企(qi)業(ye)運(yun)營(ying)中(zhong)所(suo)產(chan)生(sheng)或(huo)掌(zhang)握(wo)的(de)數(shu)據(ju)���,不(bu)僅(jin)可(ke)能(neng)包(bao)括(kuo)個(ge)人(ren)信(xin)息(xi)���,還(hai)包(bao)括(kuo)其(qi)他(ta)經(jing)營(ying)相(xiang)關(guan)數(shu)據(ju)。在(zai)數(shu)據(ju)成(cheng)為(wei)生(sheng)產(chan)要(yao)素(su)的(de)大(da)背(bei)景(jing)下(xia)���,如(ru)何(he)平(ping)衡(heng)數(shu)據(ju)的(de)流(liu)動(dong)�、利用與確保數據安全以及保護其他權益(如國家安全���、社會公共利益�����、個人隱私等)�,是shi數shu據ju合he規gui方fang麵mian的de立li法fa目mu標biao之zhi一yi���,也ye是shi企qi業ye需xu要yao關guan注zhu的de合he規gui問wen題ti要yao點dian之zhi一yi。企qi業ye除chu了le關guan注zhu運yun營ying數shu據ju中zhong對dui於yu個ge人ren信xin息xi保bao護hu的de要yao求qiu外wai���,尚shang需xu識shi別bie����、關注其是否產生或掌控重要數據。《數據安全法(草案)》的發布����,預示著國家將強化對企業重要數據保護的監管。
zuozhezaixiawenzhongzhengliguinaleyouguanzhongyaoshujudexianyouguidingjibufenfaguizhengqiuyijiangaofanyingdequshi�,yiqiyinqizhangwodaliangshujudeqiyeduiqishengchanjingyingguochengzhongshoujihechanshengdezhongyaoshujubaohuyuliyongfangmiandeguanzhu。qiyeyoubiyaopinggushujuliuzhuan(接收他人數據或將數據提供給其他主體����,包括數據出境)的合規性�����,提早作好相應的技術上����、組織上及/或合同文本上的準備和安排。
一�����、為什麼需要關注重要數據的合規問題���?
2020年3月30日發布的《中共中央��、國務院關於構建更加完善的要素市場化配置體製機製的意見》將數據定性為“生產要素”。因此��,讓數據流動起來�,創造價值�����,是大勢所趨。然而�����,數據有序流動�����,無法繞開數據的權利主體�、範圍�、數據安全��、權衡保護因數據流動可能導致侵害國家所保護的相關權益等問題。
在全球化業務布局及貿易往來場景下��,一些貿易活動必然涉及數據的跨境流動。海量數據的彙聚�、整合�����、融合����、分析可能得出一旦被他人掌握則可能影響國家安全��、社會公共利益等的信息����,這無疑是當今數據主權時代之中各個國家關注數據安全的一個重要因素。《數據安全法(草案)》中已經就重要數據設置了強化保護要求。
與個人信息不同���,個人信息的概念內涵在有關法律法規�����、司法解釋及國家標準均有界定�,什麼是重要數據����,目前尚無生效法律予以明確規定。諸如《個人信息和重要數據出境安全評估辦法》(征求意見稿)等征求意見稿中則顯現出界定重要數據����、qianghuazhongyaoshujuheguiyaoqiudeduanni。zhihouxingshifalvfaguizhidinghewanshandeyidatedian�����,danshijianzhong��,xianshichangjingxiadeshujuyingyongbukenengdengdaofalvfaguizhidinghuowanshanhoucaiyuyijinxing�,yinciduilifaqushiyuyichongfendeguanzhujiyupanxiandeyouweizhongyao。duiqiyelaishuo���,qiyedeshujushifoushuyuzhongyaoshuju���,naxieshujukenengshuyuzhongyaoshuju����,naxieshujubeixianzhichujing��,huokenengzaibujiudejianglaimianlinchujingxianzhi�,shiqikaizhanyewushixuyaoyuyibaochiguanzhudezhongyaofangmian���,yibianfangfanheguifengxian�����,bingshishiduiyewumoshijinxingtiaozheng。
二�����、重要數據的定義及有關規定
1.《網絡安全法》
