《数据安全法》对保理与供应链金融业务的影响
2021年6月10日,第十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》(以下简称“《数据安全法》”),并将于2021年9月1日正式生效施行。
《数据安全法》确定了数据分级分类及风险评估等安全制度,落实从事数据活动的组织和个人的安全保护责任,坚持维护数据安全和促进数据开发利用并重,明确推进数据基础设施建设和安全标准体系建设等,相信其对保理与供应链金融业务的数字化发展,也将带来更具挑战性和建设性的推动作用。
一、《数据安全法》要点解读
《数据安全法》全文共7章55条,包括总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。下面本律师将对其中的要点进行分析和解读:
(一)对“数据”及“数据处理”作出界定
对于什么是“数据”,理论与实务界一直没有明确的定义。《数据安全法》对于“数据”采取了全面的界定。
首先,根据《数据安全法》第三条规定,“数据,是指任何以电子或者非电子形式对信息的记录”。其既包含了《网络安全法》所界定并保护的“网络数据”(即“通过网络收集、存储、传输、处理和产生的各种电子数据”),还将以非电子的其他形式对信息的记录都纳入了数据范畴。
按照这一界定,无论记录信息的介质或载体如何,只要记录了相应信息,均属于《网络安全法》所保护的对象,具有重要现实意义。一方面,随着数据分析技术的发展,数据记载形式之间的打通成本大幅度降低,这意味着并非只有电子化记录的信息可以用于大数据分析,其他形式的信息也可以低成本转化为电子形态,并进行大数据分析。
另一方面,其他方式记载的信息同样具有个人信息保护价值、经济价值、社会及国家安全价值,将其统一纳入《数据安全法》的规制,有利于法律执行的统一性,也符合数字化时代的信息安全要求。
其次,《数据安全法》第三条界定“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”,形成了对数据全生命周期的覆盖;“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
虽然《数据安全法》对于上述全生命周期的规则并未详细展开,但可以预期,后续《个人信息保护法》等相关立法将会对于数据具体生命周期的处理规则做出进一步的规定与完善。
(二)明确国家数据安全治理机制
在《数据安全法》中,明确了我国数据安全治理架构由三个层级构成,分别是决策层、执行层和监管层。
决策层是中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;执行层则是各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负责;监管层是由各行业承担本行业、本领域数据安全监管职责;公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责;统筹协调则由国家网信部门负责统筹协调网络数据安全和相关监管工作。
(三)建立数据安全发展生态
为实现规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益的目标,《数据安全法》第14条至第20条从不同角度提出了数据安全发展生态圈。
一方面,《数据安全法》明确国家实施大数据战略,鼓励支持数据在各行各业的创新应用,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
一方面,《数据安全法》从多方面提出大数据战略的落实计划,包括:1、支持开发利用数据提升公共服务的智能化水平;2、支持数据开发利用和数据安全技术研究;3、积极推进数据开发利用技术和数据安全标准体系建设;4、促进数据安全检测评估、认证等服务的发展;5、建立健全数据交易制度,培育数据交易市场;6、结合多方力量开展数据开发利用技术和数据安全相关教育和培训,数据开发利用技术和数据安全专业人才等。
(四)建立健全数据安全制度
第一,国家建立数据分类分级保护制度。《数据安全法》第21条第1款首先明确,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
对数据进行分级分类管理和保护,根据数据在经济社会发展中的重要程度,对数据实行分级分类保护,可以在保证数据安全、个人隐私的前提下,使数据价值最大化。
第二,国家建立数据安全风险评估、报告、信息共享、监测预警机制,建立数据安全应急处置机制。《数据安全法》第22条和23条明确加强数据安全风险信息的获取、分析、研判、预警工作,发生数据安全事件后应积极采取相应的应急处置措施,从事前、事中和事后实现对数据安全保护,消除安全隐患、避免危害扩大。
第三,建立数据安全审查制度。数据与国家安全息息相关,是未来国际竞争的核心,《数据安全法》第24条指出国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
第四,实施数据出口管制。《数据安全法》第25条明确国家实施出口管制,保证数据安全,同时积极开展数据安全领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
(五)明确数据安全保护的意义
