2020年3月30日发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据定性为“生产要素”。在数据成为生产要素的大背景下,如何在数据的自由流动与利用、保障数据安全之间保持平衡,是数据合规立法方面最重要的焦点之一。与此同时,随着信息技术和人类生产生活交汇融合,互联网快速普及,全球数据呈现爆发增长、海量集聚的特点,对经济发展、社会治理、国家管理、人民生活都产生了重大影响,[1]数据安全问题逐渐上升为多国国家战略。重要数据这一概念的提出进一步完善了我国对于数据安全的管理制度规定。
除了考虑到国家安全、公众利益两个宏观因素,单独保护还兼顾到重要数据保护的成本问题。成本一词可以理解为两个子概念,一方面是主管机关进行监督监管的行政成本,另一方面是企业自身对于重要数据的识别、保护和风险自评估成本。三是仅依赖数据经营者从自身利益角度进行对于重要数据的保护存在滞后性、安全性等不足,因此我们有必要建立强制性的重要数据保护制度,用以弥补商业秘密以外的非秘的重要数据保护空白。
1.重要数据的立法沿革
(图1-重要数据的立法沿革)
2.重要数据是我国独创吗?
1.重要数据概念的历史发展
重要数据定义的具体历史发展线整理如下:
2.重要数据的范围
《条例》以数据可能造成的影响程度作为标准决定重要数据的界限,并通过列举的方式描述了部分典型的重要数据场景,包括出口管制数据、重点行业数据、未公开的政务数据、达到高精度或规模的国家基础数据等,并通过“其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”这一兜底条款来扩大重要数据可能适用的范围。重要数据的具体范围如下:
总之,数据处理者在识别其处理的数据是否属于重要数据时,应当同时满足行业要求、重要程度以及处理数量三个条件,避免实践中的重要数据被不当扩大化,对企业合规造成过大的压力。在实践中,数据处理者也要认识到“重要数据”并不等同于“重要的数据”。重要数据往往从国家安全、社会稳定、公共利益等宏观角度进行判断,如果只是对数据处理者自身而言重要或敏感的数据,并不意味着一定就是重要数据。此外,企业对重要数据范围的认定也不能孤立的去考虑,也要看与一些特殊主体是否存在关联或者服务关系,比如如果服务对象是关键信息基础设施,那么它提供的也可能被视为和关键信息基础设施运营者有关的延伸信息,在《识别指南》里也提到了很多与关键信息基础设施运营者有关的信息,运营数据在少数情况下也有被认定为重要数据的可能性。
3.重要数据与核心数据的关系
《数安法》提出国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《条例》延续了《数安法》的数据分级分类保护制度,并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类。《条例》根据《数安法》的要求,明确不同级别的数据采取不同标准的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。根据《条例》第七十四条,“涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。”因此,我们理解核心数据应当适用与重要数据不同且更为严格的保护措施。
4.重要数据包含个人信息吗?
(一)重要数据处理者的安全保障义务
《条例》在《数安法》第三章“数据安全制度”的基础上,对重要数据处理者的数据安全管理义务提出了具体明确的要求,涵盖技术手段、管理制度、报批义务等多个方面,可执行性强的细化规则为企业内部构建数据安全管理制度指引了方向。
重要数据处理者的数据安全管理义务详见图2,下文将针对重要的安全管理义务进行具体分析。
1.三级等保要求与密码保护要求
此外,《关键信息基础设施安全保护条例》第十八条还规定了发生重大事故时的报告义务,“发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。”由于重要数据的系统原则应当满足关键信息基础设施安全保护要求,因此无论重要数据是否涉及关键信息基础设施,都应当满足《网安法》在中国境内运营中收集和产生的重要数据应本地化存储的管理规定。
除此以外,面对数据带来的机遇和挑战,应当树立全面、科学的安全管理理念,在核心技术底层架构的设计上就应当做到数据的安全可控。因此《条例》进一步提出要求,数据处理者应当使用密码对重要数据和核心数据进行保护。密码是国家安全法律体系的重要组成部分,是国家重要战略资源。我国《密码法》也规定密码应当应用于大数据战略,维护国家安全、促进经济社会发展,保护公民、法人和其他组织合法权益。数据加密、数据脱敏等措施,不仅有利于构建包括采集、存储、使用、传输为一体的数据安全体系,满足数据共享和防护安全需求,还可以利用密码技术与数据标识的结合实现大数据追踪溯源,为监管取证提供有力武器。
2.数据安全负责人及管理机构
数据领域责任制的确定最早是经济合作与发展组织(OrganisationforEconomicCooperationandDevelopment,“OECD”)提出的概念,OECD在1980年颁布了《隐私保护和个人数据跨境流通指南》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData),在第十四条中确立了责任原则(AccountabilityPrinciple)。该项原则要求,数据控制者应根据国内法的规定遵守隐私保护规则和决定。“责任”一次既包括法律制裁下的“问责”,也包括行为准则下的“问责”。责任一词也是指严格责任制,就算不是控制者自己实施而是委托或者指示他人实施,也可能承担连带责任。
除此以外,《条例》第二十八条规定重要数据的处理者应当成立数据安全管理机构,由数据安全负责人带领。在此基础上,《条例》进一步具体规定了数据安全机构在数据安全负责人的领导下应当履行的职责,包括:
(3)开展数据安全风险监测,及时处置数据安全风险和事件;
(4)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(5)受理、处置数据安全投诉、举报;
