日前�,《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱“《數(shù)據(jù)安全法》”)正式通過(guò)并公布,自2021 年9月1日起施行��。在信息經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已成為新興的生產(chǎn)要素��,是國(guó)家基礎(chǔ)性和戰(zhàn)略性資源��,同時(shí)����,數(shù)據(jù)安全需求也越發(fā)凸顯����,已成為事關(guān)國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大問(wèn)題。
筆者指出��,企業(yè)應(yīng)當(dāng)開(kāi)始評(píng)估自身業(yè)務(wù)活動(dòng)是否收集����、處理重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù),并特別關(guān)注國(guó)家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄�、非關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者出境重要數(shù)據(jù)的具體辦法,以及國(guó)家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求�,以確保在《數(shù)據(jù)安全法》正式實(shí)施之前,建立起較為完善的重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù)的管理措施����。此外��,對(duì)于業(yè)務(wù)活動(dòng)涉及出口管制范圍內(nèi)數(shù)據(jù)出口�����、涉及個(gè)人信息收集與處理����、涉及統(tǒng)計(jì)與檔案工作中的數(shù)據(jù)處理活動(dòng)等的企業(yè)而言��,還應(yīng)當(dāng)關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求�����。
要 點(diǎn)
1. 企業(yè)在相應(yīng)搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)時(shí)���,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級(jí)保護(hù)標(biāo)準(zhǔn)中分類分級(jí)標(biāo)準(zhǔn)是否為強(qiáng)制標(biāo)準(zhǔn)���,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過(guò)程當(dāng)中所適用的分類分級(jí)標(biāo)準(zhǔn)。
2. 重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確���。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)很可能于近期出臺(tái)�,相關(guān)企業(yè)首先應(yīng)當(dāng)就此加以關(guān)注,以及時(shí)判斷自身是否屬于重要數(shù)據(jù)處理者的范圍��。
3. 對(duì)于重要數(shù)據(jù)跨境傳輸而言��,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理��,仍適用《網(wǎng)絡(luò)安全法》的要求����,即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ);因業(yè)務(wù)需要���,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估�����。
一���、前言
2021年6月10日����,《中華人民共和國(guó)數(shù)據(jù)安全法》已由中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù) 委員會(huì)第二十九次會(huì)議于2021年6月10日正式表決通過(guò)�,正式公布,并將于2021年9月1日正式實(shí)施。
二���、概述
(一)立法背景
自2020年6月28日以來(lái)��,《數(shù)據(jù)安全法》經(jīng)歷了三次審議與修改��,終于2021年6月10日正式表決通過(guò)����, 并確定將于2021年9月1日正式實(shí)施���。
在此之前�����,中國(guó)未就數(shù)據(jù)安全領(lǐng)域設(shè)置具有針對(duì)性的上位法����,主要零散分布于其他法律法規(guī)及其相關(guān)司法解釋等文件中予以體現(xiàn)�����。具體而言���,包括但不限于以下內(nèi)容:
1. 《網(wǎng)絡(luò)安全法》中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者就個(gè)人信息和重要數(shù)據(jù)出境前設(shè)置了安全評(píng)估制度的要求(例如��,第三十七條等)�;對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者設(shè)置了建立用戶信息保護(hù)制度的要求,與收集���、使用個(gè)
人信息的要求(例如�,第四十條�、第四十一條等)。
2. 《民法典》明確規(guī)定個(gè)人信息保護(hù)為民事權(quán)利之一�����,即自然人的個(gè)人信息受法律保護(hù)��。任何組織 或者個(gè)人需要獲取他人個(gè)人信息的�,應(yīng)當(dāng)依法取得并確保信息安全����,不得非法收集、使用�、加工、傳輸他人個(gè)人信息�,不得非法買賣、提供或者公開(kāi)他人個(gè)人信息(例如,第一百一十一條等)��。
3. 《刑法》修正案及其司法解釋就出售或者非法提供���、竊取或者非法獲取公民個(gè)人信息的犯罪及刑罰予以了定義與補(bǔ)充(例如��,刑法修正案(七)�、刑法修正案(九)����、《關(guān)于辦理侵犯公民個(gè)人信息刑事案件使用法律若?問(wèn)題的解釋》等)。
(二) 立法意義
《數(shù)據(jù)安全法》由七個(gè)章節(jié)��、55條法律條文組成���,涵蓋了數(shù)據(jù)安全與發(fā)展��、數(shù)據(jù)安全制度�、數(shù)據(jù)安全保護(hù)義務(wù)���、政務(wù)數(shù)據(jù)安全與開(kāi)放及相關(guān)法律責(zé)任等具體規(guī)定���。
