听朋友圈说,最近法律界有一件大事发生:作为我国数据安全领域内的“基本法”——《中华人民共和国数据安全法》(以下简称为《数据安全法》)正式颁布了,并将于2021年9月1日正式实施。
在数字信息技术急速发展的大背景之下,《数据安全法》既是应对国内数字经济发展过程中与日俱增的数据安全隐患为个人和机构的合法权益所带来的威胁的纲领,也是保护我国在全球数据主权竞争过程中隐藏在数据安全之下的国家安全与利益的利器。
“这么高大上的内容,与我们这些平平无奇的公益机构大概是没什么关系吧?”
“是不是只有DD这样的大机构,才适用《数据安全法》呀?”
先别着急下结论,做一个小测试来判断一下。
1. 机构的业务活动是否会涉及一些实地考察、访谈或问卷等形式的调研工作?
2. 机构的业务活动中是否会涉及研究报告等含有数据内容的产出?
3. 机构日常运营中是否会用到自己的理事、监事、员工、实习生等人员的姓名、年龄、联系信息等个人信息?
4. 机构日常运营中是否会用到自己的捐赠人、受益人、志愿者等人员的姓名、年龄、联系信息等个人信息?
5. 机构的官网、公众号、微博等线上平台是否载有各种有关项目、捐赠或者平台用户的相关信息?
只要上述问题中有一个问题的答案是肯定的,那么机构的工作很可能就属于到《数据安全法》所规制的内容了。
01 与众多法律法规和国际条约交叉或衔接
《数据安全法》虽然重要,但并不是我国出台的第一部与数据相关的法律法规文件。在此之前,已经陆陆续续出台了一些法律法规、规范性文件、和其配套的法规制度等。而对于数据安全合规的把控需要结合整个法律环境,只依据《数据安全法》一部法律是完全不够的。下表是对数据安全相关法律法规和国际条约的梳理。
表1
02 适用范围广、且含有必要的境外适用空间
机构是否成立在中国境内、机构的数据相关活动是否在中国境内开展等都不是判断是否适用《数据安全法》的标准。因为从境内角度来说,《数据安全法》是以数据的处理和安全监管这两种行为为规制对象的;而从境外角度来说,它是以行为后果为触发条件的。也就是说,境内的任何数据处理和安全监管行为均受《数据安全法》管辖,一些数据处理行为,即使是在境外发生的,但若损害到我国国家安全、公共利益、公民或组织合法权益的数据处理,则也受《数据安全法》管辖。
同时,这里的数据包括以任何形式记录的任何信息,处理则包括了收集、存储、使用、加工、传输、提供、公开等各种行为。
03 实行数据的分类分级管理
不只是《数据安全法》,在此之前出台的《网络安全法》等有关数据安全的法律中,也强调了对数据进行分类等级管理和保护的有效数据治理原则。根据目前的法律规定,数据的分类分级包括两种:法定分类分级和机构自行分类分级。
1. 法定分类分级
法定的分类分级是法律直接规定的数据种类和级别,不允许机构进行更改。目前数据的法定分类分级包括以下几种:
表2
2. 机构自行分类分级
对于无法归类到上述法定分类分级中的数据信息,机构可以参照其在经济社会发展中的重要程度以及遭到篡改、破坏、泄露或非法利用后可能造成的危害程度自行分类和分级。
04 限制特殊数据跨境流动
促进数据跨境流动的安全与自由是《数据安全法》确定的原则,因此在鼓励一般数据跨境流动的基础上,《数据安全法》对部分特殊数据的跨境流动设置了一定的限制和监管措施,主要可分为以下几类:
表3
05 强调数据交易及市场秩序的合规性
1. 对于数据处理服务的资质要求
部分数据处理服务需依法取得许可证后才可提供[14],例如增值电信业务经营许可证、在线数据处理与交易处理业务经营许可证、网络文化经营许可证、互联网药品信息服务资格证、涉外调查许可证等。
2. 对于数据交易中介服务机构的责任要求
《数据安全法》明确规定了对接数据买方和卖方的中介机构需要负责的工作内容,包括要求数据提供方说明数据来源、审核交易双方的身份、留存审核和交易记录。[15]
3. 禁止不正当竞争和垄断行为
继2020年初的《<反垄断法>修订草案(公开征求意见稿)》和《国务院反垄断委员会关于平台经济领域的反垄断指南》对有关互联网这一数据市场平台的反垄断规则进行规定后,《数据安全法》也强调了不得通过非法方式获取数据或开展其它数据处理活动来排除和限制竞争。
06 强调对其他国家的反制措施
