2021年网络安全与数据合规 新规评论文章集锦-环球律师事务所-2022.1.24.pdf

2021年网络安全与数据合规新规评论文章集锦环球律师事务所数据合规团队编制2022年1月24日1目录1.数据安全法正式出台，企业合规红线，你了解吗？22.关键信息基础设施安全保护条例要点解读243.“隐私”与“个人信息”别傻傻分不清384.个人信息保护工作机构及负责人设置要求455.个人信息保护法八步走，落地路径与实务解读586.重要数据识别指南新版草案出台，兼议十二项企业合规义务767.征信信息已成为保护重点暨同步解读征信业务管理办法878.互联网信息服务管理办法大修，信息安全监管释放趋严信号1009.网络交易监督管理办法压实平台主体责任，企业未来该如何应对？10410.境外上市中的网络安全审查10911.面对网络安全审查，中概股企业需做何准备？12212.企业数据出境评估指引暨数据出境安全评估办法（征求意见稿）解读 13413.苹果将实施史上最严厉隐私保护要求，定向广告的严冬真的来了？14714.算法相关新型垄断模式的法律风险16115.从汽车数据安全管理若干规定探索汽车数据的合规与发展169附件一：互联网信息服务管理办法合规义务清单179附件二：网络交易监督管理办法合规义务清单194附件三：App收集使用个人信息企业自评估核对清单2021数据安全法正式出台，企业合规红线，你了解吗？环球律师事务所孟洁|张淑怡|徐晨2【前言】随着信息技术和生产生活紧密融合，各行各业的数据迅猛增长，并汇聚融合，对经济、社会和人民生活都产生了革命性的影响。数据安全已成为事关国家安全与社会经济发展的重要课题。基于此，2021年6月10日，第十三届全国人大常委会第二十九次会议审议并通过了中华人民共和国数据安全法（以下简称“数据安全法”），并于2021年9月1日起施行。数据安全法共七章五十五条，与中华人民共和国网络安全法（以下简称“网络安全法”）、数据安全管理办法（征求意见稿）（以下简称“数据安全管理办法”）相比，有较大的创新和突破，从国家法律的层面，对于国家与数据活动实施者两个角色，规定了一系列提升数据安全治理和数据开发利用水平的原则、制度与措施，落实主体责任；为适应电子政务发展的需要，建立数据流通利用与安全管理的要求。正如新华社所评述，“制定数据安全法是维护国家安全的必然要求。数据是国家基础性战略资源，没有数据安全就没有国家安全。”下文将首先介绍数据安全法相较于二审稿的修改之处与亮点，其后总结了数据安全法的合规要点，以期帮助企业了解立法精神，梳理合规义务，厘清基本红线。数据安全法正式出台，企业合规红线，你了解吗？3一、数据安全法正式稿相较于 二审稿的修改亮点（一）建立工作协调机制，完善数据安全领域治理体系数据安全法第五、六条明确了数据安全领域内治理体系的顶层设计，即中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究和制定重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制；各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责；并且，由公安机关和国家安全机关承担其范围内的监管职责；最后由国家网信部门统筹协调网络数据安全的监督管理工作，这与国家网信部门的一贯职责与功能是配套和衔接的。从以上表述可以看出，相较于数据安全管理办法和网络安全法所涉及的监管部门权属划分，数据安全法既有保留也有突破。在网络监管方面，数据安全法沿袭了“网信部门+公安部门+国务院其他下属机构联动”的监管体系，但值得注意的是，数据安全法首次将数据安全全局决策统筹工作升格至中央国家安全领导机构，与国家安全法保持一致，从侧面巩固了数据安全在国家安全体系中的重要地位，以基本法成文化的方式将数据安全工作上升至国家安全最高监管和行动决策的层级。尽管我国近年来持续加快对数据以及个人信息保护方面的立法进度，比如民法典人格权编中对个人信息保护做出了原则性规定，出台了包括网络安全法数据安全管理办法信息安全技术 个人信息安全规范等一系列法律法规、部门规章和国家标准，但仍然存在法律效力有限、规定分散、体系不完备的问题。数据安全法此次将数据安全集中、专门地反映在一部基本法中，完善了我国在数据保护领域的立法架构，也为后续配套文件的跟进提供了坚实的基础。