(6)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
3.安全教育培训时长要求
4.重要数据的应急处理机制
我国《网安法》第二十一条、第三十四条要求对重要数据进行备份或容灾备份,第三十七条要求关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据应当在境内存储。这一条补充了重要数据处理者对于突发的非管理疏漏造成安全事件的管理义务,也是对企业业务连续性的又一有力保障。
《条例》规定如果发生重要数据或者十万人以上个人信息的泄露、损毁、丢失等数据安全事件时,数据处理者需要履行以下义务:
(1)数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
(3)安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
(4)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。
(5)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
5.数据安全风险评估制度
6.重要数据处理者合并、重组、分立的报告义务
重要数据涉及国家安全和公共利益,涉及范围涵盖国家和人民生活的方方面面,一旦遭到破坏后果不堪设想。当持有、控制重要数据的主体发生破产、兼并、重组等重大变化时,容易形成内部管理制度的不稳定因素,从而产生重要数据泄漏、破坏的风险。《条例》在延续数据接收方应当继续履行数据安全保障义务之规定以外,增设重要数据处理者及涉及一百万以上个人信息的数据处理者报告义务,除告知个人信息主体以外,还应当向设区的市级主管部门报告,使得主管部门可以及时监管。
7.重要数据处理识别备案义务
2019年,《天津市数据安全管理办法(暂行)》首次提出建立重要数据和个人信息的备案制度。《条例》第二十九条在此基础上将重要数据处理者的备案义务适用主体范围扩大至全国,要求重要数据的处理者应当在识别其重要数据后的15个工作日内向设区的市级网信部门备案,但是如何判断数据处理者明确的识别日期仍有待进一步讨论。《条例》规定备案内容仅限于数据处理规则,包括数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式,处理数据的目的、规模、方式、范围、类型、存储期限、存储地点,但是不包括数据内容本身。并且重要数据处理者应当注意,若发生处理数据的目的、范围、类型及数据安全防护措施等发生重大变化,应当重新备案。备案制度的建设,有利于监管部门全面了解和动态监管重要数据处理者的数据安全保障情况,也有利于企业对重要数据的全生命周期处理活动进行安全保护。
目前,一些具体行业或领域的主管部门也出台了有关重要数据的管理规定。工信部发布《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,提出建设工业、电信行业重要数据和核心数据全生命周期备案管理制度。重要数据的备案制度可以作为政府监管抓手,加强企业完善重要数据的合规义务,并且落实企业发生数据安全实践的追责管理,因此应当得到企业重视。
8.共享、交易、委托处理重要数据的义务
除审批义务之外,《条例》第十二条规定重要数据处理者也应当遵守共享、交易、委托处理数据时的合同义务规定,应当与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督。此外,《条例》第十二条还规定了审批记录的存储要求,“数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。”为监管部门审计数据安全管理、对可能发生的数据安全事故追踪定责提供证据基础。
9.重要数据的跨境管理规定
《条例》在《网安法》《数安法》等上位法基础上,对数据跨境流动规则进行了完善,完整地建立了数据出境安全管理制度,包括个人信息出境前单独同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。此外,《条例》对于重要数据的出境提出了更为严格的要求,包括通过国家部门组织的数据出境安全评估、向设区的市级网信部门报告上一年度数据出境情况义务等。详情可参考我们之后即将发布的“《网络数据安全管理条例(征求意见稿)》系列解读之数据跨境篇”内容。
10.其他义务
(二)重要数据的保护与监管
1.数据分类分级保护制度
数据分级分类保障的立法思路已在多项法规中有所体现。《网安法》第二十一条规定“采取数据分类、重要数据备份和加密等措施”,《数安法》第二十一条规定国家建立数据分级分类制度,并提出建立重要数据保护目录并定义国家核心数据,《数安办法》第十九条要求“网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护”。部分行业在出台行业标准时也将分级分类作为数据安全保护的指导思想。例如,《工业数据分类分级指南(试行)》第五条规定“工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。”《证券期货业数据分类分级指引》《金融数据安全数据安全分级指南》对数据分级分类的原则、范围、规则方法、具体流程进行了具体描述。目前国内尚未出台重要数据目录,对于大多数企业而言如何识别其业务开展过程中涉及的数据是否属于重要数据、核心数据仍待解决。
2.数据交易管理制度进一步推进
注释(上下滑动阅览)
编辑:梵高先生
关于我们
知产前沿(IPForeFront)是上海益鹏商务咨询有限公司(YIPEvents)旗下聚焦知识产权领域全媒体资讯平台,追求深度、高质量、原创性知识产权政策解读、案列解析、国内外知识产权领域前沿动态等。
上海益鹏商务咨询有限公司(YIPEvents)成立于2014年8月,一家专注于知识产权领域国际性会议策划主办机构,致力于推动国内外知识产权政策发展、挖掘行业细分领域的知识产权挑战与机遇、赋能行业创新升级,为知识产权从业人员搭建高质量、高行业参与度、高时效性的行业沟通、学习、交流、合作、共享平台。