2021年6月10日���,經第十三屆全國人民代表大會常務委員會第二十九次會議審議�����,通過了《中華人民共和國數據安全法》(簡稱“《數據安全法》“)��,該法將于2021年9月1日起施行�。
《數據安全法》作為我國數據安全規(guī)制的重要法律��,其規(guī)制的是數據處理活動���,通過保障數據安全�,來促進數據開發(fā)利用���,保護個人��、組織的合法權益����,維護國家主權、安全和發(fā)展利益�。《數據安全法》的通過及施行�,將確立數據安全及治理的基本框架。①
《數據安全法》一共分為七章�����,五十五條�����。體系結構包括:總則��、數據安全與發(fā)展��、數據安全制度���、數據安全保護義務、政務數據安全與開放���、法律責任��、附則����。
筆者以為,《數據安全法》應當歸屬于原則性的法律���。從內容上看����,《數據安全法》的諸多內容均屬于原則性���、一般性的規(guī)定�,難以直接適用��。因此��,《數據安全法》出臺后��,必然會伴隨著相關配套法律��、法規(guī)��、規(guī)范性文件的陸續(xù)制定�、出臺。②
但是�,隨著《數據安全法》的出臺��,對于各行業(yè)相關市場主體而言�,前瞻性的布局合規(guī)框架�、合規(guī)管理體系,以及對自身業(yè)務的未來規(guī)劃作出合理的調整��,是當下及未來的一項較為重要的工作�。毫無疑問,金融行業(yè)�,也是一個與數據處理關系十分緊密的行業(yè),中國人民銀行提出的行業(yè)標準《金融數據安全 數據安全分級指南》已于2020年9月23日發(fā)布��,但此標準僅為建議性質��,可作為金融類機構的數據安全分級分類工作的參考�。金融類機構(包括金融機構和地方金融機構等)也應當重視自身經營活動的數據合規(guī),將數據合規(guī)作為自身合規(guī)管理體系的一個重要組成部分�。
筆者觀察到,當前業(yè)內對于數據合規(guī)領域討論較多的�,主要集中在TMT、文化��、娛樂��、互聯網與游戲等領域�,對于金融行業(yè)、金融活動和金融類機構的數據合規(guī)�,卻鮮有關注、討論��。因此�,筆者謹借此文,以《數據安全法》的出臺為契機�,以融資租賃行業(yè)(主要參與主體為融資租賃公司和金融租賃公司)為主要視角,就《數據安全法》等法律�、法規(guī)的內容,提出一些理解�、看法和建議,供各位同行參考��、批評�。
02《數據安全法》下的若干重要定義
2.1《數據安全法》下的“數據”
《數據安全法》第三條對數據定義,是“任何以電子或者其他方式對信息的記錄”��。相比2017年生效的《網絡安全法》下的“網絡數據”之定義��,③不難發(fā)現�,《數據安全法》下的數據概念,是更為廣泛的��。
不僅如此�,《民法典》雖然并未給數據做出定義��,但是從《民法典》的體例上以及《民法典》第一百二十七條④的規(guī)定來看�,《民法典》將數據�,與網絡虛擬財產并列,而與二者相對的�,是其他財產(物權、債權�、股權、知識產權等)��,因此��,《民法典》似乎有將“數據”的定義��,限制在電子信息之范圍�。
因此,不難看到�,相較于其他法律的關于數據的定義,《數據安全法》的定義更為廣泛��。筆者以為�,《數據安全法》將電子及其他記錄信息的形式所呈現的數據,均納入規(guī)制��,是具有積極意義的:
首先�,正如前文所述��,有利于將各種形式的數據,統(tǒng)一納入《數據安全法》的規(guī)制之內��,一來可以“填補”可能產生的法律漏洞�,二來也可以最大程度地利于今后國務院有關各部委及其他有權機關制定有關下位法及規(guī)范性文件時,均可以將《數據安全法》作為法律淵源��、上位法��,并統(tǒng)一在有關下位法及規(guī)范性文件中采納《數據安全法》關于數據的定義�。
其次,科學技術日新月異�。隨著科學技術的發(fā)展,很難說未來可以大規(guī)模儲存數據的載體或者方式�,將僅局限在“電子化”或“網絡數據”。
最后��,以紙質文件保存在大量信息�,現實生活中仍然具有廣泛的使用,正如業(yè)內人士所言�,同樣具有個人信息保護價值、經濟價值�、社會及國家安全價值,將其統(tǒng)一納入數據安全法的規(guī)制�,有利于法律執(zhí)行的統(tǒng)一性��,也符合數字化時代的信息安全要求�。⑤這一點在金融行業(yè)��,尤為關鍵:比如��,實務中��,商業(yè)銀行在辦理開立信用卡�、銀行賬戶過程中,有大量的信息��,存在以當事人手寫書面文件��、表格的方式進行填寫��;又比如��,金融交易合同中��,當事人的信息�、財產清單等,往往可能也可能是紙質書面版的��,甚至,交易合同中的當事人或其授權代表所簽署的每一個簽名�、按下的每一個手印或印章,都應當屬于《數據安全法》下的“數據”�。
2.2 《數據安全法》下的“數據處理”
《數據安全法》第三條,將數據處理規(guī)定為包括數據的收集�、存儲、使用�、加工��、傳輸��、提供��、公開等�。結合前述關于《數據安全法》下數據的定義,《數據安全法》對于數據處理的定義�,也是相當廣泛的,通過“列舉式+兜底條款”的方式��,對數據處理作出了定義�。
03 數據、數據處理與融資租賃行業(yè)
3.1 融資租賃行業(yè)與數據有較為緊密的聯系
筆者以為��,《數據安全法》下的數據�、數據處理,與金融類機構的經營活動,存在較為密切的聯系�,其中,就自然包含了融資租賃行業(yè)��,其主要體現在:
一.作為金融類機構組成本部分的融資租賃公司�、金融租賃公司(以下統(tǒng)稱“出租人”或“租賃公司”),出于保證自身債權及其他權益等考量�,往往在交易過程中,要求對方當事人提供身份證明�、資信證明、收入證明��、財產證明�、財務會計文件等。這些信息�、材料等,筆者以為��,均屬于《數據安全法》下的數據��。實務中��,這些數據所蘊含的內容可能對有關當事人意義重大�。如果發(fā)生泄漏等數據安全事件,將嚴重損害其經濟利益�,甚至可能危及其人身安全。
雖然實務中交易各方可能存在有保密協議之類的交易安排,但是�,保密協議也僅是一種合同。一方若違反保密協議的�,另一方也僅能通過合同糾紛所引起的爭議解決方式(仲裁、訴訟等)來取得救濟�。實務中,這類案件中往往又會存在損失難以證明等問題��,從而導致其實現可謂困難重重��,即使有救濟��,也是事后的�。但是數據的泄漏��,對于被侵害人而言��,泄漏的影響可能是相當大��,足以影響其正常生活�、名譽,甚至是人身安全��。
在《數據安全法》出臺后��,通過對數據處理者(即金融類機構)的規(guī)制,在經濟法的層面��,從制度�、機制、“根本”上�,避免或減少數據泄漏或者其他數據安全事件的發(fā)生,在公法層面�,通過國家監(jiān)管機構的直接監(jiān)督與處罰,從執(zhí)法上威懾數據處理者進行內部數據安全體系建設�。⑥