总体来说，国家从战略和规划层面上重视数据的保护与应用，也意味着企业需要更加谨慎地处理数据，不但需从自身角度，还要从维护国家利益层面上履行数据安全保护义务、承担社会责任，不得危害国家安全与社会、公共利益。（二）明确关系国家安全、国民经济命脉等重要数据的重要性数据安全法第四条规定，维护数据安全，应当坚持总体国家安全观。这一概念是以人民安全为宗旨，以政治安全为根本，以经济安全为基础，以军事、文化、社会安全为保障，以促进国际安全为依托的全方位国家安全体系。这条规定呼应了国家安全法第二十五条所提出的，国家应建设网络与信息安全保障体系，提升网络与信息安全防护能力，维护国家网络空间主权、安全和发展利益。在各国数据博弈深化的国际背景下，主权已经不再局限于一国领土而是拓展至网络空间中的数据和设施，数据要素已经成为国家基础性和战略性资源，数据安全已经成为国家安全不可或缺的组成部分。应对数据可能带来的非传统领域的国家安全风险与挑战，切实维护和确立国家数据主权、安全和发展利益，正是当今时代赋予的新课题。数据安全法正式出台，企业合规红线，你了解吗？4数据安全法第二十一条第二款则进一步强调关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。这一点也在罚则部分有所体现，数据安全法最终稿新增的第四十五条第二款明确，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下的罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。（三）进一步完善保障政务数据的规定为保障政务数据安全，并推动政务数据开放利用，数据安全法第五章对国家机关收集、使用、运用数据的行为、能力提出了要求（第三十七条到四十三条）。国家机关为履行法定职责的需要收集、使用数据时，应当对其在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法予以保密，不得泄露或者非法向他人提供（第三十八条）。其次，第四十条对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务做出了规定，并明确受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。国家机关还应按照规定及时准确公开政务数据，制定开放目录，构建互联互通、安全可控的开放平台（第四十一、四十二条）。数据安全法虽未对政务数据进行定义，但可以根据今年6月17日浙江省发布的全国首部公共数据开放办法浙江省公共数据开放与安全管理暂行办法（下称公共数据暂行办法）对“公共数据”的界定汲取经验。公共数据指各级行政机关以及具有公共管理和服务职能的事业单位，在依法履行职责过程中获得的各类数据资源。联系实际而言，可能包含政府才有权利采集的数据，如资源、税收数据，政府在提供服务过程中所收集的公民消费和档案数据，如社会保险、水电数据，政府履行监管职责所采集的数据，如人口普查、食品药品监管等数据。政务数据的利用与开放是加快政府数字化转型，推进电子政务建设的重要步骤。在收集、使用数据时，政府必须依法定职责和法律规定，健全安全管理制度，将责任落到实处；监督可能涉及的第三方，保障政务数据安全；遵循公正、公平、便民的原则，及时、准确地公开政务数据，实施“清单式管理”，构建统一互通的政务开放平台，将政务数据赋能价值扩到最大，利用数据更好地服务经济社会发展。对于企业而言，如果在实践中遇到国家机关委托存储、加工政务数据的情形，受托方应配合国家机关完成审批程序，履行法律法规、合同约定的数据安全保护义务，采取必要的技术和组织措施保障政务数据安全，不擅自留存、使用、泄露或者向他人提供政务数据，并确保获得委托处理政务数据方的授权同意。当然，关于审批程序与企业关于处理政务数据的具体安全义务，还期待相关法规与标准后续进一步细化与支撑。数据安全法正式出台，企业合规红线，你了解吗？5（四）明确对老年人的特殊保护数据安全法相较于二审稿增加了第十五条，即明确提出支持智能化公共服务的发展，且要求应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。这并不是第一次专门针对老年人的利益需求提出特殊要求。例如，工业和信息化部在今年4月就发布互联网网站适老化通用设计规范和App适老化通用设计规范，助力老年人、残疾人等重点受益对象平等便捷地获取、使用互联网信息，充分体现了国家在发展过程中的人文关怀，保障老年用户的信息安全。