网络安全与中华人民共和国新数据安全法.

 
企业当前面临的新合规要求.

网络安全与中华人民共和国新数据安全法.

见解 日期: 31.08.2021 撰写 Dr. Jan Tibor Lelley, Dr. Yuanyuan Yin
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议正式通过了《中华人民共和国数据安全法》,以下简称《数据安全法》。该法将于2021年9月1日生效。

根据《数据安全法》第1条的规定,该法制定的目的是为了

  • 规范数据处理活动
  • 保障数据安全
  • 促进数据的开发和利用
  • 保护个人和组织的合法权利和利益,以及
  • 维护国家主权、安全和发展利益

《数据安全法》设有七章,共55条规定。其中重要的规定主要涉及

  • 在国家和地方政府层面的数据安全
  • 数据处理者的数据安全义务,以及
  • 对违法处理数据行为的处罚

在此之前,中国已在2017年颁布了《中华人民共和国网络安全法》,加上即将颁布的《中华人民共和国个人信息保护法》,此次《数据安全法》的颁布,标志着数据和信息安全的法律框架在中国的基本确立。

域外法律效力

《数据法安全》第2条规定,该法适用于在中华人民共和国境内(包括香港和澳门)进行的所有数据处理活动。在其域外适用方面,《数据安全法》还规定,境外发生的数据处理活动,若损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,将依法追究其法律责任。

重要概念

数据
《数据安全法》第3条对 “数据 “的概念进行了全面的规定:”本法所称数据,是指任何以电子或其他方式对信息的记录”。这意味着,除了《网络安全法》中定义的 “网络数据 “外,”以其他方式记录的信息 “也属于数据范畴。根据这一定义,纸质形式的存档信息和其他书面形式的信息记录也是 “数据”。根据《数据安全法》的规定,在实践中对电子和其他形式的存档数据进行统一的处理具有重要的意义。

数据处理
数据处理包括数据的收集、存储、使用、加工、传输、提供和公开等。

数据安全
数据安全包括确保数据得到有效保护,并且只被合法使用,并通过采取必要措施确保持续的安全状态。

数据安全分级

《数据安全法》第21条的规定,旨在建立一个国家层面的数据保护分类和分级系统。然而,《数据安全法》本身并没有就如何对数据进行具体分类,及如何实施分类和分级保护提供详细的说明。

在该条第2款中,对于国家核心数据给出了定义。国家核心数据是指那些与国家安全、国民经济、重要民生和重大公共利益相关的数据。因此,它们受到更严格的管理制度的约束。

此外,《数据安全法》第21条要求各地方政府和行政管理机构应根据国家数据分类和分级保护制度,确定本地区、本部门和相关行业的重要数据的具体目录。这将使地方政府能够根据实践中的不同需要,灵活调整对重要数据的保护。同时,这也意味着地方政府在确定数据分类保护上有很灵活的决策权。

聚焦:跨境数据传输

管制
《数据安全法》还包含关于跨境数据传输的严格规定。根据第25条的规定,国家对与《出口管制法》中定义的受管制物品有关的、以及与维护国家安全和利益及履行中华人民共和国国际义务有关的数据的跨境传输,进行管制。

《数据安全法》第31条还规定了关键信息基础设施数据的跨境传输。这些数据是在中国的业务中收集的,继续属于中国《网络安全法》第37条的范围。此外,还增加了对关键数据的安全管理。国家互联网信息管理局有权与国务院有关部门合作,确定跨境数据传输安全管理的适当措施。

此外,《数据安全法》第36条还明确规定,未经国家有关部门许可,中国境内的组织和个人不得将其存储在中国境内的数据提供给境外司法机关或执法机构。

罚款
如果企业违反《数据安全法》的规定,向国外非法提供(重要)数据,将会面临最高达1000万元人民币(约130万欧元)的罚款。

针对外国 “数据歧视 “的对等措施

为了更好地应对外国相应的立法和措施,《数据安全法》第26条规定了对 “数据歧视 “的反制措施。依据《数据安全法》的规定,如果境外国家和地区在数据和数据开发与利用技术的投资或贸易方面,对中国实施歧视性的禁止、限制或类似措施。然后,中国也可以根据实际情况,相应采取适当的对等措施。

企业现在需要做什么?

在《数据安全法》于2021年9月1日正式生效之前,企业应该充分了解《数据安全法》的规定及其要求,并采取相应措施避免或至少减少企业合规的风险。此外,《数据安全法》的这些规定也符合国际信息安全的标准-ISO27001。

  • 根据《数据安全法》第27条的规定,对数据安全进行管理。
    在处理数据时,公司需要建立关于一个针对数据安全的管理系统。《数据安全法》第27条还明确要求,应定期对员工进行数据安全培训。并且在企业中应当设立一个独立的管理机构和相应的责任人,负责公司的数据安全管理。
  • 根据《数据安全法》第30条的规定,定期进行风险评估。
    对于重要数据的处理,需要定期进行风险评估。在这样做时,数据处理者必须向有关主管部门报告风险评估结果。
  • 根据《数据安全法》第32条的规定,合法收集数据
    在实践中,企业应注意数据收集的合法性。根据《数据安全法》第32条的规定,严格禁止采取窃取或其它非法的方式收集组织或个人的数据。
  • 在中国境内存储重要数据
    企业的数据可能不再能轻易地,不需要任何说明地从中国境内传输到境外,例如欧盟或美国。。因此,在中华人民共和国境内对商业活动进行数字化的分离在实践中是有意义的。对于像苹果、特斯拉或大众等国际化的大型企业来说,该法律意味着其数据存储的本土化。
  • 根据《数据安全法》第35条的规定,与国家安全机关合作
    企业有义务为维护国家安全或协助调查刑事犯罪等目的,将其存储的数据提供给国家公安机关及其它安全部门。

展望

在当今21世纪的全球网络时代,数字化经济中,世界各国都非常注重数据安全问题。中国作为一个高新科技迅速发展的国家,也是全球数字经济最重要的参与者之一。根据目前的立法现状及《中华人民共和国数据安全法》的颁布和即将出台的《中华人民共和国个人信息保护法》,企业在中国的数据安全处理面临着重大的合规性挑战。这不仅适用于中国公司,也适用于在中国开展商业活动的外国公司。

您有关于数据安全法的适用问题吗?请随时与我们联系!

Dr. Jan-Tibor Lelley, Rechtsanwalt der Kanzlei Buse Heberer Fromm
Dr. Jan Tibor Lelley, LL.M. (Suffolk University Law School)
Rechtsanwalt, Fachanwalt für Arbeitsrecht
+49 201 17580 / lelley@buse.de
Dr. Yuanyuan Yin ist Legal Consultant bei BUSE am Standort Essen
Dr. Yuanyuan Yin, LL.M. (Shanghai Tongji University)
Legal Consultant
+49 201 1758-101 / yin@buse.de
关注BUSE

您想要关注法律、法规发展的最新动态吗?您想要获悉我们举办的各类活动、讲座和研讨会的信息吗?请您签署下方的同意声明。

…同意声明

BUSE

律师事务所及税务顾问
合伙人名单
联系方式
企业信息
隐私政策

与我们会面

我们诚挚邀请您来到我们各地的办公室,就您的法律问题进行面对面的交谈。我们向您确保,我们提供的法律建议绝对是出自谨慎的考量,并且专业和高效的。

…欢迎您光临我们的办公室

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB