适用场景
所有涉及数据处理的中国出海企业,特别是在业务中收集、存储、处理或跨境传输数据的企业,在业务规划、产品设计及日常运营阶段均需关注。
核心要点
1. 数据分级分类制度成为核心
国家将自上而下确定重要数据目录,各地区、各部门再据此制定具体目录。这意味着企业不能再仅凭自身判断进行数据分类,必须密切关注并遵循国家及行业主管部门发布的重要数据目录,这是数据安全保护的基础性制度。
2. 网络安全等级保护是数据安全基石
数据安全保护工作需在网络安全等级保护制度的基础上开展。企业必须首先落实等保要求,完成定级、备案、测评和整改,这是避免行政处罚和构建数据安全体系的前提。
3. 重要数据出境管理趋严且区分主体
关键信息基础设施运营者的重要数据出境适用《网络安全法》的安全评估要求;其他数据处理者的出境规则将由网信部门另行制定。所有企业向境外提供重要数据都将面临明确的监管和严厉的法律责任。
4. 应对境外司法/执法机构数据调取需经批准
未经中国主管机关批准,不得向境外司法或执法机构提供存储于中国境内的数据。此规定为强制性禁止条款,旨在应对“长臂管辖”,企业需建立内部流程以合法应对此类境外要求。
5. 法律责任大幅加重
草案二审稿全面提高了各类数据违法行为的罚款额度,扩大了处罚对象(包括直接责任人员),并新增了责令停业、吊销执照等严厉处罚措施,企业合规成本与风险显著增加。
实务建议
- 立即启动或检视企业的网络安全等级保护工作,确保完成备案与测评。
- 建立数据资产地图,并密切关注国家及行业发布的重要数据目录,提前对自身数据进行分类管理。
- 梳理涉及数据出境(包括向境外关联公司、服务器、客户提供)的业务场景,评估其是否涉及“重要数据”,并做好合规预案。
- 明确内部的数据安全负责人和管理机构(可与网络安全负责人/机构兼任),并落实其职责。
- 制定内部规程,规范应对境外司法或执法机构数据调取请求的流程,必须经过法务或合规部门审核并报请主管机关批准。
风险提示
- 切勿认为数据分类分级仅是内部管理事务,必须严格遵循国家及行业标准,避免自主分类带来的合规风险。
- 不要忽视网络安全等级保护的基础性作用,未落实等保可能导致数据安全保护工作“地基不牢”。
- 重要数据出境切勿抱有侥幸心理,无论是关键信息基础设施运营者还是其他企业,违规出境都将面临重罚。
- 面对境外机构的数据提供要求,不可直接响应,必须经过国内法律合规审查,否则将违反中国法律。
- 不要低估违法后果,新法草案下的罚款金额和处罚措施(如停业、吊销执照)足以对企业造成毁灭性打击。