《中华人民共和国数据安全法》(以下简称《数据安全法》)已于2021年6月10日正式通过并公布,将于2021年9月1日起施行。作为我国数据安全领域的一部基础性法律,《数据安全法》自公布以来,引发各界广泛关注,其中做出迅速反应的不乏知名外资企业。
外资企业具备全球化和本地化相融合的特色,在数据安全合规管理方面是相对超前的。尽管在《数据安全法》出台之前,我国对于这一领域的法律法规尚未形成体系,缺少明确规定,但通常外资企业总部会要求旗下企业推行统一的价值观及合规政策,这里也包括数据安全管理要求,因此,大型外资企业或多或少的已经建立起相应的内部数据合规制度。《数据安全法》的出台,意味着外资企业需要重新审视梳理现有制度,针对新法规定及时进行本地化调整。
本文选取《数据安全法》与外资企业合规管理关联度较高的几个问题,初探如下。
一、关于数据分级分类保护制度
《数据安全法》所称数据,是指任何以电子或者其他方式对信息的记录。首次明确国家建立数据分类分级保护制度,分级分类的依据是数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。
仅从《数据安全法》角度来看,数据可分为“国家核心数据”、“重要数据”和一般数据,不同级别种类的保护程度不同,监管力度递减。国家核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据,国家对其实行更加严格的管理制度。鉴于目前我国对外商投资实行准入前国民待遇加负面清单管理制度,而关系国家安全、国民经济命脉、重要民生、重大公共利益等领域多被外商投资准入负面清单列为禁止或限制投资的领域,故普通外资企业处理的数据被识别为国家核心数据的可能性不大。
2017年6月1日起施行的《中华人民共和国网络安全法》(“《网络安全法》”)已提出“重要数据”,但并未明确其内涵和外延。《数据安全法》仍然没有给出重要数据的定义,但规定了国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。同时要求各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
基于此规定,国家有关部门和地方有关部门将陆续制定本区域、部门及相关行业、领域重要数据的具体目录,只有这样,《数据安全法》关于重要数据的一系列保护、监管规定才能真正落地。在具体目录出台之前,尚无法确定哪些数据属于依法需要严格管控的重要数据,建议企业密切关注,并根据数据目录对本企业处理的数据进行分类和细化。
二、关于数据的跨境流动
信息时代,数据流动不可避免。《数据安全法》从立法上并不否定数据跨境流动,而且明确表示国家“保障数据依法有序自由流动”,“促进数据跨境安全、自由流动”。其重点在于国家对重要数据的跨境流动予以监管。第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
另外,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。这里的数据没有限定为重要数据,因此可以理解为针对任何数据。也就是说,只要根据出口管制的相关规定将该数据识别为管制物项,就可以对其实施出口管制。
同时,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对我国采取歧视性的禁止、限制或者其他类似措施的,我国可以根据实际情况对该国家或者地区对等采取措施。
三、关于数据本地化存储
外资企业本身的特性决定了其是全球化程度较高的一类企业,将数据存储在境外的服务器、关联企业或供应商的情况并不罕见。《网络安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储(根据《网络安全法》,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的属于关键信息基础设施)。
而《数据安全法》虽未明确要求国家核心数据、重要数据进行境内存储,但基于对国家核心数据、重要数据进行重点保护的规定,可以预见的是,针对此类数据的审查、跨境流动的管控将会非常严格,跨境传输的难度加大。因此,建议在境外存储数据的外资企业重新进行业务评估,尽可能实现本地化存储,减少不必要的跨境传输,特别是涉及重要数据和个人信息处理业务(《中华人民共和国个人信息保护法》的立法工作正在进行中)。
四、关于向境外司法或者执法机构提供数据
国家对司法及执法领域的数据出境,实行严格监管。不论是否属于重要数据,只要是向外国司法或者执法机构提供,均须经过我国主管机关的事先批准。《数据安全法》第三十六条规定,“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
近年来,国家间数据主权之争成为热点,如美国2018年3月颁布的“云法案”(Clarifying Lawful Overseas Use of Data Act)、欧盟的《通用数据保护条例》等,在此背景下出台的本条规定应尤为引起外资企业的重视。受境外关联公司、客户、供应商影响,外资企业面临不同法域合规冲突的可能性增大。自2021年9月1日起,未经主管机关批准,不得向外国司法或者执法机构提供存储于境内的数据。若有违反,将视情形受到警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等严厉处罚。
由此引发的一点思考是,当外资企业直接作为境外诉讼参与人,为完成举证责任而向外国法院提供证据材料,是否属于《数据安全法》第三十六条的管制情形,是否应当事先取得我国主管机关的批准?法条本身没有排除,而从上述背景分析,管制此类情形并非立法初衷,但本条最终如何适用、主管机关处理外国司法或者执法机构关于提供数据的请求时,除根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者平等互惠原则之外,是否对数据进行实体审查等现实问题尚有待后续立法予以解决。
五、关于境外适用与管辖
《数据安全法》能否约束外资企业在我国境外的关联公司、客户、供应商,将如何影响境外企业的对华业务?《数据安全法》第二条明确规定,在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。由此可见,其不适用于在我国境外的数据处理活动。因此,外资企业在我国境外的关联公司、客户、供应商,其在我国境外进行的数据处理活动及其安全监管,不适用《数据安全法》,不受直接约束。当然,如果其境内关联公司、客户、供应商因《数据安全法》的实施而加强合规管理,如将数据存储地由境外调整为境内、对数据出境进行严格管控等,那么其对华业务自然受到相应影响。
需要注意的是,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。这一条款赋予了我国对于境外数据活动的管辖权,有且只有一种情形,即该数据处理活动损害了中华人民共和国国家安全、公共利益或公民、组织合法权益。
