犹抱琵琶半遮面——小论企业“重要数据”

作者:李丽霞

观点

企业运营中所产生或掌握的数据,不仅可能包括个人信息,还包括其他经营相关数据。在数据成为生产要素的大背景下,如何平衡数据的流动、利用与确保数据安全以及保护其他权益(如国家安全、社会公共利益、个人隐私等),是数据合规方面的立法目标之一,也是企业需要关注的合规问题要点之一。企业除了关注运营数据中对于个人信息保护的要求外,尚需识别、关注其是否产生或掌控重要数据。《数据安全法(草案)》的发布,预示着国家将强化对企业重要数据保护的监管。

作者在下文中整理归纳了有关重要数据的现有规定及部分法规征求意见稿反映的趋势,以期引起掌握大量数据的企业对其生产经营过程中收集和产生的重要数据保护与利用方面的关注。企业有必要评估数据流转(接收他人数据或将数据提供给其他主体,包括数据出境)的合规性,提早作好相应的技术上、组织上及/或合同文本上的准备和安排。

一、为什么需要关注重要数据的合规问题?

2020年3月30日发布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据定性为“生产要素”。因此,让数据流动起来,创造价值,是大势所趋。然而,数据有序流动,无法绕开数据的权利主体、范围、数据安全、权衡保护因数据流动可能导致侵害国家所保护的相关权益等问题。

在全球化业务布局及贸易往来场景下,一些贸易活动必然涉及数据的跨境流动。海量数据的汇聚、整合、融合、分析可能得出一旦被他人掌握则可能影响国家安全、社会公共利益等的信息,这无疑是当今数据主权时代之中各个国家关注数据安全的一个重要因素。《数据安全法(草案)》中已经就重要数据设置了强化保护要求。

与个人信息不同,个人信息的概念内涵在有关法律法规、司法解释及国家标准均有界定,什么是重要数据,目前尚无生效法律予以明确规定。诸如《个人信息和重要数据出境安全评估办法》(征求意见稿)等征求意见稿中则显现出界定重要数据、强化重要数据合规要求的端倪。滞后性是法律法规制定和完善的一大特点,但实践中,现实场景下的数据应用不可能等到法律法规制定或完善后才予以进行,因此对立法趋势予以充分的关注及预判显得尤为重要。对企业来说,企业的数据是否属于重要数据,哪些数据可能属于重要数据,哪些数据被限制出境,或可能在不久的将来面临出境限制,是其开展业务时需要予以保持关注的重要方面,以便防范合规风险,并适时对业务模式进行调整。

二、重要数据的定义及有关规定

1.《网络安全法》

截至目前,生效法律行政法规层面尚未定义何为“重要数据”。作为网络安全及数据合规领域的重大里程碑之法律即《网络安全法》,两次提及“重要数据”:

第一次是在第三章“网络运行安全”第一节“一般规定”第21条,即网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,其中包括:采取数据分类、重要数据备份和加密等措施。

第二次是在第三章第二节“关键信息基础设施[i]的运行安全”部分第37条:关键信息基础设施的运营者境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

以上可看出,根据《网络安全法》,重要数据并非仅针对关键信息基础设施运营者而言,即非关键信息基础设施的运营者也有必要判断自己拥有/控制的哪些数据是否或者可能构成重要数据,对该等重要数据采取备份和加密等措施。

另,国家网信办相关负责人在2017年就《网络安全法》答记者问提及:《网络安全法》第37条所指的重要数据是对国家而言,而不是针对企业和个人。

那么,《网络安全法》第21条的重要数据是否系对国家而言,还是对个人和组织的合法权益而言呢?作者认为,此处的重要数据不排除单独或兼具两个维度的利益:一是个人和组织的合法利益,而是国家的有关利益。这可能是《数据安全法(草案)》未将重要数据与关键信息基础设施挂钩的原因之一,哪些数据属于重要数据,其实是评判哪些数据被滥用或违法使用后将损害国家着力保护的重大权益。

2.《个人信息和重要数据出境安全评估办法》(征求意见稿)

2017年4月11日发布的《个人信息和重要数据出境安全评估办法》(征求意见稿)对重要数据作出了界定:重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。

根据该征求意见稿,网络运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照该评估办法进行安全评估。其中,出境数据的数据量超过1000GB、含有或累计含有50万人以上的个人信息,包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等,包含关键信息基础设施的系统漏洞、安全防护等网络安全信息,关键信息基础设施运营者向境外提供个人信息和重要数据,其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估的出境数据,需要进行安全评估。