截至目前�,生效法律行政法規層麵尚未定義何為“重要數據”。作為網絡安全及數據合規領域的重大裏程碑之法律即《網絡安全法》�����,兩次提及“重要數據”:
第一次是在第三章“網絡運行安全”第一節“一般規定”第21條�����,即網絡運營者應當按照網絡安全等級保護製度的要求��,履行安全保護義務�,其中包括:采取數據分類��、重要數據備份和加密等措施。
第二次是在第三章第二節“關鍵信息基礎設施[i]的運行安全”部分第37條:關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)的(de)運(yun)營(ying)者(zhe)境(jing)內(nei)運(yun)營(ying)中(zhong)收(shou)集(ji)和(he)產(chan)生(sheng)的(de)個(ge)人(ren)信(xin)息(xi)和(he)重(zhong)要(yao)數(shu)據(ju)應(ying)當(dang)在(zai)境(jing)內(nei)存(cun)儲(chu)。因(yin)業(ye)務(wu)需(xu)要(yao)�,確(que)需(xu)向(xiang)境(jing)外(wai)提(ti)供(gong)的(de)���,應(ying)當(dang)按(an)照(zhao)國(guo)家(jia)網(wang)信(xin)部(bu)門(men)會(hui)同(tong)國(guo)務(wu)院(yuan)有(you)關(guan)部(bu)門(men)製(zhi)定(ding)的(de)辦(ban)法(fa)進(jin)行(xing)安(an)全(quan)評(ping)估(gu)�;法律��、行政法規另有規定的�����,依照其規定。
以上可看出�,根據《網絡安全法》��,重要數據並非僅針對關鍵信息基礎設施運營者而言�,即非關鍵信息基礎設施的運營者也有必要判斷自己擁有/控製的哪些數據是否或者可能構成重要數據����,對該等重要數據采取備份和加密等措施。
另�����,國家網信辦相關負責人在2017年就《網絡安全法》答記者問提及:《網絡安全法》第37條所指的重要數據是對國家而言��,而不是針對企業和個人。
那麼�,《網絡安全法》第21條的重要數據是否係對國家而言���,還是對個人和組織的合法權益而言呢���?作者認為���,此處的重要數據不排除單獨或兼具兩個維度的利益:一是個人和組織的合法利益��,而是國家的有關利益。這可能是《數據安全法(草案)》weijiangzhongyaoshujuyuguanjianxinxijichusheshiguagoudeyuanyinzhiyi����,naxieshujushuyuzhongyaoshuju��,qishishipingpannaxieshujubeilanyonghuoweifashiyonghoujiangsunhaiguojiazhelibaohudezhongdaquanyi。
2.《個人信息和重要數據出境安全評估辦法》(征求意見稿)
2017年4月11日發布的《個人信息和重要數據出境安全評估辦法》(征求意見稿)對重要數據作出了界定:重要數據���,是指與國家安全����、經濟發展���,以及社會公共利益密切相關的數據�,具體範圍參照國家有關標準和重要數據識別指南。
根(gen)據(ju)該(gai)征(zheng)求(qiu)意(yi)見(jian)稿(gao)����,網(wang)絡(luo)運(yun)營(ying)者(zhe)在(zai)中(zhong)國(guo)境(jing)內(nei)運(yun)營(ying)中(zhong)收(shou)集(ji)和(he)產(chan)生(sheng)的(de)個(ge)人(ren)信(xin)息(xi)和(he)重(zhong)要(yao)數(shu)據(ju)����,應(ying)當(dang)在(zai)境(jing)內(nei)存(cun)儲(chu)。因(yin)業(ye)務(wu)需(xu)要(yao)�,確(que)需(xu)向(xiang)境(jing)外(wai)提(ti)供(gong)的(de)�����,應(ying)當(dang)按(an)照(zhao)該(gai)評(ping)估(gu)辦(ban)法(fa)進(jin)行(xing)安(an)全(quan)評(ping)估(gu)。