前 言
数据以其规模庞大、流动性强、价值日益凸显等特有优势,在给企业带来更多发展机遇的同时,也给企业带来了安全、合规方面的新挑战。随着数据相关法律法规的出台、数据安全、网络安全专项监管行动的开展以及企业数据交易业务驱动,企业数据安全管理制度建设迫在眉睫。
本系列文章结合律师团队的服务经验,为企业建设数据安全管理制度提供一定的参考和实务建议。本文将重点论述企业数据安全管理制度建设的必要性,我们将在后续文章进一步具体阐释企业应该如何构建数据安全管理制度,助力有关企业一方面更好地履行数据安全保护、管理相关义务、防范企业数据合规风险,另一方面提高对数据资源的管理能力、激发数据资产的潜在价值。
一、数据相关法律法规与监管行动
(一)国家层面
2016年,我国发布了《中华人民共和国网络安全法》。这是我国在网络安全领域的第一部法律,为维护网络空间主权和国家安全、社会公共利益等提供了有效的保障。并且,国家互联网信息办公室(“网信办”)于2022年9月发布了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,《网络安全法》将迎来自2017年开始实施以来的首次修订。修订稿相对原法更加完善了“法律责任”部分,在网络运行安全和网络信息安全方面更能发挥其对于数据和个人信息的保护作用。
2021年6月,我国发布了《中华人民共和国数据安全法》。此法对管辖范围、域外效力、制度建设等问题进行了明确,也构建了数据资源的监管框架。同年8月,我国发布了《中华人民共和国个人信息保护法》,为个人信息保护提供了法律保障,同时,《个人信息保护法》与《数据安全法》和《网络安全法》共同构建起了中国数据监管的法律体系。
在“三部大法”之外,2021年7月发布的《关键信息基础设施安全保护条例》在推进关键信息基础设施保障、完善我国网络安全体系等方面发挥了重要作用,而2021年11月发布的《网络数据安全管理条例(征求意见稿)》则细化了“三部大法”中的原则性规范,在法律层级和具体内容方面完善了数据安全保护、管理相关的制度体系,构建了“三法两条例”的数据安全保护、管理相关基础法律框架,同时也为数据管理和保护工作的进一步推动释放了明确的信号。
(二)地方层面
除了国家层面的立法之外,地方层面也推动了不少立法工作。例如,2018年,贵阳市发布了《贵阳市大数据安全管理条例》,强化了数据安全管理责任制;而2021年7月,深圳市发布《深圳经济特区数据条例》对于数据安全的监管和义务做了详细规定;同年11月,上海市发布《上海市数据条例》,后续上海还将制定数据分级分类保护、重要数据目录管理、数据安全管理等配套措施。诸多地方立法也完善了数据安全保护、管理相关的法律体系。目前在地方层面的主要数据立法见下表(不完全统计):
(三)其他方面
而在部分行业领域中,例如金融、医疗、电信等行业,也出现了不少与数据安全保护、管理相关相关的行业规则。
在监管方面,由监管动态可以看出政府对于数据安全保护、管理相关的重视程度。工信部曾发布关于开展互联网、APP等多轮专项整治行动,而上海市通信管理局也发布过关于电信和互联网行业数据安全专项行动的通知。专项整治等监管活动也让企业对于数据安全管理制度的建立有了更加迫切的需求。
二、数据交易业务驱动数据安全管理制度建设
新一轮科技革命与产业变革的发展,推动着经济发展形式的演变,同时开启了数字经济的发展。在数字经济的蓬勃发展中,数据所承载的经济价值和商业价值也日益得到重视,而信息资源也逐渐成为当今重要的生产要素之一。中国信息通信研究院最新出版的《数据要素白皮书(2023年)》总结了过去一年中涌现的新模式、新业态、新热点,并指出我国数据要素发展处于活跃探索期,突破方向将逐渐显现。企业业务层面产生的新需求也为企业建设数据安全管理制度提出了更高的要求。
(一)数据交易制度的产生与发展
2020年,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》明确指出数据成为几大生产要素之一,也提出了加快培育数据要素市场的要求,而紧随其后的《数据安全法》则明确规定国家要建立数据交易制度。除此之外,在地方层面,如在《海南省大数据开发应用条例》中,提出要在省内建立大数据交易平台;在《深圳经济特区数据条例》中,也明确指出“推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易”。由此可见,数据交易制度的建立和发展是大势所趋,也有较为坚实的政策和规范基础。
各大数据交易平台也出台了一些更加具体的要求:例如,贵阳大数据交易所在全国率先探索数据流通交易价值和交易模式,对数据供应商的数据来源及质量都进行了严格的监控监管。在重要数据资产方面,数据供应商还需要提供数据生产企业的授权备书。上海数据交易中心则开设了两大应用板块——营销应用与征信应用,形成了一套较为完善的数据交易全流程制度。
多项与数据产品交易相关的国家标准也在近年出台,如《信息技术 数据交易服务平台 交易数据描述》(GB/T 36343-2018)、《信息技术 数据交易服务平台 通用功能要求》(GB/T 37728-2019)等。2021年,中国市场监督管理总局、中国标准化管理委员会发布的GB/T 40685-2021《信息技术服务数据资产管理要求》,将数据资产定义为:数据资产是合法拥有或控制的,能进行计量的,为组织带来经济和社会价值的数据资源。2022年12月19日,中共中央国务院正式发布《关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)。“数据二十条”确立了数据基础制度的“四梁八柱”,即:数据产权制度、数据要素流动和交易制度、数据要素的收益分配制度和治理制度。
