数据安全法与最新发展

最近,关于对几家上市公司和大型企业进行网络安全审查的情况受到了大家的关注。虽然审查的时机看似有所玄机,但我们认为,仅从IPO这一有限视角来看待这件事,是将IPO与中国此类法规的执行进行了过于直接的联系,因此这样的看法并不正确。其实,这些法规已经制定了数月甚至数年,且该领域的专业人士一直在给企业警告,告诉大家类似的事情迟早会发生。因此,对于过去几年密切关注中国网络安全和数据框架演变的任何人来说,都不会对这些执法行动感到惊讶。

有鉴于此,2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议正式通过了《中华人民共和国数据安全法》(“《数据安全法》”)。《数据安全法》是中国新兴数据安全框架的组成部分,将于2021年9月1日正式生效。这部新法为中国未来如何解决数据安全和相关问题提供了进一步的增量指导。以下是我们对该部新法的一些亮点解读。

一、“数据”的界定与厘清
《数据安全法》将“数据处理”定义为包括数据的“收集、存储、使用、加工、传输、提供、公开等”,覆盖了数据处理的全流程,同时与《民法典》中“个人信息的处理”的定义相对应。

二、明确数据安全管理工作
《数据安全法》第六条明确了由国家网信部门统筹网络数据安全监管工作,同时由电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。此外,公安机关、国家安全机关等应在各自职责范围内承担数据安全监管职责。这一协调与统筹机制既保证了数据安全管理工作的统一性,也兼顾了不同地区、不同部门和不同行业的差异。

三、数据保护
《数据安全法》根据不同的重要程度,对数据保护形成了较为立体的层级制度,既进行了一些细微的区分(包括数据分类分级保护),同时也将数据分成了更大的类别(如重要数据、国家核心数据)。这些都反映了我们在之前的文章中提到过的对维护国家安全与网络空间主权的重要作用。

四、明确数据安全审查制度
《数据安全法》第二十四条规定了数据安全审查的范围为“影响或者可能影响国家安全的数据处理活动”。同时,该法明确了“依法作出的安全审查决定为最终决定”,这意味着安全审查的决定作出即生效,排除了行政复议或诉讼的救济可能。

五、“规制”条款
《数据安全法》第三十六条规定,任何时候,对于外国司法或者执法机构关于提供数据的请求,均须经过主管机关批准方可向相关境外司法与执法机构提供境内存储数据。这是一项非常重要的规定,在实践中将如何发挥作用还有待观察。

结语
随着《数据安全法》的落地,我国数据活动的监管将迎来一个全新的时代。后续相关的配套法规将不断完善,同时也取决于后续的实施细则,但我们相信,中国的网络安全框架(《数据安全法》在其中发挥着不可或缺的作用)为企业需要考虑的问题和采取的行动方面提供了更加明确的指引。如果您有任何问题,欢迎随时联系我们。