其(qi)中(zhong)�����,出(chu)境(jing)數(shu)據(ju)的(de)數(shu)據(ju)量(liang)超(chao)過(guo)1000GB��、含有或累計含有50萬人以上的個人信息��,包含核設施��、化學生物�、國防軍工���、人口健康等領域數據�,大型工程活動�、海洋環境以及敏感地理信息數據等�����,包含關鍵信息基礎設施的係統漏洞����、安(an)全(quan)防(fang)護(hu)等(deng)網(wang)絡(luo)安(an)全(quan)信(xin)息(xi)���,關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)運(yun)營(ying)者(zhe)向(xiang)境(jing)外(wai)提(ti)供(gong)個(ge)人(ren)信(xin)息(xi)和(he)重(zhong)要(yao)數(shu)據(ju)�,其(qi)他(ta)可(ke)能(neng)影(ying)響(xiang)國(guo)家(jia)安(an)全(quan)和(he)社(she)會(hui)公(gong)共(gong)利(li)益(yi)����,行(xing)業(ye)主(zhu)管(guan)或(huo)監(jian)管(guan)部(bu)門(men)認(ren)為(wei)應(ying)該(gai)評(ping)估(gu)的(de)出(chu)境(jing)數(shu)據(ju)��,需(xu)要(yao)進(jin)行(xing)安(an)全(quan)評(ping)估(gu)。
該評估辦法係為執行《網絡安全法》所suo擬ni的de配pei套tao政zheng策ce���,將jiang需xu要yao在zai出chu境jing前qian進jin行xing安an全quan評ping估gu的de數shu據ju範fan圍wei擴kuo展zhan至zhi關guan鍵jian信xin息xi基ji礎chu設she施shi運yun營ying者zhe之zhi外wai的de其qi他ta網wang絡luo運yun營ying者zhe���,將jiang數shu據ju量liang等deng作zuo為wei評ping判pan是shi否fou應ying履lv行xing出chu境jing前qian安an全quan評ping估gu的de標biao準zhun之zhi一yi。不bu過guo���,該gai評ping估gu辦ban法fa至zhi今jin未wei出chu台tai。
3.《信息安全技術 數據出境安全評估指南》(征求意見稿)
推薦性國家標準《信息安全技術 數據出境安全評估指南》(征求意見稿)於2017年10月13日截止征求意見�����,至今尚未出台。
該指南第3.5條將重要數據定義為:相關組織���、機構和個人在境內收集��、產生的不涉及國家秘密����,但與國家安全���、經濟發展以及公共利益密切相關的數據(包括原始數據和衍生數據)。重要數據的具體範圍在附錄A《重要數據識別指南》有作出規定�,並明確經政府信息公開渠道合法公開的���,不再屬於重要數據。
根據附錄A《重要數據識別指南》��,重要數據包括原始數據和衍生數據���,一旦未經授權披露�����、丟失�、濫用���、篡改或銷毀�,或彙聚���、整合��、分析後�,可能危害國家安全���、國防利益�,破壞國際關係�,可能損害國家財產�����、社會公共利益和個人合法利益���,可能影響或危害國家經濟秩序和金融安全�,可能危害國家關鍵基礎設施�����、關鍵信息基礎設施�����、政府係統信息係統安全��,可分析出國家秘密或敏感信息�,或可能造成該指南規定的其他損害。並且���,該指南提出了各行業(領域)重要數據的範圍���,指出各行業(領域)主管部門應結合實際���,明確本行業(領域)重要數據定義�����、範圍或判定依據�,並及時予以更新替換。
歸納下來�,根據特定數據的類型和性質���,數據的量達到一定廣度���、深度�����,該等數據出境有可能影響到國家層麵的安全和利益。並且�,重要數據的定性和範圍是可能隨時間等情況變化更新的。
某些數據彙聚�����、整合�����、分析後可能危害或影響我國所保護的有關利益����,如國家秘密����、國家安全�����、社會公共利益等��,這無疑增加了定性哪些數據屬於重要數據的難度。
4.《關於開展個人信息和重要數據安全專項調查的通知》
2018年���,中央網信辦聯合工業和信息化部開展個人信息和重要數據安全專項調查工作���,對掌握個人信息涉及100萬人以上或掌握重要數據的互聯網信息服務(含互聯網移動應用程序)企業的數據收集��、利用���、存儲���、保護情況開展在線調查。[ii]
在中國信通院作出的《專項調查問題列表與答複》對重要數據作出定義:重要數據是指不涉及國家秘密,但如果泄露��、竊取���、篡改�����、毀損��、丟失和非法使用可能危害國家安全�����、國計民生���、公共利益的未公開數據,包括:
(1)地理����、自然資源��、重要物資儲備等數據;
(2)基因��、生物特征�、疾病等數據;
(3)宏觀統計等重要經濟數據�����;
(4)網絡信息係統的缺陷��、漏洞��、防範措施等數據;
(5)人群導航位置��、大型設備目標位置和移動數據���;
(6)法律法規規定的其他重要數據。
以上定義對於企業判斷自身持有的數據是否屬於重要數據具有借鑒意義。實際上�����,一些單行法規本身就針對以上所列出的某些特定信息/數據規定了保護性措施(如須在境內存儲)����,比如金融��、衛生醫療��、交通運輸(包括寄遞行業)等領域提出了數據境內存儲等要求。這些被規製的信息/數據���,豈不重要��?