二.租賃物與數據之間的關系。融資租賃合同是兼具“融物”與“融資”雙重屬性的金融活動�。租賃物本身具有擔保租金債權之功能。我國民商法學界的通說��,以及最高人民法院出臺的《最高人民法院關于適用<中華人民共和國民法典>有關擔保制度的解釋》(以下簡稱《擔保制度司法解釋》)的有關規(guī)定��,也將融資租賃合同視同為《民法典》下之“其他具有擔保功能的合同”�。融資租賃法律關系中,出租人對租賃物的所有權��,被視為是一種“功能性擔�!薄ⅰ肮δ芤饬x上的所有權”(而非“歸屬意義上的所有權”)�。
因此,對于出租人而言��,為了更好地保障其租金債權,其在資產管理階段的一項重要工作��,便是對租賃物的管理��。實務中��,某一筆融資租賃業(yè)務�、資產的租賃物,若屬于工程機械設備�、車輛、船舶��、航空器��、大型通用工業(yè)生產設備等的��,則出租人往往會采用一些手段�,來(遠程)控制�、監(jiān)視、觀測租賃物的使用��、完好情況等(以下簡稱“租賃物控制與監(jiān)測手段”)�,主要有以下幾種情形:
一.在租賃物中加裝GPS定位裝置、系統(tǒng)��。在科技發(fā)達的現代,加裝GPS定位裝置��、系統(tǒng)��,其成本已經相當低廉��。因此�,目前這種手段,已經廣泛存在于設備��、動產融資租賃��、租賃活動中��。⑦
二.與上述第(一)項相關的��,在設備�、動產融資租賃、租賃活動中��,出租人一般也會在加裝GPS定位裝置��、系統(tǒng)的同時��,在租賃物上加裝用于遠程控制租賃物的“遠程控制系統(tǒng)”�。
三.在租賃物中植入芯片��,以實時監(jiān)測租賃物的使用情況�、運行范圍��、完好(損耗)情況�,這一點,在小型設備作為租賃物的融資租賃�、租賃活動中,較為常見��。
基于上述情形�、手段,均可能產生大量《數據安全法》下的數據及數據處理活動�,其所蘊含的內容、信息��,可能可以形成相關當事人的數據圖像以及其他重要信息�。一旦發(fā)生泄漏或者數據安全事件,將對相關當事人造成嚴重的后果�。
三.另外值得關注的是��,在租賃合同的履行過程中��,同樣可能產生前文所述之數據�、數據處理活動��。根據銀保監(jiān)《融資租賃公司監(jiān)督管理暫行辦法》(以下簡稱《暫行辦法》)第五條的規(guī)定�,融資租賃公司可以從事租賃業(yè)務�。租賃業(yè)務屬于融資租賃公司的經營范圍。在租賃合同中�,出租人對于租賃物的管理,就更為關鍵�,因為,租賃合同與融資租賃合同不同�,融資租賃合同兼具“融物”與“融資”雙重屬性,因此實務中�,往往還會存在金融業(yè)務中常見的擔保、增信措施��。而租賃合同僅具有“融物”屬性�,一般很少存在擔保、增信措施��。
3.2 其他數據監(jiān)管�、保護、安全類法律法規(guī)(草案)對融資租賃行業(yè)的影響
(一)有關法律法規(guī)對汽車融資租賃(及汽車租賃)行業(yè)相關的影響
5月12日�,國家互聯網信息辦公室發(fā)布了《汽車數據安全管理若干規(guī)定(征求意見稿)》(以下簡稱《汽車數據意見稿》)�!镀嚁祿庖姼濉返牡谌龡l規(guī)定:“本規(guī)定所稱運營者指汽車設計、制造��、服務企業(yè)或者機構,包括汽車制造商��、部件和軟件提供者�、經銷商、維修機構��、網約車企業(yè)��、保險公司等�。本規(guī)定所稱個人信息包括車主、駕駛人��、乘車人��、行人等的個人信息��,以及能夠推斷個人身份��、描述個人行為等的各種信息���!
