×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 党建工作 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 CN EN JP
首页 > 出版刊物 > 专业文章 > 中国数据保护法的最新进展

中国数据保护法的最新进展

作者:史军 贾毅冰 2022-08-22
[摘要]任何企业,其终极目标都是更好地服务客户,那么收集客户信息几乎不可避免。但客户信息往往包含敏感的个人信息,因此,收集、加工或共享这些数据的,必须获得事先同意,并遵守相关流程。如出现不合规的情况,情节严重的,最高可处罚企业年营业额的5%,并可处其他十几种处罚措施。

任何企业,其终极目标都是更好地服务客户,那么收集客户信息几乎不可避免。但客户信息往往包含敏感的个人信息,因此,收集、加工或共享这些数据的,必须获得事先同意,并遵守相关流程。如出现不合规的情况,情节严重的,最高可处罚企业年营业额的5%,并可处其他十几种处罚措施。


因此,企业必须全面理解数据合规法律,建立合理的合规体系。


框架


《数据安全法》和《个人信息保护法》(下称《个保法》)于2021年颁布并施行,加上自2017年施行的《网络安全法》,这三部法律构成了中国数据治理的基本法律框架。每部法律侧重点不同,《国家安全法》、《网络安全法》和《数据安全法》着重于对国家安全和公共利益的保护,而《个保法》着重于在处理个人信息过程中对个人信息权益的保护。


在上述法律框架下,各立法部门和监管机构都出台了实施要求。同时,行业监管委员会或组织也相应地更新了行业规则,国家标准出台,提供了实务指南。2022年1月4日发布,并自2022年2月15日施行的《网络安全审查办法》就是一个例子。


总体来看,数据治理领域的法律框架已成形,具体的监管规则和实务指南也在逐步制定和改进。


执法


据不完整数据显示,仅在2021年,中国人民银行(“央行”)、中国银行监督管理委员会和国家外汇管理局就对119起违法采集信息案件作出行政处罚,总罚款金额达4650万元。


上述行政处罚案件大部分是金融机构没有遵守个人数据采集或网络安全条例的案件。这些违法行为主要包括“采集和使用个人信息时未遵守相关规定”“未经同意查询个人信息或企业的信贷信息”“报送个人不良行为信息前,未事先告知信息主体”,或“泄露客户信息”。


数据生命周期管理


《个保法》和《数据安全法》要求企业建立安全管理系统,在采集、存储、使用、加工、传输、提供和公开信息的全生命周期对数据进行安全管理。数据安全管理应纳入整个工作流程,贯穿于每一个业务环节。


对银行和金融领域的数据合规要求高于其他行业。央行在2020年9月23日发布《金融数据安全数据安全分级指南》(下称《指南》),由全国金融标准化技术委员会归口管理。《指南》将金融数据分为五个等级,并针对每个等级规定了不同的合规义务和具体要求,这些义务和要求贯穿数据采集、使用、存储、传输和销毁全周期。


在当前阶段,《指南》更多属于建议性质,而非强制要求,但可作为银行业未来正式建立数据合规制度时的重要参照 ,尤其应考虑到该委员会由央行管理。因此,获其认可的规则在很大程度上预示了接下来会出台的行业条例。


上市审查要点


根据中国证监会制定的规则,寻求在中国证券交易所上市的企业必须经过严格的上市前合规审查,交易所通过审查确保企业遵守2021年底出台的数据保护法律,公众也有机会评判企业的合规水平。


据对2017年到2022年间上市案件的不完整数据分析,证券交易所针对数据合规的审查问询依时间和行业不同而异。在《数据安全法》和《个保法》于2021年颁布前,合规的商业方面更受重视。而在过去15个月,数据安全管理、数据生命周期管理和数据法律法规的更新成为主要关注点,这从以下几个趋势可以看出:


建立数据安全制度,确保合规。问询大致分为两类,一是询问是否建立了相关制度来确保数据采集和数据处理的合规,二是询问是否出现过数据安全事故或受到数据安全相关的处罚。


数据全生命周期合规管理。数据采集是数据生命周期的开端,因此,这一阶段的合规对整体合规至关重要。证券交易所经常审查的问题包括数据来源是否合法,无论数据是主动采集还是购买获得。对拟上市的公司,证券交易所往往关注公司对数据的实际使用范围是否超出了事先约定。因此,采集的来源、类别和方式,以及使用授权均需接受审查。


数据加工是另一个关键环节。在审查高科技企业时,证券交易所会严密审查数据的加工,以检查企业是否存在过度使用数据和其他形式的数据侵权行为。如果数据加工构成企业主营业务的独立部分,证券交易所将审核其数据加工行为是否严重偏离行业内的普遍做法,以及行业内的普遍做法是否符合法律规定。


对新的立法快速反应。有关数据保护的立法一直在演变,证券交易所也会审查企业能否对未来立法带来的变化作出快速反应,


遵守数据保护法是所有在华经营企业必须履行的义务。自相关法律施行以来,不合规的法律风险已经体现在方方面面。笔者认为,建立一个完备的数据合规机制对企业而言必不可少,同时企业还应制定周密的业务流程和数据生命周期管理制度,以完善机制。必要情况下,企业应每年审核并更新这个机制,以适应不断变化的国家法律和行业条例。


Baidu
map