作為中國(guó)首部針對(duì)數(shù)據(jù)安全領(lǐng)域的立法,本法明確了國(guó)家對(duì)數(shù)據(jù)安全的監(jiān)管范圍����、確立了相關(guān)監(jiān)管機(jī)關(guān) 對(duì)數(shù)據(jù)安全的監(jiān)管地位、闡明了維護(hù)數(shù)據(jù)安全的核心意義等��,為數(shù)據(jù)安全各領(lǐng)域后續(xù)立法工作(例如, 個(gè)人信息保護(hù)法等)與安全監(jiān)管工作提供重要法律依據(jù)。
三、重點(diǎn)內(nèi)容解讀
本文將結(jié)合《數(shù)據(jù)安全法》的具體規(guī)定與中國(guó)法律法規(guī)項(xiàng)下其他相關(guān)規(guī)定�,對(duì)《數(shù)據(jù)安全法》中的重點(diǎn)內(nèi)容予以解讀,分析其與其他數(shù)據(jù)安全領(lǐng)域相關(guān)規(guī)定的聯(lián)系����,研判法律要求的具體變化����,形成立法形勢(shì)預(yù)判�,供企業(yè)參考。
(一)立法核心目的
從《數(shù)據(jù)安全法》第一條中我們可以得知���,此項(xiàng)立法繼承了《網(wǎng)絡(luò)安全法》《民法典》等法律以及國(guó)際數(shù)據(jù)保護(hù)立法趨勢(shì)中對(duì)公民�、組織合法權(quán)益保障,對(duì)數(shù)據(jù)處理活動(dòng)予以規(guī)范�,促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用的核心目的。
此外���,此次立法中另一項(xiàng)被延續(xù)的重要的目的在于維護(hù)國(guó)家主權(quán)��、安全和發(fā)展利益���。此項(xiàng)立法基于這一目的實(shí)現(xiàn)所規(guī)定的具體要求除保護(hù)中國(guó)公民個(gè)人信息以及中國(guó)境內(nèi)重要數(shù)據(jù)安全以外,還可能成為反制外國(guó)司法或執(zhí)法機(jī)構(gòu)調(diào)查中的跨境證據(jù)采集法律法規(guī)(例如���,美國(guó) 云法案 )的有效手段��。
(二)適用范圍
根據(jù)《數(shù)據(jù)安全法》第二條第一款的規(guī)定��,本法的適用范圍為在中華人民共和國(guó)境內(nèi)開(kāi)展的數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管活動(dòng)�。
但是與此同時(shí)����,第二條第二款規(guī)定在中華人民共和國(guó)境外開(kāi)展數(shù)據(jù)處理活動(dòng),損害中華人民共和國(guó)國(guó)家安全����、公共利益或者公民���、組織合法權(quán)益的,將依法追究法律責(zé)任���,據(jù)此可知第二條第二款未直接將境外開(kāi)展數(shù)據(jù)處理活動(dòng)納入本法的適用范圍內(nèi)���。我們初步判斷,設(shè)置本條款的主要目的在于在國(guó)家的合理立法范圍權(quán)力內(nèi)��,通過(guò)作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ)的《數(shù)據(jù)安全法》��,確立境外開(kāi)展的數(shù)據(jù)處理活動(dòng)需符合中國(guó)法律的相關(guān)規(guī)定的要求��,以《個(gè)人信息保護(hù)法(草案二次審議稿)》為例:該草案規(guī)定某些特定的在中國(guó)境外處理中國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng)也屬于草案的適用范圍���。
值得注意的是��,《數(shù)據(jù)安全法》的適用范圍排除了涉及國(guó)家秘密的數(shù)據(jù)處理活動(dòng)及其監(jiān)管���,即涉及國(guó)家 秘密的數(shù)據(jù)處理活動(dòng)�����,適用《中華人民共和國(guó)保守國(guó)家秘密法》等法律、行政法規(guī)的規(guī)定���。
(三)關(guān)鍵定義
1. 數(shù)據(jù)的范圍:電子數(shù)據(jù)與非電子形式記錄的數(shù)據(jù)
《數(shù)據(jù)安全法》第三條第一款給出了對(duì)數(shù)據(jù)的定義�����,即指任何以電子或者其他方式對(duì)信息的記錄��。此處的定義與《個(gè)人信息保護(hù)法(草案二次審議稿)》中個(gè)人信息的定義的描述類似�����,具體而言包括了電子數(shù)據(jù)以及非電子形式記錄的數(shù)據(jù)�����。
在此之前���,中國(guó)法律項(xiàng)下未就數(shù)據(jù)這一概念予以具體定義,但是在《網(wǎng)絡(luò)安全法》中����,有網(wǎng)絡(luò)數(shù)據(jù)的定義�����,即通過(guò)網(wǎng)絡(luò)收集����、存儲(chǔ)�、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)��。因此�����,需要注意的是��,《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的重要法律基礎(chǔ)�����,其項(xiàng)下所指數(shù)據(jù)范圍要大于此前立法中的概念�,也意味著未來(lái)的立法趨勢(shì)中,非電子形式記錄的數(shù)據(jù)可能也會(huì)納入各具體數(shù)據(jù)安全領(lǐng)域法律規(guī)定的適用范圍內(nèi)���。
2. 數(shù)據(jù)處理的含義
《數(shù)據(jù)安全法》第三條第二款對(duì)數(shù)據(jù)的 處理 與《民法典》第一千零三十五條所描述的處理一致��,即收集���、存儲(chǔ)、使用�、加工、傳輸�、提供、公開(kāi)等��。
(四)數(shù)據(jù)安全監(jiān)管體系