（五）加大对违法行为的处罚力度数据安全法第六章规定了开展数据活动的组织、个人、数据交易中介机构、国家机关、监管工作人员等主体违反法律规定、未履行义务应承担的法律责任。去年公开的数据安全管理办法对于违反法律义务作出的是“一刀切”的罚则，即，“依违规情节，给予网络运营者公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。”本次数据安全法的规定针对不同违法行为设置不同的罚责，与网络安全法体例保持基本一致，规定了各主体违反法律规定可能承担的不同责任。比如，有关部门发现数据活动存在较大安全风险的，可以按照规定的权限和程序约谈相关组织、个人并要求采取整改措施。这一规定旨在尽可能从源头消除安全隐患，以最低成本预防安全事故的发生。数据安全法正式出台，企业合规红线，你了解吗？开展数据活动的组织、个人未履行数据安全保护义务或未采取必要措施的，可能遭到警告和罚款，直接负责的主管人员个人也可能被处以罚款；如果违法行为性质恶劣或造成严重后果，罚款金额可高达一千万元人民币，并可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照，与网络安全法第六章规定同步。然而这一数字与欧盟通用数据保护条例（以下简称“GDPR”）规定的最高两千万欧元罚款尚有一定的距离，对于掌握千万用户数据的产业龙头企业或采买亿万字段信息的大数据巨头而言，威慑力度虽然也较为有限，但至少也是一个良好示范的起步。另外，为避免非法来源数据交易的乱象，数据安全法第四十七条还规定了针对数据交易中介机构的处罚规则，即相关机构可能被没收违法所得、罚款、吊销营业执照，直接责任人也会被处以罚款，重拳出击规制数据交易行为，应引起相关机构的特别关注。数据安全法第四十八条明确了不配合公安机关、国家安全机关因维护国家安全或者侦查犯罪调取数据的处罚以及未经批准向境外司法或者执法机构提供数据的处罚。数据安全法第四十六条还明确了非法对外提供重要数据的处罚。除了对开展数据活动的组织、个人、直接负责的主管人员或直接责任人员罚款外，还可对开展数据活动的组织、个人责令“暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。6（一）以国家主权为立法出发点，兼顾数据保护与利用数据安全法第一条指出，本法的立法目的为“保障数据安全，促进数据开发利用，保护公民、组织的合法权益，维护国家主权、安全和发展利益”，从中可以提炼出“保护和利用并举”与“维护国家利益”两项主要的立法宗旨。具体来看：数据安全法第七条明确表示，“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”。可见，维护数据安全和促进数据开发利用是相辅相成的车之两轮。数据开发利用为数据安全提供了技术的支持和概念的革新，数据安全为数据开发利用提供了基础的保障和稳固的底盘。通览全文，对于数据，数据安全法并非采取久束湿薪似的保护，而是鼓励对其进行合法利用，从数据中挖掘、开发出更大的经济价值。这一点在数据安全法第五章“政务数据安全与开放”中也有突出体现。数据安全法第七条亦明确规定，国家鼓励数据的合理有效利用、保障数据的有序自由流动。可见，从国家层面对数据利用的态度，是审慎且包容的，采用监管与发展并重。既不因噎废食地完全封闭，又非不加甄别地全盘接受，通过激励相容的制度设计，力求达到二者可持续发展的平衡，最终令数据安全和数据利用协调一致。（二）适用对象：主客体范围广泛数据安全法第二、三条规定了其适用对象为“在我国境内开展的数据处理活动”。其中“数据”是指任何以电子或者其他方式对信息的记录；“数据处理”是指数据的收集、存储、使用、加工、传输、提供、公开等行为。此外，数据安全法附则部分还明确，涉及国家秘密和军事数据的活动，应分别适用保守国家秘密法和中央军事委员会另行制定的规则。另外，“开展涉及个人信息的数据活动，应当遵守有关法律、行政法规的规定”。考虑到我国个人信息保护法也已经提交到全国人大常委会进行第三次审议，数据安全法明确规定个人信息也属于数据的一种，将另由特别法律规制，这为即将出台的个人信息保护法预留了空间。由此分析，数据安全法适用对象的范围非常广泛，对于在境内实施任何数据收集、存储、使用等行为的组织和个人，不论主体身份，不论处理的数据数量、频率如何，均应遵守这一法律规定。