“流动”的数据,“铁打”的合规:解析《网络数据安全管理条例》
走出去智库官方账号
走出去智库观察
11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称“《管理条例》”)指出,数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
走出去智库(CGGT)特约法律专家、君泽君律师事务所叶姝欐律师指出,就跨境数据安全管理方面的规定,《管理条例》大体参考了在先出台的《个人信息保护法》以及《数据出境安全评估办法(征求意见稿)》。更进一步地,《管理条例》还在第三十九条具体列举了数据处理者向境外提供数据应履行的合规义务。而如我国出口管制项下的数据类物项,最终确被界定为“重要数据”,那么作为此类数据处理者的企业,在进行“出口管制数据”等“重要数据”的相关出口交易时,不仅应履行《出口管制法》及相关法规项下的合规义务(包括但不限于申请出口许可证),也要符合数据保护相关的合规要求。
跨境数据如何做好合规管理?今天,走出去智库(CGGT)刊发叶姝欐律师团队的分析文章,供关注跨境数据管理的读者参阅。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、在《出口管制法》已将出口管制上升到维护国家安全和利益的层面后,将出口管制物项相关联的技术方面等数据作为重要数据进行监管是国家安全和公共利益保护的应有之义,也体现了我国在数据保护立法层面的统一性。
2、就境外上市而言,在数据层面最核心的即是数据出境后的安全问题,因此,在相关法律规范尚缺乏进一步释明的情况下,相关数据处理者或可结合目前国家在数据出境方面的明确安全监管重点,即从国家秘密、核心数据、重要数据、达到一定体量的个人信息和敏感个人信息等角度,综合考虑所处理的前述数据在数据处理者上市后是否可能存在因被恶意控制、违规滥用、不法利用而引发影响国家安全的风险,并采取必要的风险防控措施。
3、在“出口管制数据”被认定为“重要数据”的前提下,通过前述安全评估也将成为此类数据处理企业跨境交易的合规义务之一。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
“互联网”顾名思义,没有“互联”构不成“网”。但也正因如此,网络世界以“光速”融入现实生活,成为我们密不可分的一部分生活环境。笔者身边就完全找不出“断网”的人群。社会服务效率的提高也会需要将更多的国民融入网络服务体系,所以涌现了“老年版”各类便捷APP。在互联网产生、存储的数据越来越多的今天,网络数据安全保护迫在眉睫。2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称“《管理条例》”)并向社会公开征求意见,意见反馈截止时间为2021年12月13日。《管理条例》拟以《网络安全法》、《数据安全法》以及《个人信息保护法》作为其上位法,较为全面且细致地对在中国境内利用网络开展数据处理活动以及在中国境外处理中国境内个人和组织数据的特定活动的行为进行规范(第二条、第三条)。笔者将重点关注《征求意见稿》中与数据跨境相关的数据合规问题,主要包括与出口管制、拟出境的数据、需要境外上市的数据处理者相关的合规要求以及我国最新的跨境数据国际合作举措。
首先,《管理条例》在《数据安全法》第二十一条提出的“数据分类分级保护制度”基础上,明确“将数据分为一般数据、重要数据、核心数据,不同级别数据采取不同的保护措施”(第五条)。目前,国家已在有计划地对数据分级分类保护制度进行细化,例如,2021年9月30日发布的《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》拟界定工业和电信领域中一般数据、重要数据及核心数据的概念及范畴;又如,2021年10月1日生效的《汽车数据安全管理若干规定(试行)》已明确定义汽车行业中所涉及的“重要数据”,并以列举形式固定了部分受监管的重要数据类型。而对于网络环境下的“重要数据”,《管理条例》在第七十三条中将其定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,并以列举方式划定了重要数据的范畴。