根據(jù)《數(shù)據(jù)安全法》,建立健全數(shù)據(jù)安全治理體系應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀��。中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)作 為研究制定�����、指導(dǎo)實(shí)施國(guó)家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策�����,統(tǒng)籌協(xié)調(diào)國(guó)家數(shù)據(jù)安全的重大事項(xiàng)和重 要工作���,建立國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制的關(guān)鍵機(jī)關(guān)。各行業(yè)主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)�,國(guó)家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定�����,負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作��。鑒于上述《數(shù)據(jù)安全法》的要求�,數(shù)據(jù)監(jiān)管將按照行業(yè)予以劃分,各行業(yè)內(nèi)的所有數(shù)據(jù)保護(hù)監(jiān)管�,包括數(shù)據(jù)出境審批、落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)制度等權(quán)力���,實(shí)際落實(shí)到了各行業(yè)主管部門��。
此外����,根據(jù)《數(shù)據(jù)安全法》的要求�����,國(guó)家將建立集中統(tǒng)一��、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告��、信息共享���、監(jiān)測(cè)預(yù)警機(jī)制��。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析����、研判、預(yù)警工作�����。
(五)數(shù)據(jù)安全制度
1. 數(shù)據(jù)分類分級(jí)保護(hù)制度
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)分類分級(jí)保護(hù)制度���,要求對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)��。此處�,我們判斷“分類”�����,指根據(jù)不同的產(chǎn)業(yè)類型對(duì)數(shù)據(jù)進(jìn)行分類保護(hù),而“ 分級(jí)”�,指根據(jù)不同的數(shù)據(jù)類型設(shè)置不同的等級(jí)保護(hù)要求。例如����,工業(yè)和信息化部就工業(yè)數(shù)據(jù)分類分級(jí)于2020年2月27日發(fā)布了《工業(yè)數(shù)據(jù)分類分級(jí)指南》,根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改���、破壞��、泄露或非法利用后�����,可能對(duì)工業(yè)生產(chǎn)�����、經(jīng)濟(jì)效益等帶來(lái)的潛在影響�����,將工業(yè)數(shù)據(jù)分為一級(jí)����、二級(jí)、三級(jí)等3個(gè)級(jí)別�����。此外����,例如中國(guó)證券監(jiān)督管理委員會(huì)于2018 年發(fā)布了《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》行業(yè)標(biāo)準(zhǔn)?�!稊?shù)據(jù)安全法》奠定了未來(lái)各行業(yè)主管部門基于其數(shù)據(jù)監(jiān)管權(quán)力��,通過(guò)制定數(shù)據(jù)分類分級(jí)指引與行業(yè)標(biāo)準(zhǔn)����、開(kāi)展有關(guān)執(zhí)法監(jiān)管活動(dòng)���,落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)制度中的重要趨勢(shì)�。
對(duì)于此���,我們提請(qǐng)相關(guān)企業(yè)注意�,在相應(yīng)搭建自身的合規(guī)制度參照數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)時(shí)����,需要關(guān)注的不僅僅是數(shù)據(jù)分類分級(jí)保護(hù)標(biāo)準(zhǔn)中分類分級(jí)標(biāo)準(zhǔn)是否為強(qiáng)制標(biāo)準(zhǔn)����,而是關(guān)注行業(yè)主管部門所制定的有關(guān)指引以及在依據(jù)法律法規(guī)執(zhí)法過(guò)程當(dāng)中所適用的分類分級(jí)標(biāo)準(zhǔn)��。即使當(dāng)執(zhí)法所依據(jù)的分類標(biāo)準(zhǔn)為指引或推 薦性標(biāo)準(zhǔn)��,相關(guān)企業(yè)仍應(yīng)當(dāng)嚴(yán)格按照相應(yīng)標(biāo)準(zhǔn)執(zhí)行數(shù)據(jù)分級(jí)分類保護(hù)制度��。
2. 重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù)
(1)重要數(shù)據(jù)
《數(shù)據(jù)安全法》授權(quán)國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)各地區(qū)���、各有關(guān)部門制定重要數(shù)據(jù)目錄��。重要數(shù)據(jù) 的概念首次在《網(wǎng)絡(luò)安全法》中提出���,并對(duì)重要數(shù)據(jù)的某些跨境傳輸、特別保護(hù)提出了具體要求���, 但是沒(méi)有予以具體的界定���,實(shí)際的認(rèn)定中也存在模糊的情形。我們初步判斷�����,未來(lái)有關(guān)部門根據(jù)《數(shù)據(jù)安全法》的要求制定的重要數(shù)據(jù)目錄,將作為《網(wǎng)絡(luò)安全法》中界定重要數(shù)據(jù) 的重要依據(jù)��。
值得留意的是����,2017年4月網(wǎng)信辦發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》,但是遲遲未有新立法動(dòng)向��。在此項(xiàng)征求意見(jiàn)稿中�����,重要數(shù)據(jù)指與國(guó)家安全��、經(jīng)濟(jì)發(fā)展��,以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)���。我們理解,該范圍可能會(huì)作為有關(guān)部門制定重要數(shù)據(jù)目錄的參考標(biāo)準(zhǔn)�����。
