《数据安全法》对金融科技企业数据合规工作的六点影响

《数据安全法》对金融科技企业数据合规工作的六点影响

文/泰和泰律师事务所 陈福中、潘兴琦、刘若愚

引言

2021年6月10日，十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》（下称“《数据安全法》”）。该法是我国数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。

《数据安全法》共七章五十五条，在内容上贯彻落实总体国家安全观，聚焦数据安全领域的风险隐患，明确了国家数据安全工作的统筹协调和监管部门，确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度，并明确了相关主体开展数据活动的相关义务和责任，将对我国数据领域的后续立法、执法、司法活动以及相关企业的生产经营活动产生重要影响。

《数据安全法》第七条规定：“国家保护个人、组织与数据有关的权益。”这是我国首次在法律层面对“数据权益”进行确认，看似简单，实则意义重大。一方面，有了法律上的确权，相关企业开发、利用数据资源将不再有后顾之忧，不用担心投入大量成本所开发的数据产品难以得到法律的保护，这无疑将促进数据的有效利用和数字经济的发展；另一方面，国家保护数据权益的前提是数据和数据产品必须通过合法合规的方式产生和利用，且数据作为国家战略性基础资源，与国家安全息息相关，为了保障数据安全，相关主体在开展数据活动时必须遵守相应的法律规则，否则，不仅不会得到法律的保护，还可能遭到法律的制裁。

作为数据领域的基础性法律，《数据安全法》的影响是全方位的，不限于特定地区或者特定行业。考虑到近几日业内对《数据安全法》整体的、宏观性的解读文章已经有很多，我们自觉已无必要再作此类全景式的解读，给大家增添阅读之累。现仅结合自身执业经验和观察，谈一谈该法对金融科技企业开展数据合规工作可能产生的几点影响，供读者参考。

• 一、从“数据”定义看合规工作的范围

《数据安全法》第三条规定：

“本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”

上述定义对金融科技企业数据合规工作的范围进行了精准的概括。

从数据载体上看，《数据安全法》所保护的数据不限于《网络安全法》所定义的“网络数据”，非电子形式（比如纸质文档）记录的信息也纳入了保护范畴。尽管对于大部分金融科技企业而言，绝大多数数据应该是以网络数据的形式存在的，但根据《数据安全法》的要求，在关注网络数据安全的同时，亦需要对纸质文档等非电子载体上的数据予以重视。

从数据类型上看，《数据安全法》所指向的数据不限于《个人信息保护法（草案）》中所定义的“个人信息”，而是所有类型的信息，不管是否与特定自然人相关。对于金融科技企业而言，经营过程中所获得的交易数据、企业数据等也属于《数据安全法》所定义的数据范畴，需要纳入安全保护范围。不过实践中，由于利用个人信息进行诈骗的案件频