《数据安全法》对金融科技企业数据合规工作的六点影响

《数据安全法》对金融科技企业数据合规工作的六点影响

文/泰和泰律师事务所 陈福中、潘兴琦、刘若愚

引言

2021年6月10日，十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》（下称“《数据安全法》”）。该法是我国数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。

《数据安全法》共七章五十五条，在内容上贯彻落实总体国家安全观，聚焦数据安全领域的风险隐患，明确了国家数据安全工作的统筹协调和监管部门，确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度，并明确了相关主体开展数据活动的相关义务和责任，将对我国数据领域的后续立法、执法、司法活动以及相关企业的生产经营活动产生重要影响。

《数据安全法》第七条规定：“国家保护个人、组织与数据有关的权益。”这是我国首次在法律层面对“数据权益”进行确认，看似简单，实则意义重大。一方面，有了法律上的确权，相关企业开发、利用数据资源将不再有后顾之忧，不用担心投入大量成本所开发的数据产品难以得到法律的保护，这无疑将促进数据的有效利用和数字经济的发展；另一方面，国家保护数据权益的前提是数据和数据产品必须通过合法合规的方式产生和利用，且数据作为国家战略性基础资源，与国家安全息息相关，为了保障数据安全，相关主体在开展数据活动时必须遵守相应的法律规则，否则，不仅不会得到法律的保护，还可能遭到法律的制裁。

作为数据领域的基础性法律，《数据安全法》的影响是全方位的，不限于特定地区或者特定行业。考虑到近几日业内对《数据安全法》整体的、宏观性的解读文章已经有很多，我们自觉已无必要再作此类全景式的解读，给大家增添阅读之累。现仅结合自身执业经验和观察，谈一谈该法对金融科技企业开展数据合规工作可能产生的几点影响，供读者参考。

• 一、从“数据”定义看合规工作的范围

《数据安全法》第三条规定：

“本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”

上述定义对金融科技企业数据合规工作的范围进行了精准的概括。

从数据载体上看，《数据安全法》所保护的数据不限于《网络安全法》所定义的“网络数据”，非电子形式（比如纸质文档）记录的信息也纳入了保护范畴。尽管对于大部分金融科技企业而言，绝大多数数据应该是以网络数据的形式存在的，但根据《数据安全法》的要求，在关注网络数据安全的同时，亦需要对纸质文档等非电子载体上的数据予以重视。

从数据类型上看，《数据安全法》所指向的数据不限于《个人信息保护法（草案）》中所定义的“个人信息”，而是所有类型的信息，不管是否与特定自然人相关。对于金融科技企业而言，经营过程中所获得的交易数据、企业数据等也属于《数据安全法》所定义的数据范畴，需要纳入安全保护范围。不过实践中，由于利用个人信息进行诈骗的案件频发，社会公众对个人信息的关注度较高，个人数据（尤其是个人金融数据）一般情况下比企业数据敏感性更高，违规成本也更高（《个人信息保护法（草案）规定的最高行政处罚高达5000万元或者企业上一年度总营收的5%》），通常需要给予更高的安全级别。

从数据处理行为上看，与个人信息全生命周期保护的理念一致，《数据安全法》所规制的也是全生命周期的数据处理行为，并不局限于实践中关注度相对较高的收集行为。实际上，对于仅提供技术服务，自身不采集数据，亦不留存数据的金融科技企业而言，数据收集环节的合规性反而可能不是其关注的重点，数据加工、传输等环节的合规性和安全性显得更为重要。

• 二、数据分类分级制度与重要数据的特别保护

《数据安全法》第二十一条规定：

“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”

对数据进行分类分级是我国目前网络和数据保护领域的一个重要手段，不过在之前颁布的《网络安全法》以及其他的有关法规、规章和规范性文件中，数据分类分级还只是作为网络安全保护的一种措施。《数据安全法》首次在法律层面将数据分类分级保护规定为一项基本制度，规定了分类分级的基本方法、明确了责任部门和保护思路，并首次提出了“国家核心数据”的概念，使得数据分类分级成为了一项法定义务。

作为一部基础性法律，《数据安全法》对于数据分类分级制度的规定也较为宏观，各行业、各地区数据分类分级到底怎么做，重要数据到底包括哪些，对国家核心数据的保护有哪些特别要求，还有待下位立法或者有关标准规范的明确。实际上，在《数据安全法》出台之前，已经有部分地区或行业主管部门在着手数据分类分级方面的立法和标准制定工作，其中已正式颁布的比如证监会制定的《证券期货业数据分类分级指引》、工信部制定的《工业数据分类分级指南（试行）》、人民银行制定的《个人金融新信息保护技术规范》和《金融数据安全 数据安全分级指南》等。