《数据安全法》对从事数据活动的组织和个人应承担的数据安全保护义务给出了明确指示,开展数据活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。通过针对违法的数据活动制定了一系列的法律措施,促使数据活动更加正规正当,从而维护公民的个人隐私以及数据安全。
二、《数据安全法》对保理与供应链金融业务的影响
(一)确保数据安全的前提下,专注数据应用,提升数据变现能力
《数据安全法》第7条明确:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
此前,《中国银保监会办公厅关于推动供应链金融服务实体经济的指导意见》(银保监办发〔2019〕155 号)明确提出:创新发展在线业务。鼓励银行业金融机构在依法合规、信息交互充分、风险管控有效的基础上,运用互联网、物联网、区块链、生物识别、人工智能等技术,与核心企业等合作搭建服务上下游链条企业的供应链金融服务平台,完善风控技术和模型,创新发展在线金融产品和服务,实施在线审批和放款,更好满足企业融资需求。
实务中,如中企云链云信、TCL金融简单汇、浙商银行款链平台等线上供应链金融业务平台,早已如雨后春笋般不断涌现,其实现了应收账款债权线上凭证化,并已经覆盖应收账款确认、增信、担保、保险、转让、质押、抵销、注销等信息进行摘要记载。相信在《数据安全法》后,还将涌现更多供应链金融业务服务机构和平台,提高数据应用和变现效率的同时,在数据合作、安全保护上也将更为规范。
(二)《数据安全法》将促进保理与供应链金融线上业务的数据来源更高效、更安全、更便捷
《数据安全法》第38条、第39条要求,国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用;同时构建统一数据规范,部门间数据互联互通。这从根本上让保理公司等供应链金融业务主体获取数据更加方便,减少数据沟通、系统多源接口备份等人力和物力成本,相信线上供应链金融平台日后获取工商、司法、金融等官方数据,也将更高效、更安全、更便捷。
以征信数据为例,征信离不开数据,数据就是征信的根本。目前银行等金融机构具有征信数据获取天然优势外,国家及各监管部门也通过《中国人民银行办公厅关于小额贷款公司接入人民银行征信系统及相关管理工作的通知》等各文件,允许小额贷款公司、融资租赁公司、商业保理公司等金融主体,以不同方式实现征信系统中征信数据的对接,也大大降低了相应市场主体因征信来源的不全面性、不准确性可能存在信用风险。
三、《数据安全法》下保理与供应链金融业务的注意事项
(一)企业全面树立数据合规理念和制度、加强管理落实
数据活动,包括数据的收集、存储、使用、加工、传输、提供、公开等,企业数据合规治理,也应树立全面的数据合规理念,建立覆盖数据全生命周期的的数据合规管理体系。结合《数据安全法》,依托于《网络安全法》、《个人信息保护法》及大量的行政法规、规章、监管规则、行业监管规则、国家标准,通过树立全面数据合规理念,构建自身数据治理的策略,结合行业监管动态、针对自身的业务流程与场景,建立健全数据安全相关企业各项制度和操作指引。
此外,在制度落实层面,企业可以通过流程管理、岗位职责管理、激励约束机制,达到数据合规治理的目标。
(二)实际展业中应当更规范数据活动的合法合法性
《数据安全法》对各类数据保护进行原则性规定,而非限于个人信息保护的细项规定,其将行业数据、政府部门数据、企业数据、个人数据等各类数据安全的保护进行原则性规定,推动政府部门、行业组织、企业、个人等共同参与数据安全保护工作。按照分级分类的思路监管,即覆盖各类数据又有所侧重。
《数据安全法》第32条规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
因此,商业保理公司等主体在开展保理与供应链金融业务中,应尤其注意,无论在主动直接收集用户数据过程中,还是通过第三方进行数据接收、处理等活动中,应当做好必要的调查、签署必要的文件或者要求第三方提供相应的承诺函、证明书等,遵循合法、正当、必要的原则,尽可能确保所收集、使用、披露、处理的数据来源合法有效。
(三)根据国家和行业标准,细化企业数据活动中数据分类保护
《数据安全法》第21条明确,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
因此,商业保理公司等主体在开展保理与供应链金融业务中,应当增强企业内部外数据管理,针对数据的重要程度、敏感程度对数据进行分级分类,并采取不同级别不同程度的保护措施,对业务中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,以避免对国家安全、公共利益或者企业自身、个人、组织合法权益造成不必要的危害。
(四)随时加强数据安全应急处置,消除安全隐患
《数据安全法》第六章,明确了违反数据安全规定时需要承担的各类法律责任,弥补了我国法律在这方面的空白,也从另一个侧面逼迫企业应当重视数据安全,提升数据安全能力,否则将可能同时面临较大经济赔偿和严重的行政处罚。
因此,商业保理公司等主体在开展保理与供应链金融业务中,应当完善企业内部的数据安全风险评估、报告、信息共享、监测预警机制,此外,若企业业务涉及数据跨境的,也应当将数据出口管制的相关预警、处置流程放入企业的出口管制评估制度中。企业应当建立数据安全应急处置机制,加强数据安全风险信息的获取、分析、研判、预警工作,发生数据安全事件后应积极采取相应的应急处置措施,从事前、事中和事后实现对数据安全保护,消除安全隐患、避免危害扩大。