各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度����,確定本地區(qū)、本部門以及相關(guān)行業(yè)����、領(lǐng)域的重要數(shù)據(jù)具體目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)��。對(duì)于此����,我們判斷行業(yè)主管部門除通過(guò)發(fā)布指引、行業(yè)標(biāo)準(zhǔn)等文件落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)制度以外�,還很可能基于其數(shù)據(jù)監(jiān)管權(quán)力,制定本行業(yè)的重要數(shù)據(jù)目錄�����,具體劃定本行業(yè)中受《數(shù)據(jù)安全法》規(guī)制的重要數(shù)據(jù) �����。
(2)國(guó)家核心數(shù)據(jù)
《數(shù)據(jù)安全法》還首次提出了國(guó)家核心數(shù)據(jù)的概念,即關(guān)系國(guó)家安全����、國(guó)民經(jīng)濟(jì)命脈、重要民生�、重大 公共利益等數(shù)據(jù),并要求對(duì)此類數(shù)據(jù)實(shí)行更加嚴(yán)格的管理制度���。違反國(guó)家核心數(shù)據(jù)管理制度����,危害國(guó)家主權(quán)��、安全和發(fā)展利益的主體�����,可能面臨由有關(guān)主管部門處一千萬(wàn)元以下罰款�����,并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓���、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照��;構(gòu)成犯罪的�,依法追究刑事責(zé)任。
此外值得注意的是����,由于《數(shù)據(jù)安全法》的適用范圍排除了涉及國(guó)家秘密的數(shù)據(jù)處理活動(dòng)及其監(jiān)管,此處國(guó)家核心數(shù)據(jù)并非指涉及國(guó)家秘密的數(shù)據(jù)���。
目前�����,《數(shù)據(jù)安全法》中暫未就針對(duì)國(guó)家核心數(shù)據(jù)的更加嚴(yán)格的管理制度予以展開(kāi)規(guī)定����,我們推斷有關(guān)部門可能會(huì)在后續(xù)立法工作中予以更為細(xì)化的解釋��,有關(guān)公司應(yīng)當(dāng)特別予以跟蹤關(guān)注����。
3. 數(shù)據(jù)安全審查制度
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全審查制度,要求對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó) 家安全審查,并賦予了依法作出的安全審查決定最終決定的效力�。
早在2020年4月27日,國(guó)家互聯(lián)網(wǎng)信息辦公室���,國(guó)家發(fā)展和改革委員會(huì)��,工業(yè)和信息化部�����,公安部����,財(cái)政部����,商務(wù)部,中國(guó)人民銀行���,國(guó)家市場(chǎng)監(jiān)督管理總局�,國(guó)家廣播電視總局�,國(guó)家保密局,國(guó)家密碼管理局十二個(gè)國(guó)家部門聯(lián)合制定�����、發(fā)布了于2020年6月1日生效的《網(wǎng)絡(luò)安全審查辦法》��,以確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全�����,進(jìn)而保護(hù)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與業(yè)務(wù)安全�����,并維護(hù)國(guó)家安全�。我們推斷,《網(wǎng)絡(luò)安全審查辦法》可能會(huì)作為《數(shù)據(jù)安全法》項(xiàng)下各領(lǐng)域數(shù)據(jù)安全審查工作模式的藍(lán)本��,形成多部門聯(lián) 合審查工作機(jī)制作為審查主管部門可能成為數(shù)據(jù)安全審查的趨勢(shì)����,從而能夠有效應(yīng)對(duì)數(shù)據(jù)安全問(wèn)題的內(nèi)在復(fù)雜性。
4. 數(shù)據(jù)安全應(yīng)急處置機(jī)制
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應(yīng)急處置機(jī)制���,要求在發(fā)生數(shù)據(jù)安全事件��,有關(guān)主管部門應(yīng)當(dāng)依法啟動(dòng)應(yīng)急預(yù)案�����,采取相應(yīng)的應(yīng)急處置措施�����,防止危害擴(kuò)大����,消除安全隱患,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息�。
5. 管制物項(xiàng)數(shù)據(jù)的出口管制
根據(jù)《數(shù)據(jù)安全法》的規(guī)定,對(duì)與維護(hù)國(guó)家安全和利益�����、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制����。
《出口管制法》明確指出管制物項(xiàng)的范圍包括技術(shù)資料等數(shù)據(jù)。具體而言���,《出口管制法》第二條規(guī)定�����,國(guó)家對(duì)兩用物項(xiàng)�����、軍品��、核以及其他與維護(hù)國(guó)家安全和利益��、履行防擴(kuò)散等國(guó)際義務(wù)相關(guān)的貨物����、技術(shù)����、服務(wù)等物項(xiàng)(以下統(tǒng)稱管制物項(xiàng))的出口管制,適用本法�。前款所稱管制物項(xiàng),包括物項(xiàng)相關(guān)的技術(shù)資料等數(shù)據(jù)����。《數(shù)據(jù)安全法》在數(shù)據(jù)保護(hù)領(lǐng)域立法中���,明確技術(shù)資料等數(shù)據(jù)出口屬于出口管制監(jiān)管范圍內(nèi)�,若予以出口需申請(qǐng)相應(yīng)出口許可證,從而進(jìn)一步確保了涉及限制出口的兩用物項(xiàng)技術(shù)資料的安全����。