数据安全法正式出台，企业合规红线，你了解吗？二、数据安全法重要规制与红线要求71.适用主体首先，数据安全法没有对适用主体进行限制。数据安全管理办法规定适用的主体主要是网络运营者，即网络的所有者、管理者和网络服务提供者，网络安全法的义务主体亦然。这一表述覆盖的范围可能延展到网络服务的方方面面，已然十分广泛，但数据安全法在此基础上更进一步，对适用主体从开展数据活动这一客观行为入手，而非将适用主体限定在某一个类型的主体范围内，更加扩大了适用的范围，最大限度地保障不同层次的数据安全，进而达到数据在有效保护下的合法利用目标。国际上，对数据安全进行专门立法的情况不多，以色列数据安全管理条例规定适用主体为数据库控制者（Database Controller），再细分为基础、中等、严格三种保护水平。大多数国家的做法是将数据安全作为一个章节规制在个人信息或隐私保护法案中，如加州消费者隐私保护法（以下简称“CCPA”）和GDPR对受规制的主体提出具体要求（比如，对企业/组织有一定营业机构/收入的要求）；美国各州法案中也存在保障数据安全的条款，适用对象包括收集使用个人信息的组织（例如：加州民法典）、医疗健康机构（康涅狄格州保险信息和隐私保护法案）、互联网服务提供者（明尼苏达州法典）等。数据安全法没有对适用主体做出特别的设定，实际上从客观层面能够达到对数据保护的最大化效果。数据安全法正式出台，企业合规红线，你了解吗？8数据安全法中对“数据处理”的内涵采取了列举式定义法，提出“收集、存储、使用、加工、传输、提供、公开”等一系列行为及活动。这一定义的逻辑，基本参考了民法典的定义逻辑。联系对比GDPR中数据“处理（process）”的概念以及信息安全技术 个人信息安全规范中数据全生命周期的理解，数据安全法没有明确涵盖数据“共享”、“删除”及“销毁”这几种典型的数据处理活动。其次，“加工”、“交易”等名词可能源于企业实务中的说法，但在法律层面上，对这些概念的内涵及适用情形有待后续在配套的法规、国家标准中进一步明确。如上所述，数据安全法所规定的适用范围非常广泛，除了大数据公司等视数据为“血液”进行运营的企业需要特别关注以外，一切可能处理数据的政府、组织和个人也都落在了数据安全法规制的范围之内。技术的更新与普及使人们普遍享受到大数据带来的快捷与便利，但一些组织为了获得更多的经济利益，将数据采集、加工和利用等准入门槛却越降越低。如果监管缺乏有力的法律依据，更难以实现对数据市场有效的调控和管理。因此，数据安全法的出台将所有与数据有关的活动均纳入调整范围之中，能在基本法层级系统、集中地规范数据安全和利用，为有效监管数据活动提供强有力的法律基础。同时，数据安全法亦规定了一定的域外适用性，以应对国际空间中数据成为各国在合作与抗衡上的博弈，具体请见下文分析。数据安全法正式出台，企业合规红线，你了解吗？2.适用客体“数据”与“数据处理”数据安全法对于适用客体即“数据”和“数据处理”进行了较为宽泛的定义。在之前的法律法规或国家标准文件中，如网络安全法从关键信息基础设施相关的数据、重要数据、个人信息三个类别对网络运营者进行规制；而后续亟待出台的个人信息保护法将侧重对个人信息进行保护。而数据安全法则规定，不论呈现形式（电子/其他方式）、不论收集方式（通过网络/非通过网络）、不论数据的内容（可识别身份的个人信息/与国家安全、经济发展以及社会公共利益密切相关的重要数据/其他数据），数据泛指一切对信息的记录。这一定义在我国的立法至今可属创新之举，将“数据”外延界定义为摈弃一切修饰词的客观载体，区分了“数据”与“信息”的概念，有效避免了主语与宾语同一的非有效解释。网络安全法、个人信息保护法和数据安全法适用客体的范围类型如下图：9（三）明确域外效力数据安全法第二条规定，“在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任”。这一规定体现了维护国家安全和数据主权的立法宗旨，赋予数据安全法以必要的域外适用效力。随着数据竞争的日益激烈，各国都在试图扩大数据方面的管辖权。2018年3月，美国通过澄清域外合法使用数据法（The Clarifying Lawful Overseas Use of Data Act,CLOUD Act，以下简称“云法案”），使得执法部门可依据搜查令直接调取境外数据。