2021年6月10日，中国全国人大常委会通过了《数据安全法》（“DSL”）。DSL（见此处非官方英文翻译）于 2021 年 9 月 1 日生效，标志着中国第一个全面的数据监管制度，是支持国家数据和网络安全治理的三个关键框架之一。DSL 将与中国 2017 年《网络安全法》（“CSL”）配合使用，该法要求公司提高其数据网络的安全性，以及 2

2021年6月10日，中国全国人大常委会通过了《数据安全法》（“DSL”）。DSL（见此处非官方英文翻译）于 2021 年 9 月 1 日生效，标志着中国第一个全面的数据监管制度，是支持国家数据和网络安全治理的三个关键框架之一。DSL 将与中国 2017 年《网络安全法》（“CSL”）配合使用，该法要求公司提高其数据网络的安全性，以及 2021 年 8 月 20 日通过的《个人信息保护法》（“PIPL”）自 2021 年 11 月 1 日起执行（请继续关注Orrick.com上的未来更新对此）。这三条新数据法代表了美国第二大经济体中隐私和数据安全的日益全面的法律框架。随着 DSL 的广泛域外影响，收集数据并在中国开展业务的国际公司现在有了一套新的数据规则可以发挥作用。我们总结了以下 DSL 的主要亮点和要点：

一、适用范围和治外法权

DSL 不仅管辖在中国境内进行的数据处理（包括数据的收集、存储、使用、处理、传输、提供和披露）和管理活动，还管辖在中国境外可能危害中国国家安全的活动或者公共利益或者损害任何中国公民或者组织的合法利益。目前尚不清楚这种广泛的监管自由裁量权将如何执行，该法律的域外效力可能取决于中国与其他国家之间的条约和互惠协议。

DSL 授权多个中国政府部门监督数据安全事务：

• 中央国家领导机关负责发布和监督国家数据安全战略和重大政策。与负责数据安全监督管理的部门建立全国数据安全工作协调机制。

• 地方政府和监管部门还负责各自地区和行业的数据安全，并有权制定重要数据的具体目录。

2.数据分类

DSL授权中国中央政府根据数据对中国经济、国家安全、中国公民生计以及公共和私人利益的重要性，建立分级数据分类体系。该系统将导致被认为对中国国家利益更重要的数据受到更严格的监管。至此，DSL 重点关注两类受到更高级别监管和保护的数据：“重要数据”和“国家核心数据”。我们在下面依次讨论：

重要数据

CSL 中引入了“重要数据”的概念，要求关键信息基础设施运营商（“CIIO”）跨境传输重要数据需要加强保护、本地化要求和事先安全评估。CIIO 通常是在通信、信息技术、金融、交通和能源领域运营的实体。虽然 CSL 只要求 CIIO 遵守对重要数据的强化监管，但 DSL 将这一要求扩展到所有处理重要数据的企业。在 DSL 下，重要数据的处理器必须：

(i) 确定数据安全责任人和管理机构，分配数据安全保护职责；和

(ii) 对数据处理活动进行定期风险评估，并向主管当局提交风险评估报告。

虽然 CSL 和 DSL 没有定义“重要数据”，但 DSL 指出，国家级机构联合体将制定“重要数据”目录，并要求地方政府和监管机构制定更详细的目录，以确定“重要数据”的范围根据各自的地区和部门。因此，国际公司必须遵守更广泛的国家要求以及重要数据的地区和行业特定目录。

国家核心数据

DSL还引入了“国家核心数据”的概念，这是一类由于关系到国家安全、国民经济、民生和重要公共利益而受到更严格监管的数据。虽然可能会有进一步的规则和法规详细说明国家核心数据的范围及其保护指南，但违反国家核心数据管理系统可能会被处以最高 1000 万元人民币（约 156 万美元）的罚款，撤销营业执照、暂停营业或可能受到刑事处罚。该法还对未能配合中国当局就执法或国家安全事务提出的数据请求的实体实施处罚。鉴于该类别的范围模糊，

