作者:张楠、田春桃
《中华人民共和国数据安全法》(以下简称《数据安全法》或“本法”)于2021年6月10日发布,并于2021年9月1日生效。
《数据安全法》所称的数据,是指任何以电子或者其他方式对信息的记录。开展数据活动处理的组织或个人要在数据的收集、存储、使用、加工、传输、提供、公开等过程中采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。本文在《数据安全法》生效之际,就相关主体在开展数据处理活动过程中维护数据安全应当注意的义务加以明晰。
一、数据处理活动中的法律义务
(一)有关主管部门发现风险
第四十四条:有关主管部门在履行数据安全监管职责中,发现数据处理存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改、消除隐患。
从本条规定来看,有关主管部门在发现数据处理存在较大安全风险时,可以对开展数据处理活动的组织、个人进行约谈,并要求其进行整改。
1、有关主管部门
首先需要明确的是“有关主管部门”,对《数据安全法》通篇检索,我们发现本法中12次提到“有关主管部门”这一词。本法提出以中央国家安全领导机构统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录、加强对重要数据的保护,加强数据安全风险信息的获取、分析、研判、预警工作。
角色 | 职责 |
各地区、各部门 | 对本地区、本部门工作中收集和产生的数据及数据安全负责 |
各行业主管部门 | 承担本行业、本领域数据安全监管职责 |
公安机关、国家安全机关 | 在各自职责范围内承担数据安全监管职责 |
国家网信部门 | 负责统筹网络数据安全和相关监管工作 |
本法第十二条同样规定了任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。将来也许会出现相关的民间组织对数据的处理予以监督,参照美国电子隐私信息中心(EPIC),其主要活动包括审查政府和私营部门的政策及实践,以确定对个人权利的潜在影响。
2、数据处理存在较大安全风险
如何界定数据处理存在较大安全风险?本法中并没有明确的规定,但是依据《数据安全管理办法(征求意见稿)》(2019.5.28)第三十三条规定,“网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要责任人,督促整改”。我们认为根据本法规定,开展数据处理活动的组织、个人应当履行数据安全保护义务,有关部门认定有关组织、个人未按照法律规定履行该义务的,可能会被认定为“数据处理存在较大安全风险”。
(二)开展数据处理活动的数据安全保护义务
义务 | 法律责任 |
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 | 第四十四条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
|
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 | |
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 |
1、对于开展数据活动的组织、个人来说,在开展数据处理活动中需要履行以下义务来保障数据安全:
(1)建立健全全流程数据安全管理制度,包括对数据的收集、存储、使用、加工、传输、提供、公开等全流程制定规范制度,加强各个环节的管理措施,从管理上有效保护数据,使数据的风险安全可控;
(2)组织开展数据安全教育培训;
(3)采取相应的技术措施和其他必要措施,包括对数据实行分类分级保护,利用信息网络开展数据处理活动的还应当采取网络安全等级保护的技术措施。
除了上述措施之外,开展数据处理活动应当加强风险监测,及时发现数据安全缺陷、漏洞等风险并采取补救措施;发生数据安全事件时,需要(1)立即采取处置措施、(2)按照规定及时告知用户、(3)向有关主管部门报告。
2、对于重要数据,《数据安全管理办法(征求意见稿)》的定义是“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息、大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。《个人信息和重要数据处境安全评估办法(征求意见稿)》(2017.4.11)中明确重要数据是指“与国家安全、经济发展以及社会公共利益密切相关的数据”。《汽车数据安全管理若干规定(施行)》(2021.8.20)也罗列了汽车数据中的重要数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
重要数据处理者首先应当明确数据安全负责人和管理机构,其次应当对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
二、从事数据交易中介服务的机构的数据安全保护义务
1.《数据安全法》的规定
义务 | 法律责任 |
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 | 第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 |
《数据安全法》第十九条明确国家要建立健全数据交易管理制度,规范数据交易行为,培养数据交易市场;《中共中央、国务院关于构建更加完善的要素市场化配置体制的意见》第六条指出要“加快培育数据要素市场”,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。各地政府也出台政策积极推动大数据交易机制,目前我国已成立多家数据交易平台,包括政府类平台和商业类平台。本法对从事数据交易中介服务的机构(以下简称“数据交易机构”)规定了以下义务:(1)要求数据提供方说明数据来源;(2)审核交易双方的身份;(3)留存审核、交易记录。
2、对数据交易机构的义务思考
实际上国内外都出现过数据交易违规事件,包括在进行数据交易和披露时没有对消费者尽到应有的通知义务或者没有对潜在客户通过合理程序进行筛选导致将消费者的敏感个人信息转交给明显带有危险信号的客户,我国也发生过数据交易机构泄露大量的隐私性极高的个人数据信息的罗生门事件。
我们认为数据交易机构在处理数据时应该注意的义务远不止《数据安全法》规定的内容,以个人信息为例,不论是《网络安全法》还是即将于2021年11月1日正式施行的《个人信息保护法》,抑或是其他相关规范都明确了“告知+同意”原则。数据交易机构在从事个人数据交易时可能面临两个问题:
(1)数据交易机构是否会对数据负有存储义务?