图据:国家发展和改革委员会
“数据二十条”在创新数据产权框架、推动公共数据的开放共享、保障个人信息的权利与合理利用以及驱动企业数据供给流通方面起到了重要作用。这些规定有利于解决在构建与数字生产力发展相适应的生产关系的进程中面临的现实问题,也是数据制度的构建走向具体落实的信号。众多法律法规以及政策的颁布,共同推进了数据交易制度的产生和发展。即使数据交易制度仍然面临着诸多问题:数据确权较为困难、数据定价困难、我国数据基础理论和制度规范仍不完善等,但数据已经快速融入生产、分配、流通、消费和社会管理等各环节,并且深刻改变着生产、生活和社会治理方式,由此,可以预见未来数年中数据交易行业的蓬勃发展。
(二)数据交易业务产生的新需求
随着数据交易制度的产生和发展,数据交易业务也诞生了很多法律服务层面的新需求。近年来,全国数据交易所都在探索数据交易的新形式、新业态。今年4月,全国首笔个人数据合规流转交易在贵阳大数据交易所场内完成。此外,近期,由贵阳大数据交易所牵头,南方电网贵州电网公司及国内产融大数据服务商数库科技达成深度合作。此次案例为全国首个通过数据交易场所实现“产业+电力”数据赋能金融科技的合作。
2021年11月,上海数据交易所揭牌成立仪式暨2021上海全球数商大会在沪举行,《上海市数据条例》同日颁布。上海数据交易所设立当日,创新发布了数商体系、数据交易配套制度、全数字化数据交易系统、数据产品登记凭证、数据产品说明书五项机制,率先针对数据交易全过程提供一系列制度规范,让数据流通交易有规可循;也为数据要素市场的发展和破解“五大难题”(确权难、定价难、互信难、入场难、监管难)提供了新的答案。
而深圳数据交易所和中国信息通信研究院携手四川长虹电子控股集团、深圳数鑫科技有限公司在今年3月,达成国内首笔基于数据空间技术的场内数据业务合作,这标志着可信数据空间技术正式实现国产商业化落地。
目前,全国各大数据交易所均在积极探索数据交易中涌现的新模式、新业态、新热点,共同尝试多元化数据交易商业模式,进一步推动数字经济的发展。
综合来看,数据交易的合规也有了大致的方向——至少应该包括交易主体的合规、数据产品的合规、以及交易过程的合规三个方面。
1.交易主体的合规
在交易主体方面,数据提供方和数据接受方都应做好自身和对方的合规与尽职调查工作。例如,《数据安全法》第三十四条规定:“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”,这表明数据处理者应具备特定的资质。若数据提供方被认定为关键信息基础设施运营者,那么国家在个人信息与重要数据的出境等方面对其有着更加严格的要求,在数据交易中,也需要承担更多的合规义务。
2.数据产品的合规
在数据产品的合规方面,一般会涉及到三点:数据来源的合法性、数据产品本身的可交易性和数据产品的可流通性。《数据安全法》第三十二条明确指出:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”《上海市数据条例》进一步规定:“自然人、法人和非法人组织对其合法取得的数据,可以依法使用、加工。法律、行政法规另有规定或者当事人另有约定的除外。”因此,确保数据来源的合法、正当是数据交易中的第一步。数据来源是否合法合规,可以考虑数据的采集方式(公开收集、自行生产或者购买等)、数据是否经过权利人授权或有关部门批准、是否涉及个人隐私、商业秘密或涉及国家安全、公共利益等方面综合判断。
数据产品的可交易性也是要点之一。如《上海市数据条例》规定,“有下列情形之一的,不得交易:危害国家安全、公共利益,侵害个人隐私的;未经合法权利人授权同意的;法律、法规规定禁止交易的其他情形。”除此之外,从持有数据的主体方面来说,一般而言,公共组织因其自身的公共属性,其持有的数据具有不可交易性(不过,国内目前已开始探索公共数据授权运营的模式)。
除此之外,在数据产品的可流通性方面,需要考察该数据产品在数据流通中是否有特殊限制。例如,在数据跨境层面,《数据出境安全评估办法》从数据类型、数据处理者身份、数据数量级等方面对数据跨境流动提出了更详细的监管要求。
3.交易过程的合规
上海数据交易所采取的是交易、交付分离的模式,即允许一定程度的“场外交付”。数据交易双方可以约定不同的交付方式,因此,交易流程的合规以及配套交易文件的设计就显得更为重要。
在交易文件的设计中,数据产品的交付条款、数据安全条款与陈述与保证条款具有特殊的重要性。现今,数据交易主要有三种交付方式:数据包交付模式、API交付模式和数据托管模式。较之传统的商品交易,数据交易对交付的要求更为严格。在进行交易之前,交易主体应考察对方的数据安全保障能力,以判断其网络环境、存储环境等是否符合《网络安全法》《数据安全法》以及《个人信息保护法》等法律的规定。除此之外,在交付时也需考虑数据产品本身的安全等级,对于安全等级较高的数据,数据提供方在交付时可以考虑采用“沙盒”技术等技术手段。而在数据的安全条款方面,由于数据本身的易复制性和高流通性,约定数据安全措施就显得分外重要。此项条款可以考虑约定防范数据泄露、窃取的相关措施,以及对于处理相关安全事件的应急机制。此外,陈述与保证条款则有助于降低双方在数据的后续使用的过程中的风险。
总 结
数据要素市场方兴未艾,数据基础制度建设事关国家发展和安全大局,数据交易制度的发展为新兴业务提供了一定的制度和政策环境。诸多数据相关法律法规以及政策的颁布为企业带来了数据合规方面的新要求,企业数据交易业务本身的发展也为企业建设数据安全管理制度提供了驱动力。数据产业及其相关技术的发展必将迎来爆发期,对于企业来说,数据安全管理制度建设也需要尽快提上日程。