6. 針對(duì)數(shù)據(jù)歧視的對(duì)等措施
《數(shù)據(jù)安全法》中設(shè)置了一項(xiàng)針對(duì)數(shù)據(jù)歧視的比較特別的規(guī)定,即任何國(guó)家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開(kāi)發(fā)利用技術(shù)等有關(guān)的投資����、貿(mào)易等方面對(duì)中華人民共和國(guó)采取歧視性的禁止、限制或者其他類似措施的�����,中華人民共和國(guó)可以根據(jù)實(shí)際情況對(duì)該國(guó)家或者地區(qū)對(duì)等采取措施���。
對(duì)等措施 的設(shè)置多存在于貿(mào)易法與投資法領(lǐng)域�,例如《外商投資法》《出口管制法》等���。在作為數(shù)據(jù)安全領(lǐng)域重要法律基礎(chǔ)的《數(shù)據(jù)安全法》中加入對(duì)等措施���,反映出立法機(jī)關(guān)將數(shù)據(jù)安全、數(shù)據(jù)技術(shù)認(rèn) 定為中國(guó)企業(yè)壯大發(fā)展的關(guān)鍵要素�,也反映出中國(guó)立法機(jī)關(guān)在復(fù)雜國(guó)際背景下未?綢繆的努力。
(六)數(shù)據(jù)安全保護(hù)義務(wù)
《數(shù)據(jù)安全法》第四章具體規(guī)定了開(kāi)展數(shù)據(jù)處理活動(dòng)的主體應(yīng)當(dāng)遵循的數(shù)據(jù)安全保護(hù)義務(wù)����。具體而言�, 從事數(shù)據(jù)處理的組織與個(gè)人應(yīng)當(dāng)關(guān)注以下主要數(shù)據(jù)安全保護(hù)義務(wù):
1. 一般義務(wù)
首先需要注意的是���,《數(shù)據(jù)安全法》所規(guī)定的一般義務(wù)適用主體范圍約束的是 開(kāi)展數(shù)據(jù)處理活動(dòng)����。因此���,凡開(kāi)展《數(shù)據(jù)安全法》所約束范圍內(nèi)的數(shù)據(jù)處理活動(dòng)的主體,均需履行一般義務(wù)���。這?的所指的一般義務(wù)主要包括:
(1)建立健全全流程數(shù)據(jù)安全管理制度����,組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)��。
(2)采取相應(yīng)的技術(shù)措施和其他必要措施��,保障數(shù)據(jù)安全����。
(3)利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)����,應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上���,履行數(shù)據(jù)安全保護(hù)義務(wù)����。具體指在符合《網(wǎng)絡(luò)安全法》項(xiàng)下網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求下��,采取包括但不限于制定內(nèi)部安全管理制度和操作規(guī)程�,確定網(wǎng)絡(luò)安全負(fù)責(zé)人,采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊�、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施,監(jiān)測(cè)�、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)與網(wǎng)絡(luò)安全事件,采取數(shù)據(jù)分類��、重要數(shù)據(jù)備份和加密等措施����,履行具體的數(shù)據(jù)安全保護(hù)義務(wù)。
(4)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)����,發(fā)現(xiàn)數(shù)據(jù)安全缺陷�����、漏洞等風(fēng)險(xiǎn)時(shí)����,應(yīng)當(dāng)立即采取補(bǔ)救措施�����。
(5)發(fā)生數(shù)據(jù)安全事件時(shí)���,應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告����。
(6)收集數(shù)據(jù),應(yīng)當(dāng)采取合法���、正當(dāng)?shù)姆绞?��,不得竊取或者以其他非法方式獲取數(shù)據(jù)。
(7)法律、行政法規(guī)對(duì)收集��、使用數(shù)據(jù)的目的�、范圍有規(guī)定的,應(yīng)當(dāng)在法律��、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集�、使用數(shù)據(jù)。該項(xiàng)義務(wù)銜接了各行業(yè)主管部門關(guān)于個(gè)人信息保護(hù)的數(shù)據(jù)處理規(guī)則�����,形成了上位法依據(jù)��。此外�,值得注意的是,根據(jù)此項(xiàng)義務(wù)描述�����,不僅個(gè)人數(shù)據(jù)的收集��、使用需滿?合法性�����、正當(dāng)性原則,其他數(shù)據(jù)也要需要具有相應(yīng)的合法性與正當(dāng)性��?���;诖耍覀兂醪筋A(yù)見(jiàn)目前針對(duì)個(gè)人信息保護(hù)的制度未來(lái)可能會(huì)擴(kuò)大����、借鑒適用到其他數(shù)據(jù)保護(hù)法律法規(guī)的內(nèi)容當(dāng)中。
(8)法律�、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的,服務(wù)提供者應(yīng)當(dāng)依法取得許可���。
(9)有關(guān)組織��、個(gè)人應(yīng)當(dāng)配合公安機(jī)關(guān)���、國(guó)家安全機(jī)關(guān)因依法維護(hù)國(guó)家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)����。
上述《數(shù)據(jù)安全法》所要求用于確保數(shù)據(jù)安全保護(hù)的一般義務(wù),與ISO27001《數(shù)據(jù)安全管理體系》中的部分基本元素相吻合���,如制定數(shù)據(jù)保護(hù)制度政策����,采取例如加密技術(shù)等技術(shù)措施及物理環(huán)境安全保障措施、訪問(wèn)管理措施��、操作管理措施等其他必要措施保障數(shù)據(jù)安全�,制定應(yīng)急預(yù)案以應(yīng)對(duì)數(shù)據(jù)安全事件,并關(guān)注與有關(guān)法律法規(guī)的要求合規(guī)等���。
若開(kāi)展數(shù)據(jù)處理活動(dòng)的主體違反以上(1)(2)(3)(4)(5)項(xiàng)一般義務(wù)的要求����,可能會(huì)面臨由有關(guān)主管部門責(zé)令改正����,給予警告,直至責(zé)令暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照���,并處以二百萬(wàn)元以下的罰款����。
若違反第(9)項(xiàng)一般義務(wù)的要求,拒不配合數(shù)據(jù)調(diào)取的,可能將面臨由有關(guān)主管部門責(zé)令改正����,給予警告�����,并處以五十萬(wàn)元以下的罰款�。
對(duì)于(6)(7)(8)項(xiàng)一般義務(wù)而言,由于各數(shù)據(jù)安全領(lǐng)域具有其自身的特殊性(例如個(gè)人信息具有內(nèi)在敏感性,涉及個(gè)人信息處理的相關(guān)義務(wù)要求與對(duì)應(yīng)違法處罰一般更為嚴(yán)格)���,雖然未在《數(shù)據(jù)安全法》直接規(guī)定具體的違法處罰措施���,但是我們判斷具體的罰則將在具體的實(shí)施條例及其他相關(guān)法律法 規(guī)中予以明確。
2. 重要數(shù)據(jù)處理者特別義務(wù)
目前�,重要數(shù)據(jù)的邊界在《數(shù)據(jù)安全法》中仍不明確����。我們判斷有關(guān)重要數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)很可能于近期出臺(tái)����,相關(guān)企業(yè)首先應(yīng)當(dāng)就此加以關(guān)注,以及時(shí)判斷自身是否屬于重要數(shù)據(jù)處理者的范圍�。根據(jù)《數(shù)據(jù)安全法》的要求,重要數(shù)據(jù)處理者需要履行以下特別義務(wù):
(1)要求重要數(shù)據(jù)處理者任命數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)�����,以落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任�。
(2)要求重要數(shù)據(jù)處理者對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告����。具體而言,風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類�����、數(shù)量���,開(kāi)展數(shù)據(jù)處理活動(dòng)的情況���,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等����。
若開(kāi)展數(shù)據(jù)處理活動(dòng)的主體違反以上重要數(shù)據(jù)處理者特別義務(wù)���,可能會(huì)面臨由有關(guān)主管部門責(zé)令改正����,給予警告�����,直至責(zé)令暫停相關(guān)業(yè)務(wù)�、停業(yè)整頓��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照��,并處以二百萬(wàn)元以下的罰款��。
3. 重要數(shù)據(jù)跨境傳輸特別要求
對(duì)于重要數(shù)據(jù)跨境傳輸而言�,《數(shù)據(jù)安全法》首先明確了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,仍適用《網(wǎng)絡(luò)安全法》的要求�����,即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ);因業(yè)務(wù)需要��,確需向境外提供的����,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。
此外�,《數(shù)據(jù)安全法》規(guī)定,其他數(shù)據(jù)處理者(即����,非關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者)在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定���。我 們判斷���,有關(guān)部門可能會(huì)出臺(tái)針對(duì)非關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者出境重要數(shù)據(jù)的具體辦法。雖然《個(gè)人 信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》的出臺(tái)可能性已經(jīng)非常小�����,但是其中有關(guān)非關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者重要數(shù)據(jù)出境安全評(píng)估的標(biāo)準(zhǔn)以及相關(guān)要求仍可能作為立法部門參考的重要依據(jù)��。
若違反《數(shù)據(jù)安全法》規(guī)定向境外提供重要數(shù)據(jù)��,可能會(huì)面臨由有關(guān)主管部門責(zé)令改正,給予警告�����,責(zé)令暫停相關(guān)業(yè)務(wù)��、停業(yè)整頓��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照���,并處一千萬(wàn)元以下的罰款��。
4. 數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)特別要求
《數(shù)據(jù)安全法》對(duì)于從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù)的過(guò)程當(dāng)中����,設(shè)置了特別的要求�,即應(yīng)當(dāng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源����,審核交易雙方的身份,并留存審核���、交易記錄�����。