笔者注意到,《管理条例》明确将“出口管制”类“数据”划入了前述重要数据范畴。我们认为,在《出口管制法》已将出口管制上升到维护国家安全和利益的层面后,将出口管制物项相关联的技术方面等数据作为重要数据进行监管是国家安全和公共利益保护的应有之义,也体现了我国在数据保护立法层面的统一性。对于《管理条例》中所指的“出口管制数据”,在我国现行法律体系下并未对其进行定义的前提下,我们认为,对“出口管制数据”一词可能存在多种理解方式。如果紧扣“出口管制”,我国出口管制的核心在于管制物项,“出口管制数据”是否是指根据《出口管制法》确定的可以以电子或其他方式记录的管制物项?例如,列入《两用物项和技术进口许可证管理目录》的某种数据类的管制技术,例如,以光盘刻录形式记载的受管控的技术。但如果做广义解读,“出口管制数据”是否可以理解为与管制物项相关的所有数据呢?例如,记录在海关系统内的管制物项出口数量等信息?在“出口管制数据”尚未有明确法律定义时,任何一种解读或都有合理性同时也都有局限性,因此就如何识别《实施条例》中的“重要数据”之一的“出口管制数据”,我们期待最终版《管理条例》中对该词的最终定义,或后续的行政执法及司法实践中对该类数据的认定。《管理条例》在第七十三条第(三)款第2项将“出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据”明确定义为重要数据,我们认为,这是《管理条例》为与《出口管制法》第二条第二款(“管制物项,包括物项相关的技术资料等数据”)相呼应而作出的定义,并且《管理条例》以列举形式进一步对相关数据进行了一定的延展,我们认为这彰显了其从立法目的上,是希望相关合规义务主体能更加准确地自行识别这类与出口管制相关的重要数据类型,以期规范、保护这类可能涉及国家安全的重要数据的网络数据处理活动。
对于《管理条例》监管的重头对象——个人信息及重要数据,《管理条例》以《个人信息保护法》、《数据保护法》等上位法的规定为依据,分别在第三章及第四章以专章对相关数据处理者应尽的法定合规义务进行了明确及细化。例如,《个人信息保护法》在第五条提出了“处理个人信息应当遵循合法、正当、必要和诚信原则”,《管理条例》在第十九条对于其中的“合法、正当、必要”进行了具体说明,拟为相关数据处理者合规工作的开展提供可落地化的参考与依据。又如,《数据安全法》在第二十七条明确规定“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任”,《管理条例》则进一步要求了数据安全负责人应为“具备数据安全专业知识和相关管理工作经历”的“数据处理者决策层成员”(第二十八条),并列举了数据安全管理机构应履行的职责,以便相关数据处理者结合要求设计内部的数据安全管理合规机构及体系。
此外,值得注意的是,此前于2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》(以下简称“《审查办法》”)拟增加“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”规定(第六条),并对赴国外上市的网络安全审查,提出将“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”作为主要考虑因素。《管理条例》第十三条在延承前述对“处理一百万人以上个人信息的数据处理者赴国外上市”应进行网络安全审查申报的要求外,还拟对“赴香港上市,影响或者可能影响国家安全的”数据处理者增加网络安全审查申报义务,但对于赴港上市下“影响或可能影响国家安全”的情形,《管理条例》并未作具体展开,建议相关数据处理者密切关注后续或有的相关案例以及官方细则,以协助判断。与此同时,我们认为,就境外上市而言(无论赴国外或赴港上市),在数据层面,最核心的即是数据出境后的安全问题,因此,在相关法律规范尚缺乏进一步释明的情况下,相关数据处理者或可结合目前国家在数据出境方面的明确安全监管重点,即从国家秘密、核心数据、重要数据、达到一定体量的个人信息和敏感个人信息等角度,综合考虑所处理的前述数据在数据处理者上市后是否可能存在因被恶意控制、违规滥用、不法利用而引发影响国家安全的风险,并采取必要的风险防控措施。
而就跨境数据安全管理方面的规定,在数据跨境提供的适用范围以及数据出境安全评估的适用范围方面,《管理条例》大体参考了在先出台的《个人信息保护法》以及《数据出境安全评估办法(征求意见稿)》。更进一步地,《管理条例》还在第三十九条具体列举了数据处理者向境外提供数据应履行的合规义务。而如我国出口管制项下的数据类物项,最终确被界定为“重要数据”,那么作为此类数据处理者的企业,在进行“出口管制数据”等“重要数据”的相关出口交易时,不仅应履行《出口管制法》及相关法规项下的合规义务(包括但不限于申请出口许可证),也要符合数据保护相关的合规要求(现行法律法规下的相关合规要求及违规后果,请见本文附件一表格),我们将本次《管理条例》征求意见稿项下的主要规定及提示梳理如下,提示相关出口企业予以关注:
此外,我国有关部门目前还在制定包括《数据出境安全评估办法》在内的各项数据出境相关配套条例、办法,建议有关企业密切关注,我们也将在此类法规正式出台后,为企业提供详细解读,以期协助企业全面、有效开展数据合规工作。
伴随着全球数字经贸新格局的发展,我国不仅在国内层面积极立法、为数据及个人信息规范处理提供国内法律依据,同时也在不断加强跨境数字经济合作。2021年11月1日,中国商务部部长王文涛代表中方向《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,“DEPA”)保存方新西兰正式提出申请加入DEPA。在提升贸易管理效率方面,DEPA提出了无纸化贸易(Paperless Trading)概念,并要求各缔约方提供与纸质版本具有相同效力的电子版本的贸易管理文件,促进前述文件相关数据(特别是进出口数据)的交换。此外,DEPA的缔约方需同意在构建电子支付系统时考虑国际公认的标准,以提高各缔约国之间电子支付系统之间的互操性。可以预见,在无纸化贸易以及电子支付的催化下,势必将出现大量的数据以及个人信息跨境。对此,DEPA不仅要求各缔约方在国内建立相应法律监管框架,还要求各缔约方寻求建立机制,以促进各国保护个人信息法律之间的兼容性和互操性。同时,DEPA还规定各缔约国建立数据监管沙盒(regulatory data sandboxes),以促进某些数据,以及个人信息在各缔约国各自的法律法规下实现共享。目前,DEPA已在新西兰和新加坡之间生效,并已于2021年11月23日对智利生效。如中国成功加入DEPA,或可对当前的数据及个人信息监管体系进行一定程度的调整,以适应DEPA的相关规定;而对于中国企业而言,在享受DEPA下无纸化贸易环境中的各项便利时,也不容忽视国内关于数据出境等方面相关规定,确保合规运营。
附件一:我国现行法律法规下的相关重要数据合规要求及违规后果
注释:
1. 第七十三条 本条例下列用语的含义:
……
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
……
2.第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
走出去智库观察
11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称“《管理条例》”)指出,数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
走出去智库(CGGT)特约法律专家、君泽君律师事务所叶姝欐律师指出,就跨境数据安全管理方面的规定,《管理条例》大体参考了在先出台的《个人信息保护法》以及《数据出境安全评估办法(征求意见稿)》。更进一步地,《管理条例》还在第三十九条具体列举了数据处理者向境外提供数据应履行的合规义务。而如我国出口管制项下的数据类物项,最终确被界定为“重要数据”,那么作为此类数据处理者的企业,在进行“出口管制数据”等“重要数据”的相关出口交易时,不仅应履行《出口管制法》及相关法规项下的合规义务(包括但不限于申请出口许可证),也要符合数据保护相关的合规要求。
跨境数据如何做好合规管理?今天,走出去智库(CGGT)刊发叶姝欐律师团队的分析文章,供关注跨境数据管理的读者参阅。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、在《出口管制法》已将出口管制上升到维护国家安全和利益的层面后,将出口管制物项相关联的技术方面等数据作为重要数据进行监管是国家安全和公共利益保护的应有之义,也体现了我国在数据保护立法层面的统一性。
2、就境外上市而言,在数据层面最核心的即是数据出境后的安全问题,因此,在相关法律规范尚缺乏进一步释明的情况下,相关数据处理者或可结合目前国家在数据出境方面的明确安全监管重点,即从国家秘密、核心数据、重要数据、达到一定体量的个人信息和敏感个人信息等角度,综合考虑所处理的前述数据在数据处理者上市后是否可能存在因被恶意控制、违规滥用、不法利用而引发影响国家安全的风险,并采取必要的风险防控措施。
3、在“出口管制数据”被认定为“重要数据”的前提下,通过前述安全评估也将成为此类数据处理企业跨境交易的合规义务之一。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