5.《數據安全法(草案)》
2020年7月3日發布並征求意見的《數據安全法(草案)》��,其立法目的是為了保障數據安全,促進數據開發利用,保護公民���、組織的合法權益�,維護國家主權�����、安全和發展利益。該草案並未定義重要數據�����,但第19條規定對數據實行分級分類保護。
根據該第19條�,對數據分類分級係根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改��、破壞����、泄露或者非法獲取����、非法利用,對國家安全��、公共利益或者公民�����、組織合法權益造成的危害程度來判定的�,並規定各地區�、各部門應當按照國家有關規定,確定本地區���、本部門���、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。盡管並未直接定義何為重要數據�,該草案的數據分類分級保護規定與《信息安全技術 數據出境安全評估指南》中對重要數據的定義思路“一脈相承”。不過�����,如果《數據安全法》的最終通過文本與現行草案中有關數據分類分級保護規定保持一致����,如何確立預防機製以防止或解決不同地區����、不同部門或不同行業之間主管部門對重要數據����、或需要重點保護的數據的界定“打架”問題�����,如何一方麵保護好關乎國家安全�����、社會公共利益�����、公民��、組織合法權益的重要數據�,一方麵促進數據的有序流動和利用����,尚需配備行之有效的配套製度。
值得一提的是��,《數據安全法(草案)》對數據的界定與《網絡安全法》不同�,《網絡安全法》規製的是電子形式體現的數據���,而該草案將數據界定為“任何以電子或非電子形式對信息的記錄”����,將非電子形式表現的信息納入規製範圍。相應地��,以非電子形式存儲的信息��,當然也可能構成重要數據。
《數據安全法(草案)》提及的重要數據與《網絡安全法》zhongguanjianxinxijichusheshiyunyingzhedezhongyaoshujuzhixiangshifoutongyi�?�����,conggaicaoandebiaoshu�,kandechuerzheyouyidingdeguanlianxing。buguo�,gaicaoanbingweimingquezhongyaoshujudechujingshifoulvxingshixianpingguchengxu�����,xiangyingdi����,gaicaoandi25條和第28條分別規定了重要數據的重點保護方式����,從設立數據安全負責人和管理機構�、定期開展風險評估,bingxiangyouguanzhuguanbumenbaosongfengxianpinggubaogaodengfangmiantichuyaoqiu。zhongyaoshujuzhongshejiyingxiangguojiaanquandeshujujiangjieshouguojiaanquanshenzha�����,shuyuyulvxingguojiyiwuheweihuguojiaanquanxiangguandeshuyuguanzhiwuxiangdeshujuyifashishichukouguanzhi。
6.《信息安全技術 網絡數據處理安全規範》(征求意見稿)
2020年8月28日��,全國信息安全標準化技術委員會發布推薦性國家標準《信息安全技術 網絡數據處理安全規範》(征求意見稿)��,於2020年10月27日前征求意見。該征求意見稿對重要數據作出的界定是:一旦泄露可能直接影響國家安全����、公共安全���、經濟安全和社會穩定的數據�,包括未公開的政府信息�,數量達到一定規模的基因�、地理��、礦產信息等�,原則上不包括個人信息�����、企業內部經營管理信息等。