若數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)未履行上述要求�,則可能面臨由有關(guān)主管部門責(zé)令改正,沒(méi)收違法所得����,責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓�、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照,并處違法所得一倍以上十倍以下或一百萬(wàn)元以下的罰款�。
5. 應(yīng)對(duì)外國(guó)司法或執(zhí)法機(jī)構(gòu)調(diào)查的特別要求
近年來(lái),外國(guó)司法或執(zhí)法機(jī)構(gòu)(例如�,美國(guó)BIS、OFAC等監(jiān)管機(jī)關(guān))調(diào)查中國(guó)境內(nèi)實(shí)體的頻率以及由此引發(fā)的制裁����、處罰案件越發(fā)增多。美國(guó)于2018 年3 月還通過(guò)了《海外數(shù)據(jù)合法使用權(quán)明確法案》(CLOUD ACT�����,多稱為美國(guó) 云法案 )��,以指導(dǎo)美國(guó)執(zhí)法部門依據(jù)合法的搜查令來(lái)直接訪問(wèn)境外的數(shù)據(jù)�。
在此背景下�,此次《數(shù)據(jù)安全法》的立法明確規(guī)定��,非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)�,境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)關(guān)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)�,并同時(shí)聲明中國(guó)主管機(jī)關(guān)根據(jù)有關(guān)法律和中國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定���,或者按照平等互惠原則����,處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供數(shù)據(jù)的請(qǐng)求�。這一立法規(guī)定能夠從法律層面上阻斷外國(guó)司法或者執(zhí)法機(jī)構(gòu)直接要求相關(guān)實(shí)體提供存儲(chǔ)于中國(guó)境內(nèi)的數(shù)據(jù)的調(diào)查活動(dòng),從而在一定程度上實(shí)現(xiàn)對(duì)國(guó)家主權(quán)�、安全和發(fā)展利益的維護(hù)。
在此之前��,中國(guó)境內(nèi)組織���、個(gè)人在配合外國(guó)司法或執(zhí)法機(jī)關(guān)調(diào)查時(shí),主要需要關(guān)注數(shù)據(jù)跨境傳輸中的兩類情形�����,即(1)跨境傳輸?shù)臄?shù)據(jù)構(gòu)成國(guó)家秘密,則不得向境外提供��,以及(2)關(guān)鍵基礎(chǔ)設(shè)施所收集的個(gè)人信息��、重要數(shù)據(jù)僅可在依法進(jìn)行了安全評(píng)估后能夠向境外提供���?����!稊?shù)據(jù)安全法》實(shí)質(zhì)上在此前的基礎(chǔ)上����,對(duì)組織�、個(gè)人在配合外國(guó)司法或執(zhí)法機(jī)關(guān)調(diào)查時(shí)所提交數(shù)據(jù)的管控范圍予以了擴(kuò)張,即擴(kuò)張至所有數(shù)據(jù)需經(jīng)過(guò)有關(guān)主管機(jī)關(guān)批準(zhǔn)方可向外國(guó)司法或者執(zhí)法機(jī)關(guān)提供�,而不再僅限于上述兩類限制性情形。
若相關(guān)主體未經(jīng)主管機(jī)關(guān)批準(zhǔn)向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)��,可能面臨由有關(guān)主管部門給予警告��,責(zé)令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照����,并處五百萬(wàn)元以下罰款����。
(七)政務(wù)數(shù)據(jù)管理
《數(shù)據(jù)安全法》對(duì)國(guó)家機(jī)關(guān)收集、使用數(shù)據(jù)(如個(gè)人隱私���、個(gè)人信息����、商業(yè)秘密���、保密商務(wù)信息等數(shù)據(jù))����,以及與數(shù)據(jù)處理受托第三方共享數(shù)據(jù)等方面設(shè)置了具體的原則性要求����,落實(shí)政務(wù)數(shù)據(jù)安全�。與此同時(shí)���,《數(shù)據(jù)安全法》還對(duì)國(guó)家機(jī)關(guān)制定了及時(shí)、準(zhǔn)確地公開(kāi)政務(wù)數(shù)據(jù)��,構(gòu)建統(tǒng)一規(guī)范�����、互聯(lián)互通��、安全可控的政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)等方面的要求�����,推動(dòng)政務(wù)數(shù)據(jù)開(kāi)放利用����。
四、企業(yè)合規(guī)建議
(一)評(píng)估自身業(yè)務(wù)的適用性
《數(shù)據(jù)安全法》的適用范圍相較而言�����,明確擴(kuò)大了原數(shù)據(jù)安全領(lǐng)域法律法規(guī)的管轄范圍�,將管轄范圍延伸至非電子數(shù)據(jù)。因此,相關(guān)企業(yè)需要重新結(jié)合自身業(yè)務(wù)操作�,研判自身所開(kāi)展的數(shù)據(jù)處理活動(dòng)是否屬于《數(shù)據(jù)安全法》的規(guī)制范圍內(nèi),特別是針對(duì)非電子數(shù)據(jù)的處理活動(dòng)予以研判�����。
此外��,相關(guān)企業(yè)還應(yīng)當(dāng)研判自身開(kāi)展業(yè)務(wù)是否屬于《數(shù)據(jù)安全法》中所指定的具有特殊義務(wù)要求的數(shù)據(jù)處理主體�����,如重要數(shù)據(jù)處理者����、數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者等����,以明確自身應(yīng)當(dāng)履行的義務(wù)范圍。