数据交易机构的数据大致来源于以下渠道:一、政府公开数据;二、数据提供者发布数据,包括企业、科研机构及个人;三、互联网采集、抓取的数据;四、基于业务范围内平台沉淀、产生的数据。部分数据交易机构基于加快交易、避免跳单,往往将交易数据存储在自身服务器中,这意味着数据交易机构的存储服务,也要遵从法律法规的规定采用数据分类、备份、加密等措施加强数据的保护。
(2)在个人数据的交易过程中是否需要“告知+同意”?
以上海数据交易中心为例:
我们的理解是在个人数据的采集、共享、交易、转移等动作前应当明确告知用户,并经用户同意或取得其他合法授权。涉及特定个人权益的数据应当禁止进行制作、复制、发布和传播,包括未经个人授权的可直接识别到特定个人的身份数据、敏感数据和财产数据。应当确保在进行共享和流通的过程中对个人数据已经去除可直接识别个人身份的标识,禁止在任何情况下擅自公开或向第三人提供带有识别特定个人身份的个人数据。当然,即使是脱敏信息,也应当保障个人在在数据流通中享有的选择、获取、更正、退出、删除等权利。
三、数据出境的数据安全保护义务
义务 | 法律责任 |
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
| 第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 |
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
| 第四十八条第二款 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 |
1、按照数据类型划分的数据出境
《数据安全法》中对数据出境的问题按照数据类型划分为两种情况:
(1)关键信息基础设施运营者在境内收集和产生的重要数据的出境按照《网络安全法》的规定适用,即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
(2)非关键信息基础设施的数据处理者在境内运营中收集和产生的重要数据的出境,由国家网信部会同国务院有关部门制定。
因此,关键信息基础设施相关的个人信息和重要数据一般原则是要在境内储存的;关键信息基础设施的数据确需向境外提供的或者其他数据处理者收集产生的重要数据需要向出境的,由国家网信部会同国务院有关部门制定。目前尚在征求意见稿阶段《个人信息出境安全评估办法(征求意见稿)》(2019.6.13)和《个人信息和重要数据处境安全评估办法(征求意见稿)》(2017.4.11)对个人信息和重要数据的出境制定了具体的评估办法,但是均未正式发布实施,目前没有明确的具体细则,也无法预知数据出境带来的风险,我们建议企业当前仍应采取谨慎保守的态度。
2、司法执法活动涉及的数据出境
(1)中华人民共和国主管机关处理外国司法或者执法机构提供数据的请求,应当根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠的原则处理。
(2)境内的组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必须要经过中华人民共和国主管机关的批准。
四、其他数据安全保护义务
第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定罚。
网络爬虫,伊始就背负着爬取网络信息的诞生使命。大数据时代的发展,通过网络爬虫从其他数据来源处获取数据,并进一步进行数据挖掘、分析、利用等操作成为许多企业弥补自身数据不足的有效方式,比如企查查、天眼查等企业信息查询平台就是利用爬虫在海量的互联网信息中抓取企业的基本信息、涉诉信息、风险信息等,并向用户提供针对特定企业的信息查询服务。行为人需要对利用爬虫造成的法律后果承担不同的责任:
1、奇虎vs百度Robots协议不正当竞争案
在奇虎vs百度Robots协议不正当竞争案中,一审法院认为,robots协议的初衷是为了提示搜索引擎的网络机器人更有效的抓取对网络用户有用的信息,从而更好的促进信息共享。robots协议作为一种互联网行业惯例,一方面要求搜索引擎的网络机器人遵守受访网站的robots协议,另一方面也要求受访网站设置的robots协议本身应当是合理的,不应违背“促进信息共享”的初衷。因此,以设置robots协议的方式限制通用搜索引擎的抓取应当具有合理、正当的理由,以下理由属于合理、正当的理由:1.出于保护受访网站的内部信息或敏感信息的需要。由于这些信息属于隐私信息,且对于网络用户而言没有使用价值,故不应被抓取。2.出于维护受访网站正常运行的需要。如果抓取会导致受访网站无法正常运行,则有必要对其进行限制。3.出于保护社会公共利益的需要。如果抓取会损害社会公共利益,则理应对其加以限制。百度网讯公司、百度在线公司限制360搜索引擎抓取缺乏合理、正当的理由。百度公司还主张其设置robots协议是针对奇虎公司的侵权行为而采取的自力救济措施,对此,如果网站所有者认为搜索引擎的抓取侵犯了其某项具体的民事权利,应当通过相应的法律途径寻求救济,而不应以限制互联网信息流动的方式进行所谓的自力救济。