筆者以為,《汽車數據意見稿》上述規(guī)定�,可能對汽車融資租賃行業(yè)、汽車租賃行業(yè)產生影響��,具體如下:
一.《汽車數據意見稿》規(guī)定的運營者的范圍��,可能包括�,也應當包括融資租賃公司、金融租賃公司和汽車租賃公司��。
《汽車數據意見稿》規(guī)定的運營者的范圍不僅包括汽車制造商��、經銷商等傳統(tǒng)意義上汽車行業(yè)中的主體�,也囊括了服務型企業(yè)或機構,如維修商��、網約車企業(yè)��、保險公司等�。然而,前述關于運營者的規(guī)定中的“服務型企業(yè)或機構”以及“等”��,是否包含汽車租賃公司�、融資租賃公司、金融租賃公司��、汽車金融公司�,《汽車數據意見稿》并未予以明確。
筆者以為�!镀嚁祿庖姼濉分羞\營者的范圍,應當包括融資租賃公司�、金融租賃公司和汽車租賃公司。因為��,實務中��,汽車的銷售模式是多種多樣的��,其中就包括通過租賃公司開展“以租代售”的方式進行�。相較于傳統(tǒng)的買賣行為,通過租賃公司進行“以租代售”�,對于汽車生產商(以下簡稱“廠商”)而言,具有多項益處:財務報表優(yōu)化�、資產金融化及增加金融收益,統(tǒng)一資產管理��,以及便于通過租賃資產開展融資等��。這也是諸多廠商紛紛設立融資租賃公司的原因之一�。
第二,租賃物控制與監(jiān)測手段所產生的數據��,符合《汽車數據意見稿》中關于個人信息的定義�。
從租賃物的角度來說�,以汽車為租賃物開展融資租賃業(yè)務��、租賃業(yè)務��,也是我國融資租賃行業(yè)�、租賃行業(yè)中��,較為常見的��、資產質量較高的一類業(yè)務�。該類業(yè)務中,作為租賃物的汽車��,往往對于租賃債權的保護力度��,是較強的�、較為有利的。因為��,汽車往往具有較強的變現能力�,發(fā)生糾紛后,通過對汽車的處置��,租賃公司能夠在較大程度上彌補租金債權的損失��。
正如前文所述,汽車租賃公司�、融資租賃公司、金融租賃公司為了保障租金債權和加強對汽車的管理等目的��,通常會采取前述之租賃物控制與監(jiān)測手段��。租賃物控制與監(jiān)測手段的運用過程中�,會采集、處理�、存儲、回傳��、顯示數據�,并可能具有自動控制設備的功能。如承租人出現違反合同約定的行為��,出租人依約有權采取停機�、鎖機等措施。
通過運用租賃物控制與監(jiān)測手段��,出租人往往可以直接或者間接地通過相關系統(tǒng)所反映出的數據�,而知曉租賃物的各種情況,進而對承租人日常經營�、生活軌跡、規(guī)律��、方式,取得掌握��。這雖然是依約進行的��,是征得承租人同意的��,也是有協議文本所調整的�,但是�,一旦基于租賃物控制與監(jiān)測手段所形成的數據發(fā)生泄漏等安全事件,可能將對承租人的經營��、生產��、生活�,造成嚴重的損害。有時�,這種損害或不良影響,可能是無法用金錢彌補的��、無法挽回的��,無法消除的��。須知��,網絡暴力足以致命或者足以導致“社會性死亡”,相關的悲劇�,不勝枚舉。因而�,對基于租賃物控制與監(jiān)測手段或者其他業(yè)務開展活動中所取得的數據,均應當受到相應的監(jiān)管規(guī)制�,筆者期待《汽車數據意見稿》正式稿的相關內容對此問題能夠予以進一步明確。
(二)《金融數據安全 數據安全分級指南》對融資租賃的影響
《金融數據安全 數據安全分級指南》(以下簡稱“此標準”)作為中國人民銀行提出的行業(yè)標準��,其中提供的對數據安全的定級目標�、原則及范圍是值得所有行業(yè)在進行數據安全工作時學習的,也是目前針對數據分級分類工作最完善的指導性文件�。
此標準本標準適用于金融業(yè)機構開展電子數據安全分級工作,并為第三方評估機構等單位開展數據安全檢 查與評估工作提供參考�。值得注意的是,此標準中��,沒有使用“金融機構”的概念�,而是選擇了“金融業(yè)機構”這一概念。此標準雖然沒有對金融業(yè)機構本身作出定義��,但是�,從文義解釋上來說,“金融業(yè)機構”的內涵應當大于金融機構�,筆者理解,此標準中的金融業(yè)機構�,同時包含了作為金融機構的金融租賃公司和作為地方金融機構的融資租賃公司�。