该评估办法系为执行《网络安全法》所拟的配套政策,将需要在出境前进行安全评估的数据范围扩展至关键信息基础设施运营者之外的其他网络运营者,将数据量等作为评判是否应履行出境前安全评估的标准之一。不过,该评估办法至今未出台。

3.《信息安全技术 数据出境安全评估指南》(征求意见稿)

推荐性国家标准《信息安全技术 数据出境安全评估指南》(征求意见稿)于2017年10月13日截止征求意见,至今尚未出台。

该指南第3.5条将重要数据定义为:相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。重要数据的具体范围在附录A《重要数据识别指南》有作出规定,并明确经政府信息公开渠道合法公开的,不再属于重要数据。

根据附录A《重要数据识别指南》,重要数据包括原始数据和衍生数据,一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能危害国家安全、国防利益,破坏国际关系,可能损害国家财产、社会公共利益和个人合法利益,可能影响或危害国家经济秩序和金融安全,可能危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全,可分析出国家秘密或敏感信息,或可能造成该指南规定的其他损害。并且,该指南提出了各行业(领域)重要数据的范围,指出各行业(领域)主管部门应结合实际,明确本行业(领域)重要数据定义、范围或判定依据,并及时予以更新替换。

归纳下来,根据特定数据的类型和性质,数据的量达到一定广度、深度,该等数据出境有可能影响到国家层面的安全和利益。并且,重要数据的定性和范围是可能随时间等情况变化更新的。

某些数据汇聚、整合、分析后可能危害或影响我国所保护的有关利益,如国家秘密、国家安全、社会公共利益等,这无疑增加了定性哪些数据属于重要数据的难度。

4.《关于开展个人信息和重要数据安全专项调查的通知》

2018年,中央网信办联合工业和信息化部开展个人信息和重要数据安全专项调查工作,对掌握个人信息涉及100万人以上或掌握重要数据的互联网信息服务(含互联网移动应用程序)企业的数据收集、利用、存储、保护情况开展在线调查。[ii]

在中国信通院作出的《专项调查问题列表与答复》对重要数据作出定义:重要数据是指不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:

(1)地理、自然资源、重要物资储备等数据;

(2)基因、生物特征、疾病等数据;

(3)宏观统计等重要经济数据;

(4)网络信息系统的缺陷、漏洞、防范措施等数据;

(5)人群导航位置、大型设备目标位置和移动数据;

(6)法律法规规定的其他重要数据。

以上定义对于企业判断自身持有的数据是否属于重要数据具有借鉴意义。实际上,一些单行法规本身就针对以上所列出的某些特定信息/数据规定了保护性措施(如须在境内存储),比如金融、卫生医疗、交通运输(包括寄递行业)等领域提出了数据境内存储等要求。这些被规制的信息/数据,岂不重要?

5.《数据安全法(草案)》

2020年7月3日发布并征求意见的《数据安全法(草案)》,其立法目的是为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。该草案并未定义重要数据,但第19条规定对数据实行分级分类保护。

根据该第19条,对数据分类分级系根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度来判定的,并规定各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。尽管并未直接定义何为重要数据,该草案的数据分类分级保护规定与《信息安全技术 数据出境安全评估指南》中对重要数据的定义思路“一脉相承”。不过,如果《数据安全法》的最终通过文本与现行草案中有关数据分类分级保护规定保持一致,如何确立预防机制以防止或解决不同地区、不同部门或不同行业之间主管部门对重要数据、或需要重点保护的数据的界定“打架”问题,如何一方面保护好关乎国家安全、社会公共利益、公民、组织合法权益的重要数据,一方面促进数据的有序流动和利用,尚需配备行之有效的配套制度。

值得一提的是,《数据安全法(草案)》对数据的界定与《网络安全法》不同,《网络安全法》规制的是电子形式体现的数据,而该草案将数据界定为“任何以电子或非电子形式对信息的记录”,将非电子形式表现的信息纳入规制范围。相应地,以非电子形式存储的信息,当然也可能构成重要数据。

《数据安全法(草案)》提及的重要数据与《网络安全法》中关键信息基础设施运营者的重要数据指向是否同一?,从该草案的表述,看得出二者有一定的关联性。不过,该草案并未明确重要数据的出境是否履行事先评估程序,相应地,该草案第25条和第28条分别规定了重要数据的重点保护方式,从设立数据安全负责人和管理机构、定期开展风险评估,并向有关主管部门报送风险评估报告等方面提出要求。重要数据中涉及影响国家安全的数据将接受国家安全审查,属于与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。

6.《信息安全技术 网络数据处理安全规范》(征求意见稿)

2020年8月28日,全国信息安全标准化技术委员会发布推荐性国家标准《信息安全技术 网络数据处理安全规范》(征求意见稿),于2020年10月27日前征求意见。该征求意见稿对重要数据作出的界定是:一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据,包括未公开的政府信息,数量达到一定规模的基因、地理、矿产信息等,原则上不包括个人信息、企业内部经营管理信息等。

该征求意见稿将重要数据与个人信息加以区分。还规定了网络运营者的数据识别及分级分类保护要求,即网络运营者应识别数据处理活动中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新;根据业务运营需要,对所掌握的数据进行分级分类管理;采取加密、脱敏、访问控制等措施,对重要数据和个人信息进行重点保护。[iii]

目前《个人信息保护法》专项法律处于立法过程中。未来如果将个人信息的保护与重要数据的保护区分开来,如何协调对二者的保护将可能是一个问题。企业是否可以较低成本将夹杂个人信息与重要数据的数据区分开来?如果这些数据需要出境,需要履行出境前安全评估手续的,是否就个人信息与重要数据分别履行安全评估程序?须得继续保持此方面的关注。

三、企业怎么做?

纵观我国截至目前的一些法律法规及国家标准的征求意见稿的主要规范要求,重要数据关系国家安全、社会公共利益或公民、组织权益,一方面需要重要数据持有人给予重要数据更大程度的安全保护,另一方面则涉及是否能向境外提供,或者向境外提供前需要经过安全评估。

尽管在现阶段,重要数据的内涵和外延尚无生效法律法规明确规定,但是,即便不属于关键信息基础设施的运营者,如需将大量数据提供至境外,或者企业数据已经受到生效的单项法律的特殊规制,企业须得评估其数据是否属于“重要”数据,在开展业务的可行性论证阶段、业务架构及有关合同条款层面作好分析、准备好应对措施,以便在合规要求出台后能快速调整,减少(时间等)成本、避免损失。

作者认为,若涉及数据出境的(包括提供数据接口供境外主体查询数据),企业可大致根据下述步骤评估拟出境数据是否落入或未来可能落入禁止或限制出境的范围,做好应对措施:

(1)判断企业的数据是否落入特定行业法律法规设定的合规要求范围内,包括境内存储、不得出境或经履行有关手续方可出境,比如:

征信信息:征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。

保险数据:保险业务数据、财务数据等重要数据应存放在中国境内,具有独立的数据存储设备以及相应的安全防护和异地备份措施。

人口健康信息:不得在境外的服务器中存储,不得托管、租赁在境外的服务器。

人类遗传资源信息:境内存储,利用我国人类遗传资源开展国际合作科学研究、该等信息出境须经主管部门批准。

网约车经营信息:网约车平台服务器设置在中国内地,平台采集的个人信息和生成的业务数据,应当在中国内地存储和使用,除法律法规另有规定外,不得外流。

(2)判断企业是否属于关键信息基础设施的运营者

企业如果根据《网络安全法》的规定属于关键信息基础设施的运营者的,如果需要将个人信息及其他数据提供给境外主体,需要审慎判断向境外提供的数据从国家安全等宏观角度来说是否可能构成重要数据。如果根据《网络安全法》无法判断自身是否属于关键信息基础设施,则需要密切关注《关键信息基础设施安全保护条例(征求意见稿)》所体现的关键信息基础设施外延界定趋势。该征求意见稿列明下述属于关键信息基础设施:

·  政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

·  电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

·  国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

·  广播电台、电视台、通讯社等新闻单位;

·  其他重点单位。

(3)关注立法趋势、提前做好准备性安排

如果企业并非关键信息基础设施运营者,其所掌握的数据也不属于特定的现有法律法规予以特殊规制的范围,对企业运营数据的利用或者大数据产品的提供,企业仍需保持对立法趋势的关注。

如果企业需要将其大量数据对外提供,则需要在合同层面就未来数据无法继续对外提供带来的影响作出考量、妥善布置合同条款;技术层面则需要在一旦出台新规及/或监管层叫停数据提供或对数据对外提供设置前置程序的,能够快速作出响应,避免反应过慢构成违规、违法行为遭致处罚。


注释:

[i] 根据《网络安全法》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施。 

[ii] 参见网址:https://nxca.miit.gov.cn/nxtxglj/articleView.do?articleId=2183

[iii] 并且,网络运营者开展数据加工过程中,发现或者应发现可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动并按要求向网信部门和有关部门报告。

作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 新葡集团3522 京ICP备11012394号
Baidu
sogou
欣昌电子有限公司 凯祥电子有限公司 利仁电子有限公司 金广电子有限公司 干瑞电子有限公司 弘康电子有限公司 大鼎电子有限公司 复禄电子有限公司 万美电子有限公司 厚辉电子有限公司