二审法院认为,本案争议的核心并不在于robots协议本身的效力,而在于百度网讯公司、百度在线公司对robots协议的涉案使用行为是否构成《反不正当竞争法》第二条规定的不正当竞争行为。百度在线公司、百度网讯公司在缺乏合理、正当理由的情况下,以对网络搜索引擎经营主体区别对待的方式,限制奇虎公司的360搜索引擎抓取其相关网站网页内容,影响该通用搜索引擎的正常运行,损害了奇虎公司的合法权益和相关消费者的利益,妨碍了正常的互联网竞争秩序,违反公平竞争原则,且违反诚实信用原则和公认的商业道德而具有不正当性,不制止不足以维护公平竞争的秩序,故构成《反不正当竞争法》第二条规定所指的不正当竞争行为。
2、全国首例“爬虫”技术侵入计算机系统犯罪案
那么在设置了反爬机制的情况下,如何认定爬虫的行为?合法使用爬虫技术能够大大提高数据收集的效力,促进互联网经济的发展,但恶意网络爬虫攻击则可能带来诸多危害,对于被爬取的网站而言,恶意的网络爬虫攻击可能导致网站信息系统受损,甚至出现网站无法正常访问等。同时,恶意爬虫掠夺了被爬取网站运营者对于网站内容的控制。
在全国首例“爬虫”技术侵入计算机系统犯罪案中,被告破解了北京字节跳动网络技术有限公司(以下称“字节跳动”)的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,“tt_spider”文件在数据抓取的过程中使用伪造的device_id绕过服务器的身份校验,使用UA及IP绕过服务器的访问频率限制,造成被害单位字节跳动损失技术服务费人民币2万元。法院认为被告单位上海晟品网络科技有限公司违反国家规定,采用技术手段获取计算机信息系统中存储的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。被告人张某某、宋某、候某某作为直接负责的主管人员,被告人郭某作为其他直接责任人员,应以惩处。本案中,行为人通过爬虫技术,绕开网站设置的身份验证、访问频率限制等防爬取措施,接入被爬网站的计算机信息系统,抓取被爬网站服务器中存储的非公开数据,可能会构成非法获取计算机信息系统数据罪。
使用爬虫技术侵入网站获取并非网站公开的信息或授权的信息、或者对该等网站的正常运行造成不利影响,可能构成非法侵入计算机信息系统罪。其他还有可能构成提供侵入、非法控制计算机信息系统的程序、工具罪;侵犯公民个人信息罪等罪名。
除了上述义务之外,《数据安全法》还要求有关组织、个人在公安机关、国家安全机关出于维护国家安全或侦察犯罪的需要,按照国家有关规定、经过严格的批准手续、依法进行的调取数据予以配合。
五、违反数据安全义务的法律责任
1、对于开展数据处理活动的组织,可以采取包括以下处罚措施:
(1)对直接负责的主管人员和其他直接责任人员处以罚款,幅度为1-10万元、5-20万元、5-50万元、10-100万元;
(2)对开展处理活动的组织,可能采取责令改正、给予警告,责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照以及处以罚款,罚款幅度为5-50万元、50-200万元、200-1000万元;
(3)构成犯罪的,依法追究刑事责任。
2、对数据交易机构,可以采取包括以下处罚措施:
(1)对直接负责的主管人员和其他直接责任人员处以罚款,幅度为1-10万元;
(2)对数据交易机构,采取责令改正、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等方式;
(3)有违法所得的,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足10万元的,处10万元以上100万元以下罚款。
3、其他组织或个人违反数据安全保护义务的,可以会承担民事责任、给予治安管理处罚甚至追究刑事责任。
六、对企业的数据合规建议
现如今,数据对于实现风险控制、风险定价、精准营销、产品开发和战略分析等发挥着越来越重要的作用。数据作为国家基础性战略资源,没有数据安全就没有国家安全。《数据安全法》出台与实施对于企业来说,一方面解决了企业在数据方面的纠纷无法可依的窘境,另一方面也对企业运营数据业务提出了新的门槛。本文中已经对开展数据处理活动的组织、个人的数据安全保护义务一一罗列,对于拥有、处理大数据的企业我们认为应当注意以下几点:
1、企业应当采取合法、正当的方式收集数据,在法律、行政法规规定的目的和范围内收集、使用数据。
2、对数据实行分类分级保护,并且对列入重要数据目录的数据实施重点保护;结合数据处理的方式,开展网络安全等级保护、关键信息基础设施等级保护以及其他技术保护措施。
3、建立数据安全管理制度,建立大数据安全管理组织架构,重要数据明确数据安全管理负责人和管理机构;建立数据安全管理责任和评价考核制度;制定网络安全事件应急预案,及时处置安全事件。
4、组织开展数据安全教育培训,普及宣传数据安全知识,提高企业员工对数据安全重要性的认识。比如在入职培训中开展数据安全教育、定期开展数据安全教育培训大会、定期评估员工使用计算机的行为。
5、加强风险监测,对数据安全缺陷、漏洞等风险迅速采取补救措施,及时处置已数据安全事件并且履行告知义务和报告义务。对重要数据需要定期开展风险评估并履行风险评估报告的报送义务。