《數(shù)據(jù)安全法》作為互聯(lián)網(wǎng)領域最重要的三部基礎法律之一,其立法進程備受關注���。日前����,中國人大網(wǎng)公布了《中華人民共和國數(shù)據(jù)安全法(草案二次審議稿)》(以下簡稱《數(shù)安法(草案二審稿)》)�����?���!靶路ㄅc《網(wǎng)絡安全法》更好地銜接,完善了數(shù)據(jù)保護措施的要求�����。”上海市捷華律師事務所律師張佳宇在接受《中國貿易報》記者采訪時表示�,一方面,新法從法律層面對監(jiān)管職能部門提出了要求��,確立了數(shù)據(jù)分類分級保護的法律制度��;另一方面�����,精確界定適用范圍和目的��,為企業(yè)落實數(shù)據(jù)保護義務�,建立數(shù)據(jù)安全管理制度提出明確指引。
首先�����,在數(shù)據(jù)安全負責人和管理機構安排方面����,《數(shù)安法(草案二審稿)》將“設立”調整為了“明確”。不再強調必須設置數(shù)據(jù)安全負責人和專門的數(shù)據(jù)安全管理機構�,而只需明確數(shù)據(jù)安全負責人是誰以及哪個部門負責管理數(shù)據(jù)安全�����。
“《網(wǎng)絡安全法》第二十一條要求網(wǎng)絡運營者‘確定網(wǎng)絡安全負責人’,并在第三十四條進一步要求關鍵信息基礎設施的運營者‘設置專門安全管理機構和安全管理負責人’�。而《數(shù)安法(草案二審稿)》并未進一步提出設置數(shù)據(jù)安全負責人和專門管理機構的要求?���!睆埣延畋硎荆@一修改有利于降低企業(yè)的合規(guī)成本�����,比如可以由網(wǎng)絡安全負責人同時擔任數(shù)據(jù)安全負責人��,無需另行專門聘請數(shù)據(jù)安全負責人��。
其次���,《數(shù)安法(草案二審稿)》新增規(guī)定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理����,適用《網(wǎng)絡安全法》的規(guī)定�;其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務院有關部門制定”�����,實質性地引入了中國版“標準合同條款”的概念,并且要求企業(yè)與境外接收方簽訂該標準合同后�,方可依賴合同機制進行個人信息的跨境傳輸,加強了對重要數(shù)據(jù)出境的管理����。
同時,還增設了對擅自向境外執(zhí)法機構提供數(shù)據(jù)行為的處罰��?�!稊?shù)安法(草案二審稿)》在一審稿關于“境外司法和執(zhí)法機構要求調取境內數(shù)據(jù)的����,未經(jīng)主管機關批準,不得提供”的基礎上�����,增加對應的處罰規(guī)定“未經(jīng)主管機關批準向境外的司法或者執(zhí)法機構提供數(shù)據(jù)的��,由有關主管部門責令改正��,給予警告����,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處二萬元以上二十萬元以下罰款��?!?/p>
“該處罰設定依然沿用了《網(wǎng)絡安全法》雙罰制的原則,此舉既能避免數(shù)據(jù)主體擅自對境外司法�、執(zhí)法機構提供數(shù)據(jù)情況的發(fā)生,也為數(shù)據(jù)主體向境外司法�����、執(zhí)法機構調取數(shù)據(jù)提供了拒絕的法定理由�����。尤其是跨國公司����,迫于境外總部或境外分支機構所在地司法、執(zhí)法機構的壓力�,不得不提供相關數(shù)據(jù)。但該法生效后�,企業(yè)即可有正當合法的理由予以拒絕?�!眳R業(yè)律師事務所合伙人李天航表示。
最后��,《數(shù)安法(草案二審稿)》針對“提供基礎性互聯(lián)網(wǎng)平臺服務��、用戶數(shù)量巨大���、業(yè)務類型復雜的個人信息處理者”設置了額外的監(jiān)管義務�。要求大型平臺企業(yè)“成立主要由外部成員組成的獨立機構�����,對個人信息處理活動進行監(jiān)督”�����。
在2019年FTC與Facebook達成和解的案件中��,F(xiàn)TC就向Facebook提出了設置獨立隱私委員會的要求����,并針對獨立隱私委員會的人員構成、會議機制�、權力與職責等進行了具體的規(guī)定。“立法部門希望通過任命外部成員組成的獨立機構����,更大程度地推動多方數(shù)據(jù)合規(guī)治理,并通過外部獨立第三方的介入���,增強對大型平臺企業(yè)的合規(guī)制約,強化對大型平臺企業(yè)的監(jiān)督與管控����。”張佳宇表示�,大型平臺企業(yè)需要警惕定期或不定期的第三方巡檢和審計行為,做好自身的合規(guī)制約管理工作�。
