則、目的必要專用原則、安全保障原則等,大部分企業在形式要件上基本都能做到,也會有很好的隱私政策,但海量數據的收集和利用千差萬別,企業服務時時更新,精準服務和廣告推送已成趨勢,企業的數據應用實踐做不到隱私政策中的承諾,特別是在數據共享中做不到對原始數據主體的再告知—同意。”張平告訴記者。
的確,有企業就表示,“如果企業不是惡意地把數據倒買倒賣,拿出去詐騙,而是已經盡到了注意義務,已經制定了政策,儘可能地採取了措施,那麼在未來法律責任的承擔上,是否能有一個‘填平’原則,由企業做基本賠償,而承擔懲罰性賠償,或過高的刑事責任。”
“涉及刑事責任的合規問題正成爲企業普遍性的擔憂,因爲目前我國刑法中已經設立了個人信息罪,《數據安全法》裏也有泄露國家機密罪等罪責的規定。企業希望,如果企業已經盡到了特別充分的注意義務,是否可以減少刑事風險?”張平告訴記者。
不過,對於企業在未來法律責任的承擔上,是否能有一個“填平”原則,或者“如果企業已經盡到了特別充分的注意義務,是否可以減少刑事風險”的問題,有專家表示,“‘盡到最大注意義務’這種提法反倒會給司法部門、監管部門帶來更多的自由裁量權,也會成爲企業履行數據保護義務的藉口,進而爲執法帶來很大的不確定性,甚至導致膽子大的企業就去做了,膽子小的企業就保守一些,在某種程度上造成更大的不公平。”
上述專家同時也認爲,“注意義務、填平原則更多是民事和商事的範疇,能不能適用於刑法和行政處罰的免責條件值得商榷。目前互聯網平臺數據使用亂象嚴重,在收集和使用數據方面造成了極大的危害,企業很難用一個‘盡到注意義務’來免責。”
“數據安全不是一個純粹的民事或商事的範疇,也不僅僅是財產權和人格權的問題,它同時涉及的還包括國家安全和公共利益的問題,從這個角度來看,也將進一步突顯地方數據立法的嚴肅性。”
不僅如此,一國立法導向也與其技術發展戰略密切相關。上述專家也指出,“現在的立法導向其實是希望推動企業在隱私技術方面更進一步,就像歐盟的GDPR立法會進一步推動歐美企業在隱私保護方面的技術進步一樣,中國的立法如果給企業留下太多的爭議空間,那麼企業的注意力可能就不會聚焦在技術進步上,反而會選擇更低成本的做法。”
當然,很多企業也注意到國外在數據安全問題上的行政處罰都是非常高的,動輒被罰幾十億美元或歐元。目前我國企業中還沒有出現鉅額罰款的情況,但伴隨《網絡安全法》《數據安全法》的實施以及《個人信息保護法》的出臺,很多業內人士判斷,鉅額的罰款一定會出現。
由此,如何減少刑事風險和鉅額罰款的風險,成爲企業在數據合規上方面思考的重要問題。
熟悉數據安全立法的王新銳律師就曾提醒:“《數據安全法》和正在醞釀推出的《個人信息保護法》,對違法行爲的最高處罰是很重的,一個是 5000萬元,加上5%的企業營收,一個是1000萬元,這樣高的處罰金額在法律中是不常見的。”
而這個處罰中5%的營業額,正成爲很多企業的夢魘。“5%的營業額是很高的,在地方立法之後,很多企業會擔心,這是國家統一的一次性處罰,還是不同地方的行政執法部門都有這個權限。比如,一家企業在本地被罰了5%的營業額,其他省市也認爲其有(個人信息)嚴重侵害的問題,再罰5%,那企業就受不了了。”張平告訴記者。
值得注意的是,無論《網絡安全法》,還是個人信息保護法草案中,都賦予了縣級以上的行政主管部門的監管權利。“聯繫到此前對P2P金融案件的監管,各個地方都會搶案子,把管轄權拉到本地方來,這是企業比較擔心的問題。”某企業高管李華(化名)告訴記者。
據李華透露,“如今,數據立法的過程中會向社會各個渠道徵求意見,我們也都會去反映。”
不過,對於企業之於地方數據立法的擔憂,有法律專家認爲“引發管轄權爭議是不可避免的,無論是網絡立法,還是數據立法都存在這個問題,因爲對‘違法行爲發生地’本身就存在多種理解。在執法實踐中,要麼誰先立案、誰先管轄;要麼由上一級機關指定管轄,通常是具體到個案再具體分析具體應對。不過,因爲還有‘一事不二罰’的總體原則框着,問題並不大,不會增加企業太多的負擔。”