从美国司法部对外公布的白皮书对云法案适用范围作出的官方解释中1可以看出，云法案绝不仅仅适用于在美国注册成立的公司，境外的公司只要在经营活动中与美国有足够的联系（contacts），就可能触发美国法律的管辖权。欧盟则于2019年7月发布了美国云法案对于欧盟个人信息保护法律框架以及欧盟-美国关于跨境电子取证协议谈判影响的初步法律评估（Initial legalassessment of the impact of the US CLOUD Act on the EU legal framework for the protectionof personal data and the negotiations of an EU-US Agreement on cross-border access toelectronic evidence，以下简称“评估”）。评估明确指出，根据欧盟GDPR的规定，云法案并不能成为向美国传输个人数据的合法性基础。除此之外，去年11月，欧洲数据保护委员会（EDPB）对GDPR第三条进行统一解释，并发布了GDPR地域适用的指南，明确了符合“营业机构”标准或“目标指向”标准其中之一的数据处理者和控制者，均需要遵守GDPR的规定。向欧盟居民提供服务、对欧盟居民进行监控、数据处理活动由设立在欧盟境内的营业机构进行或与其有紧密联系的情形均受到GDPR制约。因此，数据处理活动不以物理边界为限，具有抽象的超越国界和领土的特质。各国为有效保障数据安全、维护国家利益，除了通过国际条约与双边/多边协议进行约定，还通过扩大其国内法的适用范围，以求最大程度地降低跨境数据活动给本国带来的安全风险。全球各国政府跨法域调取数据的情况也越来越常见，根据苹果公司2020年的透明度报告，仅2020年上半年，苹果公司就收到来自超过50个国家及地区的执法机构，共计28,276个数据调取请求。越来越多的中国科技公司走向世界，在主要的经济区都拥有重要的市场份额，故进一步完善对于境外执法机构调取数据的规制尤为重要。数据安全法正式出台，企业合规红线，你了解吗？10数据安全法现行规定以“后果论”为标准，即如果数据活动造成了对我国国家、社会、公民利益损害的，相关组织和个人应被追究法律责任，确认了我国掌握主动权，以国家利益为主导监管各类数据活动的鲜明立场。然而，数据安全法未规定我国执法机构能对境外组织或个人调取信息或要求协助配合的权限，且相比美国云法案（即只要在经营活动中与美国有足够的联系（contacts）便可触发美国法律的管辖权）与GDPR（即向欧盟数据主体提供商品或服务或监控欧盟数据主体）的“行为论”，这一规定并没有将我国对数据管辖权的手臂伸得那么长。然而，数据安全法未对第二条适用范围中的“境内开展数据活动”概念进行定义，笔者认为可能会在具体执行上存在一定问题。例如某一德国公司开发的App在我国境内投放运营后，用户在使用过程中出现软件崩溃，发送故障报告至德国公司的过程即构成在我国境内收集数据的活动。虽然德国公司属于境外组织，其主要营业机构、存储服务器均不在国内，但仍然可能受到数据安全法的约束。数据出境安全评估指南（征求意见稿）将“境内运营”定义为在中华人民共和国境内开展业务，提供产品或服务的活动，而不论运营者是否在境内注册。另外，还提出了几项参考因素以帮助判断，包括但不限于：使用中文；以人民币作为结算货币；向中国境内配送物流等。笔者认为，对“境内开展数据活动”的理解可以基于该理解类推借鉴，但期待在后续制定相关的配套政策和办法中进行进一步明确。数据安全法正式出台，企业合规红线，你了解吗？（四）提出“数据分类分级保护制度”，明确重要数据的界定责任一审稿即提出了国家应对数据实行分类分级保护，二审稿进则明确提出了“数据分类分级保护制度”的建立及重要数据目录的确定，发布的正式稿对“数据分类分级保护制度”及“重要数据目录”做出了更为清晰的规定。对数据进行分类分级的主要标准为“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度”，这也呼应了数据安全法以维护国家安全和网络空间主权为根本的基调，这在数据主权博弈激烈的当下显得尤为重要。同时，根据第二十一条，重要数据是数据分类分级中一个类别，由于其关键性和敏感性需要额外的保护。数据分类分级保护制度的提出是现有数据保护制度框架的一个重要补充。相信在后续配套的法律法规及国家标准出台后，数据分类分级保护制度将与网络安全等级保护制度等类似，成为数据保护工作纲领性的要求与指引。第二十一条明确了国家将统筹协调有关部门在宏观层面确定重要数据目录，并且要求各地区、各部门应制定适应于地区、部门及相关行业的重要数据具体目录，这种双层保护结构也与重要数据识别指南（征求意见稿）的思路相一致。这对于厘清何为重要数据并进一步推进重要数据保护工作而言至关重要。此前，网络安全法中虽然提到了重要数据，但并未对其进行展开的阐释或定义，数据安全管理办法（征求意见稿）和信息安全技术 数据出境安全评估指南（草案）虽有对重要数据有定义，但定义也没那么清晰且两者都未生效，指南也不具有法律效力。这对于企业进行重要数据保护工作而言造成了较大的不确定性和操作上的困难。相信随着本法的通过，后续各地区、各部门制定的重要数据具体目录能成为有效的参考，进一步增强数据分类分级保护制度的落地性与实践性。11（五）对于外国歧视性行动的反制裁措施，维护中国企业利益数据安全法第二十六条强化了应对态度，将根据实际情况采取“对等措施”。当下，腾讯、华为等企业不时面临境外采取的限制性或者歧视性经济制裁措施，意图打压中国企业在外国的发展，该条款明确了我国维护中国企业利益的决心，无疑给中国企业打了一枚强心剂。随着我国科技企业的兴起和5G等尖端技术的开发，各国针对我国企业的限制性措施层出不穷。仅在过去的一周内，美国联邦通信委员会（FCC）将中国两大电信巨头企业列为国家安全威胁名单，禁止美国公司利用八十三亿美元的政府资金购买这两家公司的设备；印度电子信息技术部以“有损印度主权、国防、国家安全和公共秩序”为由宣布禁用TikTok、微信等59款中国应用，且严格管控检查所有从中国购买的电力设备，以确认其中是否存在恶意软件或木马病毒。一方面可见，数据安全、网络安全已经成为国际社会普遍认可的国家安全版图之一；另一方面可见，我国所面临的挑战和困难也是十分艰巨的。数据已经成为“黄金”、“石油”，也必然成为新兴“兵家必争之地”。全球围绕数据的争夺日益深化，数据安全法的制定不仅需要解决国内数据安全管理的问题，还要为数据出境、跨境合作设计等相关规则制定策略。针对歧视的反制裁措施在国际私法、贸易等领域已有先例，此次在涉及数据安全、国家安全的基本法中重申这一原则，既表明我国拥护数据自由流动、跨境安全的坚定立场，又对他国如有不正当的歧视待遇行为做出了有力的回应。此外，数据安全法第三十六条对处理外国司法或者执法机构关于提供数据的请求做出了规定。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。即企业在面临境外监管机构的直接执法时，不能直接提供境外监管机构要求的数据，而是需要先行上报给我国主管机关，获得批准后方才可提供。例如，当中国企业虽未在欧盟设有实体，但直接向欧盟境内的数据主体提供商品或监控欧盟数据主体时，受到GDPR域外管辖。在此情况下，如欧盟的数据保护机构依据其职权对企业进行调查，要求企业提供存储于我国境内的相关数据时，中国企业在向我国主管机关报批获准后方可提供。从实践的角度来说，受限于管辖的限制，即便GDPR规定了自身的域外效力，考虑到现实执法的困难程度，实践中也少有案例直接对在欧盟境内没有实体的公司进行处罚。数据安全法的第三十六条无疑显示出对部分国家域外长臂管辖执法进行有礼有节的回应态度。只是日后，需要相关部门规章或者国家标准进一步细化具体报批的机关以及相关流程。数据安全法正式出台，企业合规红线，你了解吗？12（六）强调对数据出口的管制数据安全法第三十条明确了有关关键信息基础设施运营者以及关键信息基础设施运营者以外的其他重要数据处理者将所收集的重要数据出境的规定，要求适用国家网信部门会同国务院有关部门制定的管理办法。我们在各国个人信息出境实况兼评文中提到过，个人信息与重要数据出境将采用“二轨制”评估的方式，但此前，重要数据出境监管制度并未特别详细地得到明确，且多为征求意见稿的状态，除了网络安全法第三十七条较为概括地要求重要数据本地化，只有有极其特殊情况下方才申请主管部门审批出境（实践中估计也鲜有行业主管部门有审批的流程和经验），其他尚无现行有效的法律法规、国家标准明确数据出境的具体合规方案，从而给企业带来了较大的不确定性。在尚无针对重要数据的专门评估办法出台前，各企业预备重要数据评估的，目前仍然参考的是个人信息和重要数据出境安全评估办法（征求意见稿）。