3. 数据处理者的一般数据安全义务

DSL 规定了数据处理器必须履行的多项义务，包括：

• 建立数据安全管理制度，采取必要的技术措施保障数据安全，开展数据安全培训；

• 通过合法和适当的方式收集和使用数据，包括根据法律法规对数据收集和使用的目的和范围施加的任何限制；和

• 监控潜在风险，一旦发现安全事件或缺陷，及时通知用户并采取补救措施。

与加州消费者隐私法 (“CCPA”) 和欧盟通用数据保护条例 (“GDPR”) 等框架一样，更敏感的数据需要更多的义务来确保数据受到保护。根据 DSL，处理“重要数据”的实体必须指定数据安全官，建立数据安全管理部门，定期评估以监控潜在风险，并将评估结果报告给适用的政府机构。

4. 跨境数据传输

对于“重要数据”的跨境传输，DSL 为 CIIO（如上所述）和非 CIIO 建立了单独的框架。CIIO 必须遵守 CSL 下的规则，该规则要求本地存储在中国收集的重要数据。如果CIIO出于必要的业务目的必须将数据转移出中国，则需要按照中国国家互联网信息办公室（CAC）的程序进行安全评估。网信办等监管机构尚未制定非CIIO跨境转移规则。

对于诉讼和国际法律程序而言，DSL 规定，未经中国当局批准，中国境内的任何组织或个人不得将存储在中国境内的数据转移给任何外国司法或执法机构。DSL 中没有具体说明具体的主管部门和审批流程的细节，但违反此要求的实体将面临最高 100 万元人民币（约合 156,000 美元）的罚款，对负责任的个人处以额外罚款。违规行为导致“严重后果”的实体可能面临最高 1000 万元人民币（约 156 万美元）的罚款，并可能暂停业务并吊销其营业执照。

5. 违规处罚

违反《数据安全法》规定的义务的实体将面临严厉的处罚。除上述处罚外，中国当局可能对违规实体处以最高 500,000 元人民币（约合 77,000 美元）的罚款，对责任人处以额外罚款，并强制采取补救措施。如果实体在收到警告后未采取补救措施，或者安全事件导致严重后果（如大规模数据泄露或泄露），则该实体可能面临最高 200 万元人民币（约 31 万美元）的罚款)，以及可能暂停业务流程和吊销营业执照。

此外，DSL 授权中国中央政府对任何据称在与数据技术相关的投资和贸易方面歧视中国利益的外国政府作出实物回应。

6. 后续步骤

DSL 的许多要求似乎与其他数据安全法相似，尤其是 GDPR 的要求。然而，DSL 建立了一个比 GDPR 更广泛的框架。DSL 不仅管理中国公民的个人数据，还管理对中国国家安全和经济具有重要意义的数据，其数据传输限制比 GDPR 严格得多。尽管许多关键的实施细节仍不清楚并受制于未来的监管规则制定，但在中国开展业务的公司应审查其数据处理活动是否存在违规风险。

我们建议在中国开展业务的国际公司评估 DSL 是否以及如何适用于其数据处理活动，以及应实施哪些进一步的数据安全措施。DSL 已经生效，因此现在是公司遵守法律广泛义务的时候了。公司应采取以下步骤来评估风险：

• 考虑您处理的任何数据是否可能被视为 DSL 下的“国家核心数据”或“重要数据”；

• 确定负责人并为数据安全和合规创建内部程序和管理委员会；

• 对数据处理活动进行定期风险评估，并将此类风险评估报告提交给主管部门；

• 采取措施将数据处理安全风险降至最低，并建立应急预案以应对安全事件；和

• 进行数据映射练习，以确定您是否将在中国境内收集的数据出口到中国境外，并确定任何可能影响中国国家安全并受到更严格监管审查的数据处理。

请继续关注 Orrick 将继续监控与 DSL 相关的监管发展和即将出台的规则，以及即将于 2021 年 11 月 1 日开始执行的即将实施的 PIPL 的实施。