对于金融科技企业而言，由于所处理的数据大多数与金融有关，完全可以将金融行业的有关标准作为参考工具来开展数据识别和分类分级相关工作。如果涉及重要数据（在无新规之前，大致对应金融业数据安全定级中的第5级），则需要按照规定采取对应的特别保护措施（比如明确数据安全负责人和管理机构、落实数据安全保护责任，定期开展风险评估并向主管部门报告，采取更高级别的技术安全措施等）。

• 三、数据安全保护义务与网络安全等级保护制度

《数据安全法》第二十七条规定：

“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”

根据上述规定，开展数据处理活动应当依法建立全流程安全管理制度、组织开展培训、采取相应的技术措施和其他必要措施，保障数据安全。重要数据的处理者还应当明确安全负责人和管理机构，落实安全保护责任。此项规定与《网络安全法》第二十一条、第三十四条规定的网络运营者安全保障义务以及还在制定中的《个人信息保护法（草案）》第五十一条规定的个人信息处理者安全保障义务有异曲同工之妙，且三部法律对于拒不履行相应的安全保护义务都课以了较重的行政处罚。三部法律之所以会出现类似规定，原因在于网络、数据与个人信息这三个概念，以及网络安全、数据安全和个人信息保护这三项工作存在一定的重合。

对于传统的科研机构，科研数据可能与个人信息重合度较低，甚至可能与信息网络的关联度都不是很高，但对于主要处理个人信息的金融科技企业而言，这三者的重合显得尤其突出。在网络安全、数据安全以及个人信息保护领域都有单独立法和配套制度的情况下，我们认为，企业可以根据自身实际情况，选择一个与自身业务定位最贴切的领域的立法和配套制度作为基础性合规依据，制定相应的安全管理制度和部署相应的技术措施，同时对照其他两个领域的立法和配套制度进行“查漏补缺”式完善。

《数据安全法》规定，利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行相应的数据安全保护义务，这把《网络安全法》所规定的网络安全等级保护制度与数据安全有机的结合了起来。

事实上，对于金融科技企业而言，按照网络安全等级保护制度的要求开展的定级、备案和测评活动，将会涉及大部分技术类的安全管理制度、措施和培训。不过，等级保护制度更加着重提供技术性解决方案，对于法律合规性的判断（比如收集使用个人信息的合法合规性等）、员工法律意识的教育和培训、各类管理类制度（比如数据供应商准入管理制度、客户信息调用审批制度、奖惩制度等）的制定以及有关法律文本的起草（比如隐私政策、数据保护协议等）则需要法律合规专业人员的深度参与。

• 四、数据交易制度和数据中介服务

《数据安全法》第十九条规定：“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。”第三十三条规定：“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。”

从行业发展角度来看，上述规定应该是利好金融科技行业的长远发展的。一方面，国家对于培育数据交易市场的态度是明确的，金融科技行业作为数据交易市场的一部分也可以从中获得政策支持；另一方面，在各种数据交易制度规范健全后，获取、使用、出售数据及数据产品将变得有章可循，可以消除目前金融科技行业乃至整个大数据行业因为监管边界不清带来的“如履薄冰”感，获取数据产品的渠道可能更为广阔。但与此同时，《数据安全法》规定收集数据应当采取合法、正当的方式，从事数据交易中介服务的机构提供服务时应当要求数据提供方说明数据来源（当然，这里说明的数据来源必须是合法的来源，且不止是数据交易中介服务机构需要核查，企业直接从数据供应商处采购数据时亦需要遵从此项义务），且目前我国关于个人信息保护的监管力度正在不断加强，在此背景下，对于部分较为依赖个人数据的金融科技企业，是否能够在《数据安全法》公布后更加便宜的获取和使用个人数据，答案可能并不是很乐观，需要进一步观察。

    此外，我们注意到，《数据安全法》未对数据中介服务机构提出持牌要求，这也许意味着数据中介服务机构未来可能是一个开放的行业，对此有兴趣的企业可以予以进一步关注。当然，这也并不表示数据中介服务机构一定就不需要持牌，毕竟根据《行政许可法》的规定，必要时，国务院也可以以发布决定的方式设定行政许可。

• 五、数据处理相关服务的行政许可

《数据安全法》第三十四条规定：“法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。”

一般认为，此条规定并无意在现有行政许可体系之外创设新的行政许可，主要是对现有行政许可的强调和重申。一个可能的趋势是，将部分在过去实践中存在模糊地带、未明确办理行政许可的经营行为明确纳入行政许可或备案的范围。