曾參與多個地方數據立法的李愛君也告訴記者,“企業的擔憂大可不必。這是因爲:首先,目前各地方在數據方面的立法幾乎都是促進立法,是對我國大數據戰略發展有利的。對企業來說,可以根據自身的發展戰略來選擇經營的區域。”
“其次,即便地方立法是屬於管理和規範性質的,它也是在國家憲法、法律和行政法規的框架下制定的,不會違背國家憲法、法律和行政法規來增加數據要素市場主體的義務,更多隻是把國家的法律和行政法規具體化和可操作化,更加符合本地區發展和助力地方問題的解決。”
“再次,《網絡安全法》《數據安全法》《電子商務法》《消費者權益保護法》《民法典》的實施,使得對數據開發利用的法律已有了基本的法律規定,地方立法從數據安全、消費者權益保護方面都有相對明確的立法依據,因此不會造成地方立法的制度不當的競爭。”
合規難易度之辯
企業基於商業模式的拓展會衍生風險,而很多公共機構連基本政策都沒有。那麼,在數據安全問題上,哪些環節的合規是企業現階段很難做到的呢?
對於這個問題,張平告訴記者,“現階段我們使用的各種APP,比如買票軟件、打車軟件、訂餐軟件等,目的一般應該是善意的,是爲了給公衆提供各種各樣的服務。但在提供服務的過程中,企業必然要收集用戶的地理位置信息。同時還要收集用戶的電話信息、通訊錄信息,甚至是照片信息、拍攝和視頻信息等等。這時人們就會質疑,僅僅是提供送餐或外賣服務,收集這些信息已經屬於過度收集了。”
李華告訴記者,“很多信息的收集看似在必要和非必要之間,但要爲以後商業模式的再開發帶來便利,得到的授權就會越多越好。誠然,企業僅僅是當下需求的授權,確實萬無一失,但商業的驅動以及數字經濟的本質使然,企業必然不滿足於當下的模式,這也是風險衍生的所在,稍微過度的收集就可能會產生不合規的地方。”
當然,數據安全的合規問題並不僅僅出現在企業身上,有些公共機構在收集信息時甚至連基本的政策都沒有。
“以人臉識別爲例,現在高鐵、機場、大學、辦公樓、機關,甚至一些寫字樓都需要刷臉識別。如果沒有政策,即使它再善意,它也是不合規的。比如,某機場是一個高度智能化管理的機場,那麼這個機場就必須要給出一個很完善的隱私政策。但在該機場的網站上,至今連告知和安全保障的政策都沒有,就把旅客的信息都收集到了,不光是人臉,包括行走的姿態、出行信息等全過程的數據都被收集。這些數據如何保障安全存儲和利用,一旦有數據泄露的問題怎麼辦?收集這些信息有沒有目的專用,在鼓勵數據分享時是否可以給其他企業利用等都沒有明確告知。”張平告訴記者。
在張平看來,“互聯網企業迫於行政監管的壓力,大都制定了隱私政策。而政府機關、大學、媒體、報社幾乎沒有,這些公共機構每天也都在做數據收集的事情。”
“尤其是人臉識別技術的廣泛應用,從智慧城市、智慧校園、智慧社區,到大、中、小學生入校都要刷臉,上班回家都要刷臉,細思極恐,其中的大數據安全不言自明。”
“再次希望呼籲一下,人臉識別技術,尤其是一些重要場所和人羣的人臉識別技術的應用應當慎用。”
在張平看來,“有些事件單純地看起來屬於個人信息安全的範疇,但當把大量的個人信息彙總在一起,就會上升到特定羣體安全和國家安全的問題。”
“由此,地方數據條例最關鍵最核心的問題還是要保證數據安全,在安全的前提下開放一部分沒有個人身份信息的數據,像科學數據、天氣、地理信息等。
跨境傳輸需要安全審查
一方面是企業在全球化背景下的數據流動問題,另一方面是企業併購、融資、上市過程中引發的數據出境問題,所有這一切,讓涉及國家主權的數據安全正變得越來越敏感。
“當前的網絡安全審查爲很多互聯網公司和數據存儲公司敲響了警鐘,也提醒很多企業到海外上市或進行交易時,一旦涉及數據跨境的問題就需要主動提出安全審查的申請。”張平告訴記者。
“這不是中國的特別規定,世界上任何一個國家,凡是進行數據立法的,都有對數據本地化存儲、本地化運用的要求。一方面,數據跨境傳輸需要安全審查,另一方面即便審查通過也不可以自由流轉,這是共識。”張平指出。
對於海外上市的企業來說,上市時是否提交審計底稿,如何提交審計底稿就成爲了一個無法迴避的問題。一方面上市地基於加強信息披露的目的會要求上市企業提交本企業的審計底稿,比如美國證監會和美國公衆公司會計監督委員會(PCAOB)要求已在美上市公司最遲於2022年1月1日前滿足PCAOB開展檢查的相關要求。
而另一方面,中國證監會強調中方從未禁止或阻止相關會計師事務所向境外監管機構提供審計工作底稿。但中國法律法規要求的實質是,審計工作底稿等信息交換應通過監管合作渠道進行,這是符合國際慣例的通行做法。
這意味着,審計底稿作爲重要的信息載體,需要經過安全審查,不能引發國家安全的風險。
上海段和段律師事務所合夥人劉春泉律師告訴記者,“對企業的網絡安全審查,美國早已率先建立了完備的制度。2014年5月22日,中央網信辦的網站上曾經刊載過一篇文章《美國是如何進行網絡安全審查的》(來自新華網),該文章指出,“(早在)2000年,美國率先在國家安全系統中對採購的產品進行安全審查,隨後陸續針對聯邦政府雲計算服務、國防供應鏈等出臺了安全審查政策,將全方位、綜合性的供應鏈安全審查對策上升至國家戰略高度。”
“美國要求被審查企業簽署網絡安全協議,協議通常包括:通信基礎設施必須位於美國境內;通信數據、交易數據、用戶信息等僅存儲在美國境內;若外國政府要求訪問通信數據必須獲得美國司法部、國防部、國土安全部的批准;配合美國政府對員工實施背景調查等。”
對於上市公司的審計底稿來說,未必涉及大量的用戶數據,但一定會涉及供應鏈信息,比如核心設備的提供商,這也恰恰是數據安全的關鍵環節。
“由此,哪一類數據應該被定義爲重要數據,需要進行單獨規範就變得非常重要。國家有關部門後續還會有各類的標準和指南,包括重要數據的認定、重要數據的安全審查等等。”張平表示。
在重要數據的認定之外,國家立法中對關鍵信息基礎設施的具體範圍和安全保護辦法已有涉及,比如《網絡安全法》第31條就提到“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。
“同時,企業採購網絡產品和服務,如果可能涉及重要數據和個人信息跨境並帶來國家安全風險問題,也需要提起高度警惕。”劉春泉表示。
一位活躍在國際舞臺上要求匿名的投資人則告訴記者,“在網絡時代,網絡已經成爲了一個國家基礎設施的重要紅線,這就要求企業必須要提高重視度,並將數據安全審查納入企業合規清單中。比如,企業在做大的招商引資、併購、融資項目時,甚至是高管變化,引入新的管理層或決策層成員(董事會成員)時,都應該主動申請安全審查。”
“按照國內法規的要求,企業在赴美上市前應該主動向主管部門提出安全審查的申請,這應該是投行在上市準備工作清單中列出的。同時,按照慣例和企業上市的工作流程,負責在上市的美國律所會請中國的律所進行配合,由中國律所出具相應的法律意見。而且, 一般情況下,大投行負責上市項目時,對於比較敏感的行業,都會找一些擁有海外背景同時通曉國內問題的專家進行審覈,以繞過一些致命的事件。”
然而,王新銳則告訴記者,“此前海外上市業務中,企業並沒有主動向主管部門申報的問題,也沒有相應的流程,數據出境的自評估也沒有形成行業慣例,主要還是看企業自己的意識。”
由此,這次由主管部門啓動的網絡安全審查爲更多的企業敲響了警鐘。“安全審查會成爲信息時代的重要措施,出於謹慎,企業應該主動將安全審查列入第一清單之中。”上述投資人表示。
王新銳也告訴記者,“在當前的法律環境下,企業數據出境可能會違背強制性境內存儲要求、未完成出境安全評估、未獲取數據主體授權同意等風險。因此,企業在數據出境前應當做好以下四個方面的工作。”
“首先,企業要評估出境數據的性質,是否包含個人信息、重要數據、人類遺傳資源信息、人口健康信息等受到我國法律法規出境限制的數據類型。”
“其次,若涉及上述類型數據,需進一步分析是否具有境內存儲的強制性要求,或需要按照相關法律法規規定向相關主管部門申請審批或備案。”
“再次,通過上述審查後,數據出境前需要按照相關規定進行安全評估。”
“最後,通過安全評估的,涉及個人信息的,出境前還需獲得數據主體的授權同意,並與境外接收方簽訂協議約定雙方的權利義務和數據保護責任等。”
安全審查辦法重點突出
2021年7月10日,正值網絡安全審查法律實施行動備受關注之際,網信辦官方網站公佈了《網絡安全審查辦法(修訂草案徵求意見稿)》(以下簡稱“修訂稿”),“修訂稿”從申報網絡安全審查的主體,到審查機制相關單位,再到審查範圍、審查門檻、申報材料、審查重點和考慮因素等都做出了重大調整,進一步揭示了國家對於網絡安全和數據安全的重視程度。
對於《網絡安全審查辦法》的修訂背景,張平告訴記者,“網絡安全審查辦法(徵求意見稿)的制定是數據安全立法大環境下的必然之舉。一方面,數據無國界,不管是地方還是國家,都需要統一數據傳輸與安全的審查標準。秩序的統一有利於規範數據處理活動,防範國家安全風險,有利於更有效地保護核心數據、重要數據。”
“另一方面,同樣是基於目前市場上出現的對數據的不當處理以及對數據跨境流動安全意識的忽視等情況,因此需要從規則層面規範數據處理行爲,維護國家安全。”
值得注意的是,我國的網絡安全審查制度始於《網絡安全法》2017年6月1日生效後同步實施的《網絡產品和服務安全審查辦法(試行)》,該試行辦法實施了三年,2020年4月27日,由網信辦等12部委聯合發文《網絡安全審查辦法》並於2020年6月1日生效,取代了之前的試行辦法。
“一般來說,正式出臺的規章一年左右即予以修訂比較罕見,這次修訂是有上位法發生變化的大背景,即我國《數據安全法》已經通過並即將於2021年9月1日生效,由於《網絡安全法》與《數據安全法》分別是通過不同角度立法共同完善覆蓋網絡信息和數據領域的重要法律制度,兩者是互相補充密切相關的配合使用的,因而本次修訂是增加了《數據安全法》作爲法律依據。”劉春泉告訴記者。
劉春泉分析認爲,“本次修訂主要是根據即將生效的數據安全法相關規定對原網絡安全審查辦法進行了修訂,增加了網絡安全審查中需要根據數據安全法規定予以配套的內容。”
對於修訂稿中的主要變化,王新銳律師告訴記者,“《網絡安全審查辦法》的修訂草案有大約15處,其中最值得關注的一是將審查的範圍進行了擴大,比如在第一條中加入了《數據安全法》作爲上位法依據,在第二條中將適用範圍擴展到‘數據處理者開展數據處理活動’,由此《網絡安全審查辦法》不光是進行網絡安全審查,亦涵蓋了《數據安全法》建立的數據安全審查制度。”
“另一個值得關注的變化是將證監會加入網絡安全審查工作機制,使參與審查的部委擴大到了13家。”王新銳表示。
劉春泉則告訴記者,“‘修訂稿’將申報網絡安全審查的主體進行了擴大,從原來的關鍵信息基礎設施運營者一種,增加了《數據安全法》規定的數據處理者,而後者可涵蓋的對象可能遠遠大於前者。”
“申報門檻進一步明確,要求掌握100萬用戶個人信息的企業赴國外上市即需要申報網絡安全審查。對實務工作者來說,這是操作性最強、判斷最爲直接的依據,也是這次‘修訂稿’最爲受人關注的亮點。”
來自投資領域的業內人士則告訴記者,“中國擁有龐大的人口基數,從而奠定了中國早年發展電子商務的優勢。對於很多創業過程中的企業來說,掌握100萬用戶個人信息的企業基本可能處在A輪B輪融資的階段,數量應該不在少數。”
