中國數據安全法及要求
隨着科技進步,日常生活中的行為,例如網上購物、預約網約車等,都會留下數據足跡。用戶資料和數據已成為企業的重要資產。除了個人和企業層面,數據也是中國數位經濟發展的關鍵因素。由二○二一年九月一日起,保障數據安全的專門性法律《中華人民共和國數據安全法》已經實施。
數安法的立法目標是要規範數據處理活動,保障數據安全,促進開發利用,保護個人、組織的安全權益,維護國家人權,並發展利益。數安法適用於中國內地進行的數據處理活動,並具有境外的法律效力,境外開展數據處理活動中如損害國家安全或公民合法權益,可依法追究其法律責任。
數安法定義數據為以電子或者其他方式對信息的記錄;數據處理則涵蓋了數據生命周期。以下三點是數安法對企業相對比較關鍵的監管要求:
1.規範數據處理服務
對專門提供數據處理服務的機構提出強制要求,包括取得行政許可,提供服務時需要求數據提供方說明數據來源,審核數據提供方身份,並留存審核、交易記錄。同時,展開數據處理活動時要加強風險監測,及時發現安全漏洞,採取補救措施,和履行告知義務。
2.數據實行分類分級保護
明確要求各地區、各部門為相關行業建立數據分類分級保護制度,對數據實行分類分級保護,和制定重要數據目錄。這跟網絡安全等級保護制度2.0標準的一系列條例和指南互相呼應。有鑑於此,企業應對已取得的數據進行分類分級。根據數據重要程度,設置不同級別和對應的保護機制。除了分類分級,企業還需要建立數據安全管理制度和進行培訓。而且,數安法定義了重要數據。重要數據處理者需明確數據安全負責人和管理機構,並進行定期風險評估。
3.重要數據出境
重申在《中華人民共和國網絡安全法》中關於關鍵數據基礎設施運營者的重要數據出境安全管理規定。在這基礎上,規範了其他數據處理者重要數據的出境安全管理辦法,需遵循國家網信部門同國務院有關部門規定。企業收到外國司法或執法機構提供數據的請求後,得到相關機關批准前,不得提供存儲於境內的數據。
針對違反規定的情形,企業會受到不同程度的罰款(最高人民幣一千萬元),嚴重的後果可能涉及暫停相關業務、停業整頓、吊銷業務許可或營業執照;並會對直接負責主管人員和其他直接責任人員罰款(最高人民幣一百萬元),如果構成犯罪的,則依法追究刑事責任。
若澳門企業存有內地客戶資料,則需要了解及遵守數安法、網安法和《中華人民共和國個人信息保護法》的要求。以上法律都對企業的治理要求奠定了基石,部分要求更是環環相扣,澳門企業應就這些法律的適用性和要求進行自我評估,強健內部數據治理。
德勤中國風險諮詢合夥人 林普毅
德勤中國風險諮詢經理 李嵐羲