从一定角度来看,《数据安全法》同时也是中国家对于国际间数据主权竞争的一个正面回应。这不仅体现在法律起草和出台的时间与背景环境,还体现在法律正文中对于反制措施的明确规定,即如果其他国家和地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中国采取歧视性措施,中国可以视情况采取反制措施。[16]而配合我国于今年6月10日出台和生效的《反外国制裁法》,反制措施包括了不予签发签证、不准入境、注销签证或者驱逐出境;查封、扣押、冻结在我国境内的动产、不动产和其他各类财产;禁止或者限制我国境内的组织、个人与其进行有关交易、合作等。
如今距离《数据安全法》生效已经不足两个月,公益机构应当如何来准备相应的合规工作呢?我们准备了一份To do list供大家参考。
Step 1-进行机构数据盘点,并建立分类分级制度
(1)将机构以往所有行政管理和业务活动所涉及到的所有数据(以下简称为“历史数据”)进行汇集。
(2)梳理历史数据,并在这一过程中了解机构运营所涉及到的数据类型、来源、使用方式、使用范围、使用平台、存储方法、存储地点、销毁方法等基本信息。同时根据所了解到的信息,按照前文第三部分“实行数据的分类分级管理”中所列出的类别对历史数据进行分类,并记录下所分的类别。
(3)根据机构的业务范围和近期的战略计划,检查记录的分类类别是否有需要删除或增加的,确认最终版本的机构数据分类。
(4)根据最终版本的机构数据分类制定“机构数据分类制度或指南”,在其中明确规定机构数据分为哪几类、各类别的定义和界定方法、数据分类和统计的负责人等。
Step 2-建立常态化、全流程的数据管理措施
(1)在完成数据分级分类制度或指南的基础上,结合数据的分类和分级搭建机构内部常态化和贯穿数据全生命周期的数据安全管理制度。该制度既要覆盖数据的收集、存储、使用、加工、传输、提供、公开等各个环节,同时还要为不同级别和种类的数据匹配差异化的管理措施,以确保各类数据的合规要求可以满足。
(2)采纳机构业务所涉及的行业通行的数据安全技术措施,确保满足该行业内容相关技术标准和组织管理标准。
(3)机构内部应当定期或不定期地组织开展数据安全教育培训活动
Step 3-建立特定场景的数据管理措施
(1)数据出境
首先,建立出境数据的内部识别审查流程机制和安全评估制度。审查和安全评估的重点主要集中在以下几个方面:数据出境的必要性和成本;数据的类型是否属于有法定出境限制的数据;数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险等。
其次,在上述审查和评估基础上,对是否出境进行决策。可考虑将数据出境作为机构“重大事件”之一,必须经理事会2/3以上投票通过方可执行。同时,根据各地方规定或机构自身的登记管理机关和业务主管单位要求需要就此涉外事项进行重大事项报告的,应当按要求进行审批或报备。
最后,在执行数据出境时,应当与数据接收方就数据的安全等事项签订协议,并监督对方按约定履行相关义务。如遇到任何问题或风险,应及时向相关部门报告。
(2)数据安全事件
加强风险检测,并提前制定在发现数据安全缺陷、漏洞时应当采取的处理方式、补救措施、人员责任,以及相应的向主管部门和所涉第三人进行报告的相关操作。
Step 4-调整合作策略
(1)筛选合作对象。开展涉及到数据内容项目时,机构对于合作对象的尽职调查和筛选标准应当增加以下内容:
– 对方是否为具有较高数据合规义务的主体,如国家核心数据运营者、关键信息基础设施运营者、重要数据运营者、或者其他有关对于经济社会发展非常重要以及对国家安全、公共利益、个人和组织合法权益有重大影响的数据运营者。
– 对方是否为需要相应资质的数据服务提供者,以及对方是否获得了相应的资质或许可证。
– 对方是否拥有完善的数据安全管理制度和措施。
– 对方是否为境外非政府组织或其他含有涉外因素的机构或个人。
(2)筛选合作项目或调整合作内容。开展涉及到数据内容项目时,机构应当考虑该项目所涉及的数据合规风险和成本来决定是否执行该项目,或对该项目的内容进行调整。考量的角度包括:
– 项目涉及的数据中属于具有较高合规要求的数据数量和比例,如国家核心数据、关键信息基础设施运营者在境内收集和产生的重要数据、一般重要数据、出口管制物品数据。敏感个人信息、未成年人信息等。
– 数据的来源是否透明且合法。
– 数据可否存储在境内,是否需要跨境。
(3)修改合作协议。
机构应当针对不同的合作对象和合作内容所涉及的数据类型,制定不同的有关数据处理的协议条款,加入到目前的合作协议模板中。
Step 5-注意相关配套规定和行业标准的出台及更新
目前《数据安全法》刚刚出台,其他相关的法律法规和配套规定仍在征求意见或制定当中。建议各机构对此以及自己业务所属的行业标准等多加关注,及时了解和学习新的要求,并据此对内部规章制度作出调整。