此標準對于金融租賃公司和融資租賃公司的數據安全工作將會是一個參考性的��、內部指引性的規(guī)范性文件��。根據此標準�,金融業(yè)機構應當進行數據資產梳理、數據安全定級準備�、數據安全級別判定、數據安全級別審核以及數據安全級別批準�,在內部建立起一個完善的數據分級分類保護制度,對不同種類(尤其是個人客戶業(yè)務)融資租賃業(yè)務的數據進行有效的分級分類保護�,將對融資租賃行業(yè)起到一個防御性的作用。
(三)法律��、法規(guī)及規(guī)范性文件的交叉��、多重規(guī)制
正如本文2.1處所述�,不同法律�、法規(guī)對于數據、信息等概念��,具有不同的定義��。因而��,某個市場主體的某一個行為,可能同時受到幾部不同的法律�、法規(guī)、規(guī)范性文件的規(guī)制��。筆者以為��,這是數據法�、網絡法領域的一個特征。
上文所述之產生于租賃物控制與監(jiān)測手段的數據��,就是一個很好的例子�。實際上,可能既符合《汽車數據意見稿》中關于個人信息的定義��,也同時符合《數據安全法》中數據的定義�、《中華人民共和國個人信息保護法(草案二次審議稿)》(以下簡稱《個保法(二審稿)》)中關于個人信息定義⑧、中國人民銀行《征信業(yè)務管理辦法(征求意見稿)》中關于信用信息的定義⑨�、《網絡安全法》中的網絡數據與個人信息的定義⑩。
因此��,筆者以為��,數據合規(guī)已經成為融資租賃行業(yè)中各個市場主體應當關注的內容�,并將其作為自身合規(guī)管理體系中的一部分。在可預見的未來��,這一數據合規(guī)所涉及的合規(guī)義務,將隨著相關法律�、法規(guī)及規(guī)范性的健全,而愈發(fā)明確�、細致。
04 對融資租賃行業(yè)的一些啟示�、建議
4.1 個人客戶業(yè)務——愈發(fā)沉重的合規(guī)義務
可以看到,加強對個人信息的保護��,是網絡安全+數據合規(guī)治理這個龐雜法律體系的重要的立法目的之一�。顯而易見的是,若租賃公司經營著規(guī)模�、數量龐大的個人客戶(自然人承租人)業(yè)務,如:手機��、汽車等��。則其相應控制的數據��,以及數據處理行為(這些數據�,以及數據處理行為�,可能被多部法律、法規(guī)和規(guī)范性文件所規(guī)制)�,也必然會有巨大的體量、數量���?上攵�,租賃公司在網絡安全+數據合規(guī)治理法律體系下的法律責任��、合規(guī)義務��,必然會是多重的��、交叉的��、沉重的��。
然而��,根據筆者所掌握得到的情況來看��,目前我國具備比較完備的業(yè)務系統(tǒng)�、數據存儲設備、系統(tǒng)的租賃公司��,數量是相當少的��,往往都是資金�、股東背景雄厚的國央企體系內的租賃公司。大部分租賃公司,并不具有承擔數據合規(guī)�、數據保護等責任的能力。
因此�,對于不具有數據合規(guī)、數據保護等能力的租賃公司而言��,開展個人客戶業(yè)務�,建議審慎地選擇業(yè)務、客戶類型��,避免或減少��,未來來自網絡安全+數據合規(guī)治理方面�,愈發(fā)詳細、明確的合規(guī)義務�。同時,減少自身經營活動可能面臨的合規(guī)風險�。
4.2及時關注網絡安全+數據合規(guī)領域立法進展
《數據安全法》只是網絡安全+數據合規(guī)領域立法的重要規(guī)則之一,也是一個原則性的法律��。其他規(guī)則也會隨之出臺�、修訂。⑪
因此�,密切關注關聯立法的動態(tài)�,構建針對新法規(guī)有兼容性、具有彈性合規(guī)體系至關重要。這也是企業(yè)合規(guī)管理體系建設中��,關于合規(guī)義務來源識別的重要工作之一��。
4.3建立數據合規(guī)觀念�、將數據合規(guī)作為自身合規(guī)管理體系建設工作中的重要一環(huán)
租賃公司通過樹立全面數據合規(guī)理念,從治理層——管理層——各部門——全體員工��,全面地構建自身數據治理的宏觀策略�。同時,根據有關法律��、法規(guī)及規(guī)范性文件的規(guī)定�,建立、更新租賃公司的有關制度��、業(yè)務流程與場景�。以公司內部制度為基礎,建立健全流程管理�、崗位職責管理、激勵約束機制�,數據安全事件發(fā)生應急管理機制。同時�,根據自身情況,成立專門的數據安全管理機構�,以司專員專管��,按照法律要求定期進行數據安全人員培訓�,從而達到數據合規(guī)治理的目標�。