(二)建立符合要求的數(shù)據(jù)安全制度����,確保義務(wù)的履行
《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全制度,治理數(shù)據(jù)安全領(lǐng)域問(wèn)題���。對(duì)于相關(guān)企業(yè)而言�,建立與《數(shù)據(jù)安全法》要求匹配的內(nèi)部數(shù)據(jù)安全制度是確保合規(guī)操作、完整履行自身義務(wù)的重要手段��。
1. 建立數(shù)據(jù)分類分級(jí)管理制度
我們建議相關(guān)企業(yè)根據(jù)《數(shù)據(jù)安全法》��,建立數(shù)據(jù)分類分級(jí)管理制度��。鑒于有關(guān)重要數(shù)據(jù)出境以及國(guó)家核心數(shù)據(jù)的違法處罰占據(jù)了《數(shù)據(jù)安全法》中最嚴(yán)格處罰措施的地位(一千萬(wàn)元以下的罰款�;構(gòu)成犯罪�����,處以刑事責(zé)任)�����,企業(yè)應(yīng)當(dāng)特別關(guān)注分類分級(jí)管理制度中的重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù)的管理措施建立�����。
企業(yè)應(yīng)當(dāng)著手采取措施�����,開(kāi)始評(píng)估自身業(yè)務(wù)活動(dòng)是否收集、處理重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù)����,并特別關(guān)注國(guó)家有關(guān)部門后續(xù)將發(fā)布的重要數(shù)據(jù)目錄、非關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者出境重要數(shù)據(jù)的具體辦法����,以 及國(guó)家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求,以確保在《數(shù)據(jù)安全法》正式實(shí)施之前�����,建立起較為完善的重要數(shù)據(jù)與國(guó)家核心數(shù)據(jù)的管理措施����。
此外,對(duì)于業(yè)務(wù)活動(dòng)涉及出口管制范圍內(nèi)數(shù)據(jù)出口���、涉及個(gè)人信息收集與處理�、涉及統(tǒng)計(jì)與檔案工作中的數(shù)據(jù)處理活動(dòng)等的企業(yè)而言��,還應(yīng)當(dāng)關(guān)注自身操作符合其他相關(guān)法律法規(guī)的要求����。
2. 建立數(shù)據(jù)安全審查制度
《數(shù)據(jù)安全法》要求建立數(shù)據(jù)安全審查制度����,要求對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó) 家安全審查���。對(duì)于相關(guān)企業(yè)而言��,特別是業(yè)務(wù)活動(dòng)涉及處理重要數(shù)據(jù)的相關(guān)企業(yè),應(yīng)當(dāng)履行對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估��,并向有關(guān)主管部門依法報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告的義務(wù)�。
此外,企業(yè)應(yīng)當(dāng)繼續(xù)關(guān)注《網(wǎng)絡(luò)安全審查辦法》等針對(duì)各領(lǐng)域數(shù)據(jù)安全審查的具體辦法的后續(xù)頒布情況����,及時(shí)依法調(diào)整內(nèi)部數(shù)據(jù)安全審查范圍,以配合國(guó)家有關(guān)部門的審查要求����。
3. 建立數(shù)據(jù)安全應(yīng)急處置機(jī)制
《數(shù)據(jù)安全法》確立建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。對(duì)于相關(guān)企業(yè)而言�����,應(yīng)當(dāng)履行加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)并及時(shí)采取補(bǔ)救措施的義務(wù)���,與發(fā)生數(shù)據(jù)安全事件時(shí)及時(shí)采取處置措施并上報(bào)主管部門的義務(wù)���。
我們建議相關(guān)企業(yè)搭建內(nèi)部正式數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與修正機(jī)制����,并制定書面數(shù)據(jù)安全事件應(yīng)急預(yù)案�����,以最大程度確保配合有關(guān)部門的調(diào)查與應(yīng)急處置措施開(kāi)展����,從而防止危害擴(kuò)大,消除安全隱患��。
(三)關(guān)注數(shù)據(jù)安全領(lǐng)域立法動(dòng)態(tài)
《數(shù)據(jù)安全法》的頒布是中國(guó)的數(shù)據(jù)安全領(lǐng)域立法進(jìn)程中的一項(xiàng)關(guān)鍵的舉措��,其頒布標(biāo)志著數(shù)據(jù)安全立法擁有了具有統(tǒng)領(lǐng)性質(zhì)的上位法�。這同時(shí)意味著,后續(xù)有關(guān)部門將很可能加大數(shù)據(jù)安全領(lǐng)域立法力度����,補(bǔ)充更多針對(duì)各領(lǐng)域的具體細(xì)化要求。
就目前而言���,企業(yè)應(yīng)當(dāng)關(guān)注的后續(xù)數(shù)據(jù)安全領(lǐng)域立法����,例如《個(gè)人信息保護(hù)法》等立法進(jìn)程。此外�����,相關(guān)企業(yè)還應(yīng)當(dāng)重點(diǎn)關(guān)注重要數(shù)據(jù)目錄��、非關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者出境重要數(shù)據(jù)的具體辦法�����,以及國(guó)家核心數(shù)據(jù)相關(guān)規(guī)定的內(nèi)容與要求等在《數(shù)據(jù)安全法》中規(guī)定了嚴(yán)格罰則����,但暫未進(jìn)一步明確具體義務(wù)范圍相關(guān)的法律法規(guī)文件頒布情況�����。
