一、中国数据合规法规框架
2016年之前,我国没有数据保护的专门性立法,有关数据保护的内容散见于不同的法律法规之中,当时的数据合规工作,除参考部分国内行政法规外,更多参考的是国际立法要求。近年来陆续颁布的《网络安全法》《数据安全法》《个人信息保护法》构成了我国网络安全和数据保护领域立法的“三驾马车”,是合规监管所依据的基础性法律。
(一)《网络安全法》
2016年后,我国推出第一部有关数据方面的立法——《网络安全法》。《网络安全法》的出台,填补了我国在网络安全方面的法律空白,为网络产品和服务提供者、网络运营者规定了安全义务,制定了个人信息保护规则,建立了关键信息基础设施安全保护制度,确立了关键信息基础设施重要数据跨境传输的规则。
《网络安全法》核心要点如下:
2021年9月1日,《数据安全法》正式实施。《数据安全法》是我国数据安全领域的基础性、框架性法律,以总体国家安全观为指导,坚持统筹发展与安全的原则,明确了一系列数据安全制度,规定了数据处理主体的数据安全义务,并就政务数据安全与开放提出了相关要求,此外还明确了主管部门的职责及违规的法律责任。
2021年11月1日正式实施的《个人信息保护法》全面规定了个人信息的保护,包括个人信息范围的界定、个人信息处理基本原则及具体规则、个人信息跨境流动规则、个人信息主体权利及保护、处理者的安全义务等,规制个人信息全生命周期的保护和处理活动,即企业应在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期落实合规义务。《个人信息保护法》的颁布实施,标志着我国有关网络安全及数据安全治理的整体法律框架的初步形成。《个人信息保护法》与欧盟《通用数据保护条例》(General Data Protection Regulation,下称“GDPR”)对个人信息保护水准基本相当,而处罚措施种类更多,为企业合规工作带来更大挑战。
随着《网络安全法》《数据安全法》及《个人信息保护法》的陆续颁布实施,中国数据合规法规体系已基本形成以前述三部法律为核心,其他基本法律、行政法规、部门规章及其他规范性文件、国家/行业/地方/团体标准作为重要法律基础或实施规范、技术标准的完整的法律制度体系。基本框架如下:
1、基本法律层面
上述三部法律处于核心地位,《国家安全法》《民法典》及《刑法》等作为重要的基础性法律,《保守国家秘密法》《密码法》《电子签名法》《反不正当竞争法》《消费者权益保护法》《妇女儿童权益保障法》及《未成年人保护法》等在各个领域和层面进一步完善数据保护与合规监管法律体系。
2、实施规范层面
国务院及各部委出台的有关互联网、电信等网络、计算机信息系统安全保护、数据分类分级、数据管理、数据交易、个人信息保护、个人信息与重要数据出境等领域的行政法规、部门规章及其他规范性文件为数据保护与合规基本法律的落地实施起到了重要作用。
3、技术标准层面
国家、行业、地方及各团体标准的实施为国家数据合规监管法律法规的制定与实施提供了重要的技术依据,也为政府部门实施数据合规监管提供了重要的技术参考,并为企业更好理解和遵守法律法规提供了重要的操作指引。
以三驾马车为基础的数据合规法律体系密集出台,日臻完善,合规监管趋于严格,企业应充分重视网络安全与数据合规,制定企业数据合规方案,构建覆盖数据全生命周期,涵盖重点环节、重点领域、重点管控的数据合规管理体系;设置数据合规管理体系,根据企业规模和行业性质设置数据合规部门或数据安全管理员,在企业内部重点负责数据安全与个人信息保护相关的制度落地、合规风险识别,与公司法务、合规、审计、安全、技术等部门分工协作,为企业树立数据合规的防火墙。
二、国家和地方监管机构
根据《数据安全法》第六条规定,中国数据监管部门主要包括三大类机构:
此外,数据合规领域的监管执法呈现“九龙治水”局面,统筹管理部门主要有网信部门、工信部门、公安部门和市场监督管理部门;专项监管机构,如App专项治理工作组、网络安全审查办公室;行业主管部门,如中国人民银行、银保监会、证监会、教育部、民政部、交通部等;技术工作组织,如国家计算机病毒应急处理中心、信息安全标准化技术委员会、网络安全审查技术与认证中心等;还有自律组织,如消费者协会、中国互联网协会等。2021年,前述各级监管机构针对数据合规领域开展了相应的执法活动,如网络安全审查办公室,对“滴滴出行”实施网络安全审查;网信办持续开展App违法违规收集使用个人信息情况的通报和处置,启动“清朗·移动应用程序 PUSH 弹窗突出问题专项整治”等。
三、中国数据保护立法、监管趋势
1. 数据安全越来越被重视。
2. 立法快速推出,多项配套细则处于起草阶段。在短短几年内先后通过关于数据安全的三项立法,体现国家对于数据安全法律框架的重视,但高速立法进程也使得将有大量的与之配套的规则、细则不断出台。
3. 多项国内规则均出于反制,尤其是针对“长臂管辖”。这要求合规工作者格外重视某些关乎国家数据主权的法律条款。
4. 执法活跃且严厉,多头监管,技术手段丰富。监管部门可能以有影响力的执法案件为标杆,在全社会范围凝聚重视数据安全的共识。
5. 法律赋权用户,司法案例和舆情事件增长。我国关于数据合规方面的司法案例以及相关舆情事件都呈现较高增长势头。这也提醒数据合规工作者应重点关注用户维权工作。
6. 在数据保护问题上,企业需自证清白。企业一切数据合规工作都应留痕,如此方可确保在面对相关调查或者投诉案件时能够及时提交证据,用以证明已履行相关合规义务。
特别声明
本文及其内容仅为交流目的,不代表乾成律师事务所或其律师出具的法律意见、建议或决策依据。本文任何文字、图片、音视频等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权,并于转载时明确注明来源及作者信息。
往期推荐
孙 希
乾成律师事务所 律师
公司法律事务部
孙希律师,在境内外上市、再融资、基金设立及投融资、跨境投融资、合规、基金、税务等法律顾问服务等领域拥有丰富的法律服务经验,持有注册会计师合格证书,能够从财税及融资角度把控项目的整体投资风险,实现风险管控,税务服务的合法及合规的前提下,实现项目整体收益的最大化,对于项目实现法律、财税、融资等多角度的把控。
税法服务|境内外上市|再融资|基金设立及投融资
扫码关注律师