“互联网”顾名思义,没有“互联”构不成“网”。但也正因如此,网络世界以“光速”融入现实生活,成为我们密不可分的一部分生活环境。笔者身边就完全找不出“断网”的人群。社会服务效率的提高也会需要将更多的国民融入网络服务体系,所以涌现了“老年版”各类便捷APP。在互联网产生、存储的数据越来越多的今天,网络数据安全保护迫在眉睫。2021年11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》(以下简称“《管理条例》”)并向社会公开征求意见,意见反馈截止时间为2021年12月13日。《管理条例》拟以《网络安全法》、《数据安全法》以及《个人信息保护法》作为其上位法,较为全面且细致地对在中国境内利用网络开展数据处理活动以及在中国境外处理中国境内个人和组织数据的特定活动的行为进行规范(第二条、第三条)。笔者将重点关注《征求意见稿》中与数据跨境相关的数据合规问题,主要包括与出口管制、拟出境的数据、需要境外上市的数据处理者相关的合规要求以及我国最新的跨境数据国际合作举措。
首先,《管理条例》在《数据安全法》第二十一条提出的“数据分类分级保护制度”基础上,明确“将数据分为一般数据、重要数据、核心数据,不同级别数据采取不同的保护措施”(第五条)。目前,国家已在有计划地对数据分级分类保护制度进行细化,例如,2021年9月30日发布的《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》拟界定工业和电信领域中一般数据、重要数据及核心数据的概念及范畴;又如,2021年10月1日生效的《汽车数据安全管理若干规定(试行)》已明确定义汽车行业中所涉及的“重要数据”,并以列举形式固定了部分受监管的重要数据类型。而对于网络环境下的“重要数据”,《管理条例》在第七十三条中将其定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”,并以列举方式划定了重要数据的范畴。
笔者注意到,《管理条例》明确将“出口管制”类“数据”划入了前述重要数据范畴。我们认为,在《出口管制法》已将出口管制上升到维护国家安全和利益的层面后,将出口管制物项相关联的技术方面等数据作为重要数据进行监管是国家安全和公共利益保护的应有之义,也体现了我国在数据保护立法层面的统一性。对于《管理条例》中所指的“出口管制数据”,在我国现行法律体系下并未对其进行定义的前提下,我们认为,对“出口管制数据”一词可能存在多种理解方式。如果紧扣“出口管制”,我国出口管制的核心在于管制物项,“出口管制数据”是否是指根据《出口管制法》确定的可以以电子或其他方式记录的管制物项?例如,列入《两用物项和技术进口许可证管理目录》的某种数据类的管制技术,例如,以光盘刻录形式记载的受管控的技术。但如果做广义解读,“出口管制数据”是否可以理解为与管制物项相关的所有数据呢?例如,记录在海关系统内的管制物项出口数量等信息?在“出口管制数据”尚未有明确法律定义时,任何一种解读或都有合理性同时也都有局限性,因此就如何识别《实施条例》中的“重要数据”之一的“出口管制数据”,我们期待最终版《管理条例》中对该词的最终定义,或后续的行政执法及司法实践中对该类数据的认定。《管理条例》在第七十三条第(三)款第2项将“出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据”明确定义为重要数据,我们认为,这是《管理条例》为与《出口管制法》第二条第二款(“管制物项,包括物项相关的技术资料等数据”)相呼应而作出的定义,并且《管理条例》以列举形式进一步对相关数据进行了一定的延展,我们认为这彰显了其从立法目的上,是希望相关合规义务主体能更加准确地自行识别这类与出口管制相关的重要数据类型,以期规范、保护这类可能涉及国家安全的重要数据的网络数据处理活动。
对于《管理条例》监管的重头对象——个人信息及重要数据,《管理条例》以《个人信息保护法》、《数据保护法》等上位法的规定为依据,分别在第三章及第四章以专章对相关数据处理者应尽的法定合规义务进行了明确及细化。例如,《个人信息保护法》在第五条提出了“处理个人信息应当遵循合法、正当、必要和诚信原则”,《管理条例》在第十九条对于其中的“合法、正当、必要”进行了具体说明,拟为相关数据处理者合规工作的开展提供可落地化的参考与依据。又如,《数据安全法》在第二十七条明确规定“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任”,《管理条例》则进一步要求了数据安全负责人应为“具备数据安全专业知识和相关管理工作经历”的“数据处理者决策层成员”(第二十八条),并列举了数据安全管理机构应履行的职责,以便相关数据处理者结合要求设计内部的数据安全管理合规机构及体系。
此外,值得注意的是,此前于2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》(以下简称“《审查办法》”)拟增加“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”规定(第六条),并对赴国外上市的网络安全审查,提出将“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”作为主要考虑因素。《管理条例》第十三条在延承前述对“处理一百万人以上个人信息的数据处理者赴国外上市”应进行网络安全审查申报的要求外,还拟对“赴香港上市,影响或者可能影响国家安全的”数据处理者增加网络安全审查申报义务,但对于赴港上市下“影响或可能影响国家安全”的情形,《管理条例》并未作具体展开,建议相关数据处理者密切关注后续或有的相关案例以及官方细则,以协助判断。与此同时,我们认为,就境外上市而言(无论赴国外或赴港上市),在数据层面,最核心的即是数据出境后的安全问题,因此,在相关法律规范尚缺乏进一步释明的情况下,相关数据处理者或可结合目前国家在数据出境方面的明确安全监管重点,即从国家秘密、核心数据、重要数据、达到一定体量的个人信息和敏感个人信息等角度,综合考虑所处理的前述数据在数据处理者上市后是否可能存在因被恶意控制、违规滥用、不法利用而引发影响国家安全的风险,并采取必要的风险防控措施。
而就跨境数据安全管理方面的规定,在数据跨境提供的适用范围以及数据出境安全评估的适用范围方面,《管理条例》大体参考了在先出台的《个人信息保护法》以及《数据出境安全评估办法(征求意见稿)》。更进一步地,《管理条例》还在第三十九条具体列举了数据处理者向境外提供数据应履行的合规义务。而如我国出口管制项下的数据类物项,最终确被界定为“重要数据”,那么作为此类数据处理者的企业,在进行“出口管制数据”等“重要数据”的相关出口交易时,不仅应履行《出口管制法》及相关法规项下的合规义务(包括但不限于申请出口许可证),也要符合数据保护相关的合规要求(现行法律法规下的相关合规要求及违规后果,请见本文附件一表格),我们将本次《管理条例》征求意见稿项下的主要规定及提示梳理如下,提示相关出口企业予以关注:
此外,我国有关部门目前还在制定包括《数据出境安全评估办法》在内的各项数据出境相关配套条例、办法,建议有关企业密切关注,我们也将在此类法规正式出台后,为企业提供详细解读,以期协助企业全面、有效开展数据合规工作。
伴随着全球数字经贸新格局的发展,我国不仅在国内层面积极立法、为数据及个人信息规范处理提供国内法律依据,同时也在不断加强跨境数字经济合作。2021年11月1日,中国商务部部长王文涛代表中方向《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,“DEPA”)保存方新西兰正式提出申请加入DEPA。在提升贸易管理效率方面,DEPA提出了无纸化贸易(Paperless Trading)概念,并要求各缔约方提供与纸质版本具有相同效力的电子版本的贸易管理文件,促进前述文件相关数据(特别是进出口数据)的交换。此外,DEPA的缔约方需同意在构建电子支付系统时考虑国际公认的标准,以提高各缔约国之间电子支付系统之间的互操性。可以预见,在无纸化贸易以及电子支付的催化下,势必将出现大量的数据以及个人信息跨境。对此,DEPA不仅要求各缔约方在国内建立相应法律监管框架,还要求各缔约方寻求建立机制,以促进各国保护个人信息法律之间的兼容性和互操性。同时,DEPA还规定各缔约国建立数据监管沙盒(regulatory data sandboxes),以促进某些数据,以及个人信息在各缔约国各自的法律法规下实现共享。目前,DEPA已在新西兰和新加坡之间生效,并已于2021年11月23日对智利生效。如中国成功加入DEPA,或可对当前的数据及个人信息监管体系进行一定程度的调整,以适应DEPA的相关规定;而对于中国企业而言,在享受DEPA下无纸化贸易环境中的各项便利时,也不容忽视国内关于数据出境等方面相关规定,确保合规运营。
附件一:我国现行法律法规下的相关重要数据合规要求及违规后果
注释:
1. 第七十三条 本条例下列用语的含义:
……
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
……
2.第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