其中，第九条规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估得情境，包括：含有或累计含有50万人以上的个人信息；数据量超过1000GB；包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；关键信息基础设施运营者向境外提供重要数据；其他行业主管或监管部门认为可能影响国家安全和社会利益的。数据安全法正式出台，企业合规红线，你了解吗？13上述规定仍需要企业及相关组织进行全面的自我评估，但具体出境情况是否适用上述规定存在较大的不确定性，对于企业进行重要数据出境安全管理工作带来较大的挑战。数据安全法通过区分主体的方式，对于重要数据出境的监管办法进行了进一步的明确和补充。关键信息基础设施运营者出境重要数据适用网络安全法的规定，其他主体出境重要数据则适用国家网信部门会同国务院制定的管理办法，这样的监管思路也使得数据分类分级保护制度能够更好地与关键信息基础设施保护要求相协调。此外，该条款明确制定数据出境规则的主体为“国家网信部门会同国务院有关部门”，可以体现未来对于数据出境进行规制的法律文件其法律位阶与效力基本是在部门规章的级别，从而加强企业遵守相关义务的必要性。值得注意的是，除了网络安全法及数据安全法，一些重要数据的出境还需要重点关注行业监管的要求。比如，国家健康医疗大数据标准、安全和服务管理办法（试行）规定健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知第六条更是规定，在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行，且除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。根据数据安全法第四十六条规定，非法向境外提供重要数据的，“由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款”。（七）明确企业合规义务数据安全法第四章落实了数据活动主体的具体安全保护义务与责任，列举了一系列需要遵守的合规义务，包括开展安全培训、完善制度建设、风险评估监测、报告安全事件、落实数据分类分级等制度等。具体请参见本文第三部分的分析。（八）强调数据新技术应当符合社会公德与伦理数据安全法第二十八条要求开展数据活动以及研究开发数据新技术应当符合社会公德与伦理，这一条款则对应了近些年诸多颇具争议的数据新技术，例如医疗AI、Deepfake、ZAO换脸技术等。不可否认的是该等技术的背后是数据活动方面的蓬勃创新，但其所导致的伦理道德问题也一直是社会讨论的重点。例如，2017年一位匿名用户使用“Deepfake”技术将神奇女侠中女主盖尔加朵的脸移植到了一部成人电影的女主身上，再辅以技术手段将其完美的融合，之后将其上传到了Reddit成人交流社区，最终因侵犯个人隐私导致视频下架；2019年3月报道，犯罪分子利用Deepfake技术，冒充英国某能源公司母公司CEO的声音，成功诈骗了二十二万欧元。数据安全法的第二十八条正是针对此种新技术所带来的身份冒用、侵犯隐私、造成严重社会负面影响等问题进行了回应。然而，数据安全法本身没有对违反此条款规定法律责任，可能实际震慑力较为有限。数据安全法正式出台，企业合规红线，你了解吗？14（九）明确数据处理活动不应排除、限制竞争对于违反其他法律、行政法规的援引条款，数据安全法第五十一条明确开展数据处理活动“限制、排除竞争”的场景。当下，随着国务院反垄断委员会关于平台经济领域的反垄断指南的出台以及罚款金额的震慑性，平台反垄断也成为企业的热点话题，该条款明确了数据处理活动也不应该排除、限制竞争，对于怎样的数据处理活动可以产生排除、限制竞争的效果，留待反垄断局或在个案中进一步说明。（十）建立与网络安全等级保护制度相衔接的数据安全管理制度数据安全法第二十七条同时强调了数据安全管理制度的建立和网络安全等级保护制度，这使得数据安全法能够更好地与现有的数据保护相关法律法规及规制思路相配适。已经建立网络安全等级保护制度的企业能够更好地衔接数据安全管理制度的要求，进一步提升整体的网络安全及数据保护水平。（十一）鼓励行业自律，建立行业规范数据安全法第十条指出“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展”，强调了行业自律在数据安全规范方面的作用，提出了行业数据安全行为规范这一概念，并鼓励各行业组织积极制定适用于本行业的数据安全行为规范，加强行业自律，通过行业内的指导进一步提升数据保护水平。