胡律师:13306647218

企业如何进行数据安全(企业如何进行数据跨境传输?)

时间:2021-07-10 05:32:34

作者:孙庆南,郭玉兰,秦天

《数据安全法》出炉,企业如何进行数据跨境传输?

引 言

2021年6月10日,备受社会各界关注的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)经过三次审议修改,最终在十三届全国人大常委会第二十九次会议上通过并公布,将于2021年9月1日正式实施。

《数据安全法》和《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国个人信息保护法》已经二审提交,预计即将发布,两者相互衔接,相辅相成。从数据安全、网络安全和个人信息保护三个不同维度,共同构成我国数字经济法的三项基本法律规定。

《数据安全法》的正式颁布,为数据跨境传输增添了一些亮点规定。相应地,这些新的、鲜明的法规对企业未来的数据合规性和保护提出了新的要求。考虑到跨境数据传输是大多数企业尤其是跨国企业的重要领域,本文将解读《数据安全法》中与跨境数据传输相关的主要新亮点规定。

1、明确了数据跨境安全、自由流动的基本原则

《数据安全法》第十一条规定:“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与制定与数据安全相关的国际规则和标准,促进数据跨境安全和自由流动。”

本文阐明了我国对数据跨境传输的基本态度,在肯定数据自由跨境流动的基础上,还强调了“安全”的前置要求,体现了国家对数据安全传输的重视。这一预先要求也呼应了跨境传输的其他新规定和亮点,如下所示。

2、弥补了非关键信息基础设施运营者数据跨境传输要求的空白

《数据安全法》第31条规定:“中华人民共和国运营的关键信息基础设施运营者收集生成的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国运营中收集、生成的重要数据的出境安全管理办法,由国家网信部会同国务院有关部门制定。”

同时,《数据安全法》新增了违反上述第三十一条的法律责任,即第四十六条规定:“违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下的罚款。对直接负责的主管人员和其他直接责任人员,可以处一万元以上十万元以下的罚款;情节严重的,可以处100万元以上1000万元以下的罚款,并可以责令停业、停业整顿、吊销相关营业执照或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处以10万元以上的罚款。”

此前《网络安全法》只规定了关键信息基础设施运营商的跨境数据传输,但此次《数据安全法》增加了非关键信息基础设施运营商(即“其他数据处理者”)跨境数据传输的一般要求。《数据安全法》虽然没有明确对非关键信息基础设施运营商跨境数据传输的具体要求,但在法律层面上首次将相关要求由国家网信部和国务院有关部门通过部门规章规定,为后续相关具体部门规章的制定和颁布提供了法律依据和立法前景。

我们建议企业在针对非关键信息基础设施运营商跨境数据传输的具体部门规定出台之前,可以参考《个人信息和重要数据出境安全评估办法》(征求意见稿)和《信息安全技术数据出境安全评估指南(草案)》进行跨境数据传输的合规性审查。

此外,《数据安全法》提高了跨境数据传输的违法成本,从《网络安全法》规定的企业最高罚款50万元、个人最高罚款10万元提高到企业最高罚款1000万元、个人最高罚款100万元。惩罚的主体也有ex

《网络安全法》第25条规定:“国家对涉及维护国家安全和利益、履行国际义务的管制物项数据实施出口管制。”

2020年12月1日新修订生效的《数据安全法》(以下简称“《网络安全法》”)将“与物项相关的技术数据”纳入出口管制范围。此次,《数据安全法》和《中华人民共和国出口管制法》相互呼应,从数据保护的角度重新确认数据出口管制制度,展示了中国对一些关键或先进领域特殊或重要数据的出口进行严格管理的决心,对涉及维护国家安全和履行国际义务、属于受管制物项的数据依法实施出口管制,明确了出口管制在数据活动中的适用。

至于哪些管制物项属于我国出口管制对象,企业可参考2020年8月28日发布实施的《出口管制法》和《数据安全法》(以下统称“《出口管制法》”)。

企业如需跨境传输《中国禁止出口限制出口技术目录》相关技术数据等数据,需先向国家出口管制管理部门申请,取得出口许可证后才能出口。

3、从数据保护法角度呼应了数据出口管制规定

《商务部、科技部公告2020年第38号—关于调整发布中国禁止出口限制出口技术目录的公告》第三十六条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠的原则,处理外国司法机关或者执法机关的数据请求。未经中华人民共和国主管机关批准,国内组织和个人不得向外国司法或执法机构提供存储在中华人民共和国境内的数据。”

《禁止出口限制出口技术目录》出台前,我国对外国司法或执法机构数据检索要求的审批制度仅体现在证券金融和国际刑事协助领域。本《禁止出口限制出口技术目录》将这一要求扩展到所有向外国司法或执法机构提供数据的国内组织、企业和个人,而不仅限于某一领域或行业的国内组织、企业和个人,也不仅限于为某些案件提供相关数据的协助。

但《数据安全法》第36条仅规定了跨境司法或执法机构协助数据传输的原则要求,并未明确企业如何申请相关审批,需要主管部门出台实施细则,进一步明确具体审批要求。我们将继续关注相关法律制度的更新和完善。

《数据安全法》规定了非法向外国司法或执法机构提供数据的具体法律责任条款,国内企业可以此作为法律依据,对抗外国司法或执法机构不合理的数据提供要求。但是,如果国内企业未能按照外国司法或执法机构的合理或强制性要求提交数据,其或其海外关联公司可能面临在国外败诉或受到行政处罚的风险。因此,我们建议企业在接到国外司法或执法机构的数据检索正式请求后,及时咨询律师,综合分析判断相关数据的合规风险,确保企业双向合规。

4、扩大了对于向外国机构提供数据的限制

本次发布的《中华人民共和国证券法》第24条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”

数据安全审查制度作为数据领域的国家安全审查制度,呼应了《中华人民共和国国际刑事司法协助法》的相关要求,是有效防范和化解国家安全风险的重要手段。《数据安全法》没有进一步规定数据安全审查制度,预计未来可能会参考《数据安全法》并出台相关规定,确保其实施。

《数据安全法》由国家网信部会同国务院其他部门于2020年4月发布,本办法自2020年6月1日起施行。该方法规定了关键信息基础设施运营商数据安全审查的具体要求和规范。鉴于网络安全审查还从国家安全角度审视了关键信息基础设施运营商采购网络产品和服务影响或可能影响国家安全的情况。因此,在监管思维方面,数据安全审查可能是类似的。现阶段企业可以参照《数据安全法》进行合规工作。今后将继续关注系统的进一步实际监管和应用,并及时更新相关信息。

总的来说,《国家安全法》不仅肯定了数据跨境自由传输,还进一步强调了数据跨境传输的安全性,在一定程度上加强了企业未来数据跨境传输的合规性要求。我们建议企业,尤其是跨国企业,加强对数据跨境传输合规性和自身合规性审查要求的敏感性。我们将继续关注相关法律法规的后续工作,及时跟进相关解释。