《数据安全法》作为互联网领域最重要的三部基础法律之一,其立法进程备受关注。日前,中国人大网公布了《中华人民共和国数据安全法(草案二次审议稿)》(以下简称《数安法(草案二审稿)》)。“新法与《网络安全法》更好地衔接,完善了数据保护措施的要求。”上海市捷华律师事务所律师张佳宇在接受《中国贸易报》记者采访时表示,一方面,新法从法律层面对监管职能部门提出了要求,确立了数据分类分级保护的法律制度;另一方面,精确界定适用范围和目的,为企业落实数据保护义务,建立数据安全管理制度提出明确指引。
首先,在数据安全负责人和管理机构安排方面,《数安法(草案二审稿)》将“设立”调整为了“明确”。不再强调必须设置数据安全负责人和专门的数据安全管理机构,而只需明确数据安全负责人是谁以及哪个部门负责管理数据安全。
“《网络安全法》第二十一条要求网络运营者‘确定网络安全负责人’,并在第三十四条进一步要求关键信息基础设施的运营者‘设置专门安全管理机构和安全管理负责人’。而《数安法(草案二审稿)》并未进一步提出设置数据安全负责人和专门管理机构的要求。”张佳宇表示,这一修改有利于降低企业的合规成本,比如可以由网络安全负责人同时担任数据安全负责人,无需另行专门聘请数据安全负责人。
其次,《数安法(草案二审稿)》新增规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”,实质性地引入了中国版“标准合同条款”的概念,并且要求企业与境外接收方签订该标准合同后,方可依赖合同机制进行个人信息的跨境传输,加强了对重要数据出境的管理。
同时,还增设了对擅自向境外执法机构提供数据行为的处罚。《数安法(草案二审稿)》在一审稿关于“境外司法和执法机构要求调取境内数据的,未经主管机关批准,不得提供”的基础上,增加对应的处罚规定“未经主管机关批准向境外的司法或者执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。”
“该处罚设定依然沿用了《网络安全法》双罚制的原则,此举既能避免数据主体擅自对境外司法、执法机构提供数据情况的发生,也为数据主体向境外司法、执法机构调取数据提供了拒绝的法定理由。尤其是跨国公司,迫于境外总部或境外分支机构所在地司法、执法机构的压力,不得不提供相关数据。但该法生效后,企业即可有正当合法的理由予以拒绝。”汇业律师事务所合伙人李天航表示。
最后,《数安法(草案二审稿)》针对“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设置了额外的监管义务。要求大型平台企业“成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督”。
在2019年FTC与Facebook达成和解的案件中,FTC就向Facebook提出了设置独立隐私委员会的要求,并针对独立隐私委员会的人员构成、会议机制、权力与职责等进行了具体的规定。“立法部门希望通过任命外部成员组成的独立机构,更大程度地推动多方数据合规治理,并通过外部独立第三方的介入,增强对大型平台企业的合规制约,强化对大型平台企业的监督与管控。”张佳宇表示,大型平台企业需要警惕定期或不定期的第三方巡检和审计行为,做好自身的合规制约管理工作。