笔者认为这虽然不是一个强制要求，但也将是未来数据安全保护监管及合规自证体系中一个重要的部分。由于数据处理活动本身对应的场景极具多样性与专业性，法律法规进行落地时可能会存在天然的障碍。该条款通过凸显行业自律的作用，让行业作为规制的一环，从而加强规则的适用性以及与时俱进的能力。行业自律也为世界其他主要法域国家常见的规制手段。例如，GDPR第四十条及四十一条就早已提出了行为准则（Code of Conduct）这一理念，鼓励有起草行为准则的行业协会或者其他实体制定适合行业的最佳实践。这样的行业最佳实践在通过认证之后，可以成为一个有效的自愿性问责工具。除此之外，这对于一些小微型企业而言也是一个能够有效降低合规成本的方案。数据安全法这一概念的提出，也是数据安全监管思路与框架向国际社会中数据保护监管水平较高的地区看齐的重要一步。数据安全法正式出台，企业合规红线，你了解吗？15（十）建立与网络安全等级保护制度相衔接的数据安全管理制度数据安全法第二十七条同时强调了数据安全管理制度的建立和网络安全等级保护制度，这使得数据安全法能够更好地与现有的数据保护相关法律法规及规制思路相配适。已经建立网络安全等级保护制度的企业能够更好地衔接数据安全管理制度的要求，进一步提升整体的网络安全及数据保护水平。（十一）鼓励行业自律，建立行业规范数据安全法第十条指出“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展”，强调了行业自律在数据安全规范方面的作用，提出了行业数据安全行为规范这一概念，并鼓励各行业组织积极制定适用于本行业的数据安全行为规范，加强行业自律，通过行业内的指导进一步提升数据保护水平。笔者认为这虽然不是一个强制要求，但也将是未来数据安全保护监管及合规自证体系中一个重要的部分。由于数据处理活动本身对应的场景极具多样性与专业性，法律法规进行落地时可能会存在天然的障碍。该条款通过凸显行业自律的作用，让行业作为规制的一环，从而加强规则的适用性以及与时俱进的能力。行业自律也为世界其他主要法域国家常见的规制手段。例如，GDPR第四十条及四十一条就早已提出了行为准则（Code of Conduct）这一理念，鼓励有起草行为准则的行业协会或者其他实体制定适合行业的最佳实践。这样的行业最佳实践在通过认证之后，可以成为一个有效的自愿性问责工具。除此之外，这对于一些小微型企业而言也是一个能够有效降低合规成本的方案。数据安全法这一概念的提出，也是数据安全监管思路与框架向国际社会中数据保护监管水平较高的地区看齐的重要一步。数据安全法正式出台，企业合规红线，你了解吗？16三、企业配套合规义务对于企业在数据安全法项下的合规义务，可以区分为一般企业的合规义务以及处理重要数据的企业的额外义务。（一）一般企业的合规义务1.明确企业自身所控制的受规制数据如前所述，数据安全法所规制的数据极为广泛，不仅包括电子的数据，还包括其他形式的数据，例如员工填表所得的数据。因此，企业首先需要明确企业自身所受数据安全法约束的数据范围，并在“数据”这一基本类型的基础上，识别除数据安全法外是否须额外受网络安全法、日后出台的个人信息保护法的规定。2.确保数据收集的合法、正当与必要性根据数据安全法第三十二条的规定，任何组织、个人收集数据，都必须采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据，不得超过必要的限度。除了直接收集外，企业需要特别注意从第三方间接收集数据时，也需要核实第三方数据来源的合法性、正当性，例如进行前期安全尽调、要求第三方签订承诺书、保证书等，并审查自身获取数据是否符合必要性要求。未能履行合法、正当、必要收集数据要求的企业，则根据数据安全法第五十一条的规定，窃取或者以其他非法方式获取数据，开展数据活动排除、限制竞争，或者损害个人、组织合法权益的，按照有关法律、行政法规的规定处罚，从而进一步援引至网络安全法、刑法、反垄断法以及未来出台的个人信息保护法等规定。数据安全法正式出台，企业合规红线，你了解吗？173.数据中介服务机构确定交易主体与交易合法性根据数据安全法第三十三条的规定，从事数据交易中介服务的机构在提供服务时，应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。数据安全法本身