中华人民共和国数据安全法 - 企业需知道些什么?

中华人民共和国数据安全法》(“DSL”)于2021年6月10日正式通过,自2021年9月1日起施行。鉴于将施加的新义务,企业将有不到三个月的过渡期来自我审查和自我评估其数据处理活动,如下所述。
 
DSL 适用于谁?
 
DSL 适用于从事数据处理活动的组织和个人,包括数据的收集、存储、使用、加工、传输、提供和公开。“数据”,是指任何以电子或者其他方式对信息的记录。
 
我是一家在中国境外经营的公司,该法律是否适用于我?
 
DSL具有域外适用性,可以适用于损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的境外组织和个人。
 
DSL 下的义务是什么?
 
DSL规定的数据安全保护义务包括建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施以保障数据安全,加强风险监测,及时采取补救措施。

 
DSL的规定包括:
 
  • 建立数据分类分级保护制度: DSL 指导数据分类机制的发展,该机制应根据数据的重要性为数据类别指定不同级别的数据保护标准。
 
  • 加强对某些类别数据的保护,例如“重要数据”和“国家核心数据”:“国家核心数据” 包含关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。“重要数据”的处理者应当指定数据安全负责人和管理机构,落实数据安全保护责任,以对其数据处理活动定期开展风险评估,并向有关政府当局提交报告。
 
  • 跨境数据传输控制: 对于“重要数据”的跨境传输,已为关键信息基础设施运营者和非关键信息基础设施运营者制定了单独的监管框架。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
 
  • 提供数据交易服务主体的义务:从事数据交易中介服务的机构需承担一定的义务,例如应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
 
  • 报复性措施:任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
 
  • 反垄断和不公平贸易行为:明确禁止不公平贸易行为,例如使用歧视性或其他反竞争手段挪用数据。
 
  • 政府当局的数据调取:企业和个人在中国当局进行的调查期间必须予以配合,有关当局在为此类调查请求调取数据时将受到严格的批准手续。
 
违反 DSL 的处罚是什么?
 
对违反 DSL 的罪行可能会受到严厉惩罚,包括责令暂停相关业务,吊销相关业务许可证或者吊销营业执照,罚款高达一千万元人民币以及其它刑事责任。监管机构也可能会责令改正,没收违法所得,以及处违法所得十倍的罚款。对违规行为直接负责的个人还可能面临最高一百万元人民币的罚款和潜在的刑事处罚。
 
下一步
 
预计额外的指南和法规将陆续发布,以进一步明确 DSL 的范围。 鉴于 DSL 即将生效,建议在中国或与中国同行有交易的企业重新评估其现有的数据处理活动,并确保其数据处理符合 DSL 规定的义务。
 
DSL全文在此
 
思纪龄律师事务所仅就马来西亚法律提供建议,此警报仅供参考。

如果您对 DSL 有任何疑问,请联系我们的合伙人Jillian Chia(jc@skrine.com ),我们可协助推荐专门从事该领域的中国联营公司。

此警报仅包含一般资料。 它不构成法律建议或法律意见的表达,因此不应依赖于此。
 

This alert contains general information only. It does not constitute legal advice nor an expression of legal opinion and should not be relied upon as such. For further information, kindly contact skrine@skrine.com.