《数据安全法》将于2021年9月1日起施行

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《数据安全法》,并将于2021年9月1日起施行。该法既是数据领域的基础性法律,也是国家安全领域的一部重要法律。但由于该法的规定大多为原则性规定,有待实施细则、有关主管部门的规定或指引等加以明确。

基于上述原因,此次仅对该法管控的“数据”范围、企业在数据安全保护方面的主要义务和违反后果两个方面作一介绍。

1、《数据安全法》管控的“数据”范畴

《数据安全法》明确“数据”包括“任何以电子或者其他方式对信息的记录”。因此,较之《国家安全法》还是《网络安全法》据,《数据安全法》将常见的纸质登记表格等形式也纳入到数据安全管理范畴,填补了现行立法未能有效规制不借助网络开展数据活动的立法空白。

2、企业在数据安全保护方面的主要义务和违反后果

《数据安全法》第四章第27条~第43条对企业的数据安全保护义务进行了具体规定,主要义务如下:

依据 主要义务
第27条 •建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施

•利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务

•重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任

第29条 加强风险监测:

•发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施

•发生数据安全事件时,应当立即采取处置措施,及时告知用户并报告有关主管部门

第30条 重要数据的处理者应当对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告
第31条 Ø  •关键信息基础设施的运营者在中境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定。

•其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

第33条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录
第35条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,……有关组织、个人应当予以配合
第36条 非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据

《数据安全法》第45条~第48条,对于违反上述义务的后果作了明确规定。根据数据的等级、重要性及违反的具体情况,面临责令改正,警告,5万元~1000万元的罚款,对直接负责的主管人员和其他直接责任人员可以处1万~100万元罚款,暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等的处罚风险。

此外,值得注意的是,《数据安全法》第8条作为宣誓性条款明确了开展数据活动的基本原则,即“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”在第27条~第43条的具体规定无法有效适用于个案时,存在适用第8条进行认定的可能。

总体而言,对于企业来说,现阶段更多地是整体了解数据管理的方向、基本要求,结合现有相关法律法规等,从合规角度进行初步梳理。同时,建议密切关注后续配套文件的动向。