對於“修訂稿”將網絡安全審查機制相關單位從原來的12部委進一步擴大,將證監會納入進來,劉春泉認爲,“這是一個非常值得關注的變化,因爲全球各主要國家上市的信息披露和合規要求雖有不同,但是都有立法通過嚴厲的行政執法、投資者發起證券民事訴訟,甚至嚴厲的刑事追責等手段,強制擬上市企業必須強調真實、完整、準確披露擬上市公司的信息。對於互聯網和生物醫藥、生命科學等高科技企業來說,其掌握的科技數據、用戶數據、業務涉及的某些敏感數據可能除了是企業的業務根基外,也同時關係到所在國家的網絡數據安全甚至是國家安全。”
“對企業來說,如何平衡好擬上市地的上市企業信息披露等法律合規和監管要求與業務所屬地的業務合規要求、監管要求,這是擺在企業面前一個重要的課題。”
此外,對於需要主動申報網絡安全審查的企業來說,“修訂稿”要求將擬提交IPO材料作爲申報材料。同時,網絡安全審查的重點從採購活動進一步擴展到數據處理活動和國外上市。(劉春泉建議“修訂稿”中的“採購活動”改爲“採購行爲”,理由是法律規制的對象是行爲)
不僅如此,“修訂稿”還在網絡安全審查的考慮因素中增加了核心數據、重要數據或者大量個人信息的安全風險(包括被竊取、泄露、毀損以及非法利用或者出境的風險),以及上述數據及關鍵信息基礎設施被外國政府影響、控制、惡意利用的風險(第十條)。
對此,劉春泉告訴記者,“重要數據和個人信息是《網絡安全法》已經有規定的,核心數據是《數據安全法》新的提法,《個人信息保護法》也可能快要通過了,根據《數據安全法》確定的數據分級分類管理要求,預計未來會有更多的配套文件出臺以明確重要數據、核心數據等概念的內涵與外延。”
與此同時,細心人會發現即便“修訂稿”已經根據現實問題做了儘可能周密的設計,但爲了防止前瞻性不足導致的風險,“修訂稿”還設計了一項兜底條款,“即從其他可能危害關鍵信息基礎設施安全的一個開放式情況,增加了其他可能影響國家數據安全的因素的開放式預留兜底規定。”劉春泉表示。
衆所周知,美國2000年前後出臺過類似的網絡審查法案,對比中美政策,張平告訴記者,“目前美國的網絡安全審查政策主要是集中在信息科技領域,包括外國投資審查制度、關鍵基礎設施保護制度、供應鏈安全管理制度。在政策制定的目的上更趨向於應對外部競爭,服務於國家安全戰略,利益趨向性明顯。”
“中國目前網絡審查正邁開步伐,更加註重從國家安全層面出發,注重核心數據、重要數據的跨境流動風險防範,保障關鍵信息基礎設施供應鏈安全,維護國家安全。未來中國需要不斷完善自身的網絡安全審查機制建設,提升科技企業的合規意識,增強我國關鍵領域信息系統的安全水平。”
對於如此大規模的審查背後,是否需要第三方力量的加入,張平表示,“國家層面通過網絡安全審查辦法(徵求意見稿)形成了以中央網絡安全和信息化委員會爲領導,聯合國家各部門力量的國家網絡安全審查工作機制。從規範管理的層面上看,網絡安全審查工作機制的建立具備了國家強有力的支持;從技術層面上看,是否需要第三方力量協助進行數據安全的審查,還得根據實務的需求進一步完善確認。”
顯然,“修訂稿”一旦通過實施,對整個社會經濟的影響將是巨大的。那麼,到底該如何看待日趨嚴格的網絡安全審查對於整體的產業環境和產業競爭會帶來的影響呢?
張平告訴記者,“首先高度認可國家對於網絡安全審查辦法(徵求意見稿)的出臺所作出的努力,該文件更加強調的是核心數據、重要數據的出境安全,也更強調關鍵基礎信息設施的網絡安全和數據安全,有助於構建一個穩定安全的產業發展環境,維護國家安全。”
“其次,該文件通過堅持防範網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合的方式來進行網絡審查,有助於提高產品和服務的安全性,帶動整個產業環境的有序發展。”
“企業需要做的就是加強學習,儘早樹立合規意識,從企業組織和業務流程上建立起相應的制度,並有專門的安全部門或合規部門督促落地。”張平表示。