該(gai)征(zheng)求(qiu)意(yi)見(jian)稿(gao)將(jiang)重(zhong)要(yao)數(shu)據(ju)與(yu)個(ge)人(ren)信(xin)息(xi)加(jia)以(yi)區(qu)分(fen)。還(hai)規(gui)定(ding)了(le)網(wang)絡(luo)運(yun)營(ying)者(zhe)的(de)數(shu)據(ju)識(shi)別(bie)及(ji)分(fen)級(ji)分(fen)類(lei)保(bao)護(hu)要(yao)求(qiu)��,即(ji)網(wang)絡(luo)運(yun)營(ying)者(zhe)應(ying)識(shi)別(bie)數(shu)據(ju)處(chu)理(li)活(huo)動(dong)中(zhong)涉(she)及(ji)的(de)數(shu)據(ju)��,包(bao)括(kuo)個(ge)人(ren)信(xin)息(xi)����、重要數據和其他數據�����,形成數據保護目錄�����,並及時更新�;根據業務運營需要�,對所掌握的數據進行分級分類管理���;采取加密�����、脫敏����、訪問控製等措施��,對重要數據和個人信息進行重點保護。[iii]
目前《個人信息保護法》專zhuan項xiang法fa律lv處chu於yu立li法fa過guo程cheng中zhong。未wei來lai如ru果guo將jiang個ge人ren信xin息xi的de保bao護hu與yu重zhong要yao數shu據ju的de保bao護hu區qu分fen開kai來lai�,如ru何he協xie調tiao對dui二er者zhe的de保bao護hu將jiang可ke能neng是shi一yi個ge問wen題ti。企qi業ye是shi否fou可ke以yi較jiao低di成cheng本ben將jiang夾jia雜za個ge人ren信xin息xi與yu重zhong要yao數shu據ju的de數shu據ju區qu分fen開kai來lai�����?如ru果guo這zhe些xie數shu據ju需xu要yao出chu境jing����,需xu要yao履lv行xing出chu境jing前qian安an全quan評ping估gu手shou續xu的de�����,是shi否fou就jiu個ge人ren信xin息xi與yu重zhong要yao數shu據ju分fen別bie履lv行xing安an全quan評ping估gu程cheng序xu�����?須xu得de繼ji續xu保bao持chi此ci方fang麵mian的de關guan注zhu。
三�����、企業怎麼做���?
縱觀我國截至目前的一些法律法規及國家標準的征求意見稿的主要規範要求���,重要數據關係國家安全�、社會公共利益或公民�、zuzhiquanyi��,yifangmianxuyaozhongyaoshujuchiyourengeiyuzhongyaoshujugengdachengdudeanquanbaohu���,lingyifangmianzeshejishifounengxiangjingwaitigong�,huozhexiangjingwaitigongqianxuyaojingguoanquanpinggu。
jinguanzaixianjieduan����,zhongyaoshujudeneihanhewaiyanshangwushengxiaofalvfaguimingqueguiding���,danshi��,jibianbushuyuguanjianxinxijichusheshideyunyingzhe�����,ruxujiangdaliangshujutigongzhijingwai�,huozheqiyeshujuyijingshoudaoshengxiaodedanxiangfalvdeteshuguizhi��,qiyexudepingguqishujushifoushuyu“重要”數據���,在開展業務的可行性論證階段����、業務架構及有關合同條款層麵作好分析���、準備好應對措施��,以便在合規要求出台後能快速調整��,減少(時間等)成本����、避免損失。
作者認為���,若涉及數據出境的(包括提供數據接口供境外主體查詢數據)����,企業可大致根據下述步驟評估擬出境數據是否落入或未來可能落入禁止或限製出境的範圍��,做好應對措施:
(1)判斷企業的數據是否落入特定行業法律法規設定的合規要求範圍內����,包括境內存儲��、不得出境或經履行有關手續方可出境�,比如:
征信信息:征信機構在中國境內采集的信息的整理����、保存和加工����,應當在中國境內進行。
保險數據:保險業務數據����、財務數據等重要數據應存放在中國境內��,具有獨立的數據存儲設備以及相應的安全防護和異地備份措施。
人口健康信息:不得在境外的服務器中存儲����,不得托管��、租賃在境外的服務器。
人類遺傳資源信息:境內存儲���,利用我國人類遺傳資源開展國際合作科學研究����、該等信息出境須經主管部門批準。
網約車經營信息:wangyuechepingtaifuwuqishezhizaizhongguoneidi���,pingtaicaijidegerenxinxiheshengchengdeyewushuju��,yingdangzaizhongguoneidicunchuheshiyong��,chufalvfaguilingyouguidingwai��,budewailiu。
(2)判斷企業是否屬於關鍵信息基礎設施的運營者
企業如果根據《網絡安全法》的(de)規(gui)定(ding)屬(shu)於(yu)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)的(de)運(yun)營(ying)者(zhe)的(de)�����,如(ru)果(guo)需(xu)要(yao)將(jiang)個(ge)人(ren)信(xin)息(xi)及(ji)其(qi)他(ta)數(shu)據(ju)提(ti)供(gong)給(gei)境(jing)外(wai)主(zhu)體(ti)�,需(xu)要(yao)審(shen)慎(shen)判(pan)斷(duan)向(xiang)境(jing)外(wai)提(ti)供(gong)的(de)數(shu)據(ju)從(cong)國(guo)家(jia)安(an)全(quan)等(deng)宏(hong)觀(guan)角(jiao)度(du)來(lai)說(shuo)是(shi)否(fou)可(ke)能(neng)構(gou)成(cheng)重(zhong)要(yao)數(shu)據(ju)。如(ru)果(guo)根(gen)據(ju)《網絡安全法》無法判斷自身是否屬於關鍵信息基礎設施���,則需要密切關注《關鍵信息基礎設施安全保護條例(征求意見稿)》所體現的關鍵信息基礎設施外延界定趨勢。該征求意見稿列明下述屬於關鍵信息基礎設施:
· 政府機關和能源����、金融�、交通�����、水利�����、衛生醫療�����、教育����、社保��、環境保護�、公用事業等行業領域的單位����;
· 電信網�、廣播電視網����、互聯網等信息網絡����,以及提供雲計算�、大數據和其他大型公共信息網絡服務的單位���;
· 國防科工��、大型裝備����、化工��、食品藥品等行業領域科研生產單位�����;
· 廣播電台��、電視台���、通訊社等新聞單位���;
· 其他重點單位。
(3)關注立法趨勢��、提前做好準備性安排
如ru果guo企qi業ye並bing非fei關guan鍵jian信xin息xi基ji礎chu設she施shi運yun營ying者zhe�,其qi所suo掌zhang握wo的de數shu據ju也ye不bu屬shu於yu特te定ding的de現xian有you法fa律lv法fa規gui予yu以yi特te殊shu規gui製zhi的de範fan圍wei�,對dui企qi業ye運yun營ying數shu據ju的de利li用yong或huo者zhe大da數shu據ju產chan品pin的de提ti供gong����,企qi業ye仍reng需xu保bao持chi對dui立li法fa趨qu勢shi的de關guan注zhu。
如果企業需要將其大量數據對外提供�,則需要在合同層麵就未來數據無法繼續對外提供帶來的影響作出考量��、妥善布置合同條款�����;技術層麵則需要在一旦出台新規及/或監管層叫停數據提供或對數據對外提供設置前置程序的��,能夠快速作出響應�,避免反應過慢構成違規�、違法行為遭致處罰。
注釋:
[i] 根據《網絡安全法》��,關鍵信息基礎設施是指公共通信和信息服務��、能源�����、交通���、水利��、金融���、公共服務���、電子政務等重要行業和領域�,以及其他一旦遭到破壞���、喪失功能或者數據泄露��,可能嚴重危害國家安全��、國計民生��、公共利益的信息基礎設施。
[ii] 參見網址:https://nxca.miit.gov.cn/nxtxglj/articleView.do?articleId=2183
[iii] 並且��,網絡運營者開展數據加工過程中�,發現或者應發現可能危害國家安全��、公共安全���、經濟安全和社會穩定的�����,應立即停止加工活動並按要求向網信部門和有關部門報告。
