法律解读|《数
前言
2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)正式发布,并将于2021年9月1日起施行。即将实施的《数据安全法》,将数据安全的保护上升到国家主权和安全发展层面,其立法意图及法律地位不言而喻。从《数据安全法》的发布到正式实施,留给企业的准备时间仅剩两个月不足。时间短、任务重,新航道下,准确把握立法思路,围绕立法目的,抓住法规重点,方可乘风破浪。
下面笔者将以分章细读和重点概括方式解析《数据安全法》。
01
—
第一章 总则
总则部分全章12条,主要从宏观层面上概括《数据安全法》的立法目的,适用范围,主管机关,及国家鼓励和禁止的方向,并就具体概念给予法律定义,具体而言:
总结概括
1. 建立国家安全部门统一协调下的纵向和横向多层次管理体系。
未来在《数据安全法》的基础上,企业应格外关注本地区、本行业监管机构的细化性法律规范。此外,在具体适用《数据安全法》的同时,也要关注《网络安全法》等相关法律法规,以及即将出台的《个人信息保护法》的具体内容,切勿孤立、割裂的看待每一部法律。
2. 鼓励促进行业自律组织及团体的标准化指导作用。
与数据相关的行业自律组织及团体的标准化文件首次在法律层面上强调。从法律规范体系上讲,行业标准虽然不是具有强制力的法律文件,但在具体援引适用上仍有参考的价值空间。退一步讲,从合规的角度来看,如果企业就数据产品的标准问题没有明确约定的情况下,那么根据《民法典》的相关规定行业标准仍是司法实践当中认定产品合规与否的适用标准。
3. 数据安全领域的长臂管辖将延伸到境外的违法活动。
《数据安全法》的一大亮点是对数据的出境进行了严格的规定。在《数据安全法》发布之前,中国尚没有一部明确的法律可以实现域外管辖,而此次规定的长臂管辖,弥补了我国在数据跨境领域中的立法和执法的弱势地位。
我们知道,许多国家及地区近两年来均陆续出台了数据保护及安全领域的相关规则条例,诸如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等,不一而足。这些政策的影响范畴巨大,跨国企业不得不将其纳入合规考量。面对这样的国际环境,我国如果没有相关立法,国内的企业在面对境外执法机构的一些要求和处罚时就会比较弱势。值得关注的是,《数据安全法》的长臂管辖体现在两个方面:一个是境外的违法行为,另一个是在境内开展数据处理活动的境外企业。综合以上,《数据安全法》下的长臂管辖包括了属地管辖和属人管辖两个层面。
4. 国家将促进数据的流动、利用,以及数据出海。
从《数据安全法》的立法目的上讲,国家在法律层面上鼓励数据的利用和数据的流动,包括境内的利用和流动,以及数据出海。这对于数据处理和数据应用层面的企业来讲,是重大的利好。但前提是,一定要关注合规的建设和行业性限制。具体要点,笔者将在后面的篇章中进行阐述。
5. 首次提出个人、组织的数据权益问题。
数据权益问题建立在数据权属的基础之上。数权可以分为数据主权和数据权利两种。数据主权是在科技进步下对国家主权内涵的延伸,包括数据管理权和数据控制权。数据权利则是自然人和企业对数据享有的综合权利。《数据安全法》在国家统筹管理层面上实际上解决了数据主权的问题。而《数据安全法》第七条所着重阐述的是数据权利的问题,通常认为,数据权利包括了人格权和财产权。从当前的法律规范上看,规范数据处理活动均是以数据的全生命周期为规范依据的。但在数据处理的全生命周期过程中,人格权、财产权又是相互交叉融合的,当前的立法尚未明确界定不同数据主体的数据权属,特别是消费者(用户)与企业特别是互联网企业之间的数据权属界限。这在具体的司法实践中仍然存在一定的冲突问题。如何平衡适用,需要结合更多的价值判断。
确定数据权利边界 构建数据权属规则:杭州互联网法院发布十大典型案例(全文)
杭州互联网法院,公众号:个人信息与数据保护实务评论确定数据权利边界 构建数据权属规则:杭州互联网法院发布十大典型案例(全文)
后续章节敬请期待
作者:温子瑜 律师北京市盈科律师事务所 合
业务领域:公司法律顾问;民商事诉讼及仲裁;企业投融资;数据合规及网络安
全等。