对于金融科技企业而言，最需要关注的可能是个人征信业务的行政许可以及增值电信业务的行政许可问题。

《征信业管理条例》第二条第二款规定：“本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。”该条例第七条第四款规定：“未经国务院征信业监督管理部门批准，任何单位和个人不得经营个人征信业务。”

如果说《征信业管理条例》因为未对征信业务中涉及的信用信息的范围进行详细的界定，给了包括金融科技企业在内的大数据企业一定的发展空间的话，那么人民银行正在制定中的《征信业务管理办法（征求意见稿）》就可能对此进行相当程度的封堵。

该征求意见稿第三条规定：“本办法所称信用信息，是指为金融经济活动提供服务，用于判断个人和企业信用状况的各类信息。包括但不限于：个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息，以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”第四十四条规定：“以‘信用信息服务、信用服务、信用评分、信用评级、信用修复’等名义对外提供征信功能服务，适用本办法。”照此定义，结合有关人民银行有关领导关于“打着大数据公司、金融科技公司等旗号，未经人民银行批准擅自从事个人征信业务的行为，均属于违法行为”的表态，倘若此版本的《征信业务管理办法》最终得以通过，则市面上部分经营模式落入征信业务范畴的金融科技企业将面临较大考验，要么设法取得征信业务牌照（众所周知，征信牌照并不是那么容易取得，尤其是个人征信牌照，至今只有央行征信中心、百行征信和朴道征信三家持牌），要么调整业务模式，转型为纯技术服务商。

此外，根据该征求意见稿第四十三条规定，对于不直接提供征信业务，而是与征信机构合作（注意此处的征信机构范围已扩大），为金融经济活动提供个人或企业信用信息的其他信息处理者，应当在签署合作协议后向中国人民银行或其副省级城市中心支行以上分支机构报备。

相较于征信业务许可，增值电信业务许可的取得门槛就低得多了，各类增值电信业务许可每年发出的证书都不在少数。就金融科技企业而言，最可能需要办理的就是B21类-在线数据处理与交易业务经营许可证（即EDI证）和B25类-信息服务业务经营许可证（即ICP证）。据我们了解，在此之前，已有一些金融科技企业办理了ICP证，但电信主管部门尚未将P2P平台之外的其他金融科技企业纳入EDI证的办理范围。《数据安全法》正式实施后，提供数据处理服务的金融科技企业是否需要办理EDI证以及自身是否符合办理EDI证的条件（比如投资方有外资成分的企业，办理增值电信业务许可证就可能存在障碍），值得密切关注。

• 六、执法配合义务与数据出境审批

《数据安全法》第三十五条规定：“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。”第三十六条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

根据上述规定，在公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据时，企业有配合执法的义务。实际上，即便此处没有规定，企业也应当根据《国家安全法》《刑法》等法律规定配合公安机关和国家安全机关的调查和执法活动。除了公安机关、国家安全机关，检察机关、人民法院等司法机关因各类案件需要调取数据作为证据使用的，企业依法也具有相应的配合义务。

包括金融科技企业在内的各类企业需要注意的是，《数据安全法》第三十五条的意义在于一方面当遇到公安机关、国家安全机关要求调取数据时，需要积极、及时予以配合，以避免因“拒不配合”而遭受行政处罚；另一方面即便是公安机关、国家安全机关调取数据，也需要根据有关规定履行严格的批准手续，企业在配合调取数据的时候（对应“提供”这一数据处理活动），需注意核查执法人员的身份证件、调取依据、明确调取范围，并如实做好记录（特殊情况除外），以防数据不当提供。

此外，对于外国司法或者执法机构关于提供数据的请求（跨国经营的企业尤其需要注意），《数据安全法》明确规定必须先经主管机关批准，才能对外提供，否则，依据该法第四十八条第二款的规定，有关主管部门可对企业处以最高500万元、对直接负责人员和其他直接责任人员处以最高50万元的罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

• 小结

总体而言，《数据安全法》明确了适用范围，通过对促进和支持数据安全与发展的措施、数据安全基本制度、相关主体的数据安全保护义务、政务数据安全与开放以及法律责任等五大方面的规定，搭建起了我国有关数据利用和数据安全的基本法律框架，为数据领域后续配套立法奠定了基础，也为相关主体合规开展数据处理活动作出了原则性和方向性的指引。

《数据安全法》将于2021年9月1日起正式实施，且部分配套立法活动已提上日程（比如《数据安全管理条例》《关键信息基础设施安全保护条例》），作为与数据天然具有紧密关联的金融科技企业，除了密切关注后续配套立法的进程和具体要求外，建议尽早根据《数据安全法》的规定和其他现行有效的法律法规、规范性文件，建立、完善符合自身实际情况的数据合规组织体系和制度体系，以防范相关风险，保障数据安全，并为可能的监管挑战做好准备。