文／劉俊宏（海基會臺商財經法律顧問、鼎道國際法律事務所律師）

2023年2月下旬，中國大陸財政部等政府機構對所轄國有企業作出非正式性之指導，建議國有企業同普華永道、安永、畢馬威和德勤會計師事務所等國際知名四大會計師事務所所簽訂的服務合同，於到期之後，不再續簽，其理由在於數據安全之維護。這則消息出來後，即便隨後國務院總理李強於3月13日首次總理中外記者會上宣示未來中國大陸在經濟發展上將繼續「吃改革的飯，走開放的路」，但外界普遍認為「安全」仍然是中國大陸本屆政府執政上首要考量之因素。

延伸至數據領域，雖然2015年「十三五」規劃提出「推進數據資源開放共用」之建議，確立了利用大數據參與國家治理的方向，但是「安全重於一切」，將數據擺放到國家戰略的高度，視數據為國家基礎性的資源、推動經濟社會高質量發展的重要引擎的「數據安全」理念，仍然是中國大陸國家大數據戰略的最頂層設計。

以「安全」為核心的數據立法

「創新」是所有產業發展的基礎，而「數據」可以驅動創新，利用數據的分析決定各項的決策以及商業型態，絕對是未來的發展趨勢。「經濟合作暨發展組織」（OECD）報告即明確指出：「未來數據掌握的多寡，象徵一個國家未來的競爭力」，無怪乎有論者以「新石油（NEW OIL）」稱呼「數據」。

有鑒於數據的力量，2021年6月10日中國大陸審議通過《數據安全法》，並於同年9月1日起正式實施。《數據安全法》是中國大陸第一部關於數據的專門性法律，且主要係從「非個人層面」強調「數據本身的安全」。換言之，中國大陸政府業已充分意識到，雖然在互聯網廣泛應用的資訊社會中，數據日益成為重要的財富，是經濟增長和價值創造的重要源泉；然而，「水能載舟，亦能覆舟」，隨之而來的數據安全治理，已成為了下一階段施政的重大挑戰，但凡數據的採集、存儲、管理，以及加工、應用、流通，任一環節出現了破口，都將造成難以估計的損失；故以「安全」為核心的數據立法，即應運而生。

《數據安全法》的立法要點

綜觀整部《數據安全法》，全文共7章55條文，主要立法要點可歸納如下：

一、 總則
針對「數據」、「數據處理」的概念作出了明確的定義。亦即「數據」係指任何以電子或者非電子形式對信息的記錄；「數據處理」係指數據的收集、存儲、使用、加工、傳輸、提供、公開（《數據安全法》第3條）。

二、 數據安全與發展
（一） 確立「總體國家安全觀」、「數據安全與開發利用並重」價值維度。亦即國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展（《數據安全法》第13條）。
（二） 健全「數據交易管理」制度。亦即國家建立健全數據交易管理制度，規範數據交易行為，培育數據交易市場（《數據安全法》第19條）。

三、 數據安全制度
完善「數據分類分級保護」制度，對「核心數據」實施重點保護。亦即國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護，尤其對關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據，實行更加嚴格的管理制度（《數據安全法》第21條）

四、 數據安全保護義務
（一） 落實重要數據的在地化與出境管制。亦即關鍵信息基礎設施的運營者在中國大陸境內運營中收集和產生的重要數據的出境安全管理，適用《網路安全法》的規定；其他數據處理者在中國大陸境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定（《數據安全法》第31條）。
（二） 課予組織、個人對公安機關及國家安全機關的積極配合義務。亦即對於公安機關及國家安全機關行使職權時所需要調取的數據，不得任意拒絕（《數據安全法》第35條）。
（三） 加強對境外司法或執法機構提供存儲於中國大陸境內數據的監管。亦即非經中國大陸主管機關批准，境內的組織、個人不得向外國司法或者執法機構提供存儲於中國大陸境內的數據（「長臂管轄」，《數據安全法》第36條）。

五、 政務數據安全與開放
針對政務數據開發利用作出明確指示。國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的範圍內依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個人隱私、個人資訊、商業秘密、保密商務信息等數據應當依法予以保密，不得洩露或者非法向他人提供（《數據安全法》第38條）。

數據合規將成為企業運營的重中之重

《數據安全法》通過後，作為外企代表的特斯拉，隨即在微博表態稱：「數據隱私安全，關乎著每一個消費者。特斯拉將嚴格遵守《數據安全法》，保護消費者資料相關權益。努力促進行業和數字經濟健康蓬勃發展。」。

2022年1月，上海市楊浦區檢察院聯合上海市資訊服務業行業協會、上海市資料合規與安全產業發展專家工作組、楊浦區工商業聯合會制定發布上海首份《企業數據合規指引》（以下簡稱《指引》），全文共6章38條文。簡而言之，該《指引》有四大亮點值得關注：

一、 數據合規管理部門。鼓勵企業設置專門的數據合規管理部門，而不是由法務部門履行合規管理職能（《指引》第7條）。

二、 數據合規管理計畫。企業在制定合規計畫時，應當全面識別所面臨的數據風險，並根據這些風險來制定和完善合規計畫（《指引》第8條、第11條、第13條）。例如，數據處理者開展影響或者可能影響國家安全的數據處理活動，應當按照國家有關規定，申報網路安全審查；數據處理者處理個人數據，應當依據《個人信息保護法》的規定遵守八項規則，並在特定情況下刪除個人信息或者進行匿名化處理等。

三、 軟件開發工具包。企業在運營過程中使用第三方軟件開發工具包時，應明確第三方的數據安全責任義務，並督促第三方採取必要的數據安全保護措施（《指引》第15條）。

四、 個人生物特徵信息。要求數據處理者利用生物特徵進行個人身份認證的，應當對必要性、安全性進行風險評估，不得強制個人同意收集人臉、步態、指紋、虹膜、聲紋等生物特徵資訊（《指引》第18條）。

結論

《數據安全法》的審議通過，掀開中國大陸數據立法的序幕，「安全」成為數據立法的最關鍵詞彙。不出一年，「企業數據合規」也已進入法制化的軌道，上海市《企業數據合規指引》的公布，為企業的運營迎來了全新的階段，具有相當的指標意義，故過往處於安全灰色地帶的企業徵信產品，如企查查、天眼查等，在未來都將可能面臨企業數據合規的挑戰。建議臺商從事涉及中國大陸的數據處理時，除應效法特斯拉等外國企業，在中國大陸設立數據中心，專門存儲因商業行為所產生的數據，以確保數據安全之外，並應持續關注各地對企業數據合規所陸續發布的法律或政策，以及早應對在數據安全應用上的相關要求。