2021年6月10日,经第十三届全国人民代表大会常务委员会第二十九次会议审议,通过了《中华人民共和国数据安全法》(简称“《数据安全法》“),该法将于2021年9月1日起施行。

《数据安全法》作为我国数据安全规制的重要法律,其规制的是数据处理活动,通过保障数据安全,来促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。《数据安全法》的通过及施行,将确立数据安全及治理的基本框架。①

《数据安全法》一共分为七章,五十五条。体系结构包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。

笔者以为,《数据安全法》应当归属于原则性的法律。从内容上看,《数据安全法》的诸多内容均属于原则性、一般性的规定,难以直接适用。因此,《数据安全法》出台后,必然会伴随着相关配套法律、法规、规范性文件的陆续制定、出台。②

但是,随着《数据安全法》的出台,对于各行业相关市场主体而言,前瞻性的布局合规框架、合规管理体系,以及对自身业务的未来规划作出合理的调整,是当下及未来的一项较为重要的工作。毫无疑问,金融行业,也是一个与数据处理关系十分紧密的行业,中国人民银行提出的行业标准《金融数据安全 数据安全分级指南》已于2020年9月23日发布,但此标准仅为建议性质,可作为金融类机构的数据安全分级分类工作的参考。金融类机构(包括金融机构和地方金融机构等)也应当重视自身经营活动的数据合规,将数据合规作为自身合规管理体系的一个重要组成部分。

笔者观察到,当前业内对于数据合规领域讨论较多的,主要集中在TMT、文化、娱乐、互联网与游戏等领域,对于金融行业、金融活动和金融类机构的数据合规,却鲜有关注、讨论。因此,笔者谨借此文,以《数据安全法》的出台为契机,以融资租赁行业(主要参与主体为融资租赁公司和金融租赁公司)为主要视角,就《数据安全法》等法律、法规的内容,提出一些理解、看法和建议,供各位同行参考、批评。

02《数据安全法》下的若干重要定义

2.1《数据安全法》下的“数据”

《数据安全法》第三条对数据定义,是“任何以电子或者其他方式对信息的记录”。相比2017年生效的《网络安全法》下的“网络数据”之定义,③不难发现,《数据安全法》下的数据概念,是更为广泛的。

不仅如此,《民法典》虽然并未给数据做出定义,但是从《民法典》的体例上以及《民法典》第一百二十七条④的规定来看,《民法典》将数据,与网络虚拟财产并列,而与二者相对的,是其他财产(物权、债权、股权、知识产权等),因此,《民法典》似乎有将“数据”的定义,限制在电子信息之范围。

因此,不难看到,相较于其他法律的关于数据的定义,《数据安全法》的定义更为广泛。笔者以为,《数据安全法》将电子及其他记录信息的形式所呈现的数据,均纳入规制,是具有积极意义的:

首先,正如前文所述,有利于将各种形式的数据,统一纳入《数据安全法》的规制之内,一来可以“填补”可能产生的法律漏洞,二来也可以最大程度地利于今后国务院有关各部委及其他有权机关制定有关下位法及规范性文件时,均可以将《数据安全法》作为法律渊源、上位法,并统一在有关下位法及规范性文件中采纳《数据安全法》关于数据的定义。

其次,科学技术日新月异。随着科学技术的发展,很难说未来可以大规模储存数据的载体或者方式,将仅局限在“电子化”或“网络数据”。

最后,以纸质文件保存在大量信息,现实生活中仍然具有广泛的使用,正如业内人士所言,同样具有个人信息保护价值、经济价值、社会及国家安全价值,将其统一纳入数据安全法的规制,有利于法律执行的统一性,也符合数字化时代的信息安全要求。⑤这一点在金融行业,尤为关键:比如,实务中,商业银行在办理开立信用卡、银行账户过程中,有大量的信息,存在以当事人手写书面文件、表格的方式进行填写;又比如,金融交易合同中,当事人的信息、财产清单等,往往可能也可能是纸质书面版的,甚至,交易合同中的当事人或其授权代表所签署的每一个签名、按下的每一个手印或印章,都应当属于《数据安全法》下的“数据”。
2.2 《数据安全法》下的“数据处理”

《数据安全法》第三条,将数据处理规定为包括数据的收集、存储、使用、加工、传输、提供、公开等。结合前述关于《数据安全法》下数据的定义,《数据安全法》对于数据处理的定义,也是相当广泛的,通过“列举式+兜底条款”的方式,对数据处理作出了定义。
03 数据、数据处理与融资租赁行业

3.1 融资租赁行业与数据有较为紧密的联系

笔者以为,《数据安全法》下的数据、数据处理,与金融类机构的经营活动,存在较为密切的联系,其中,就自然包含了融资租赁行业,其主要体现在:

一.作为金融类机构组成本部分的融资租赁公司、金融租赁公司(以下统称“出租人”或“租赁公司”),出于保证自身债权及其他权益等考量,往往在交易过程中,要求对方当事人提供身份证明、资信证明、收入证明、财产证明、财务会计文件等。这些信息、材料等,笔者以为,均属于《数据安全法》下的数据。实务中,这些数据所蕴含的内容可能对有关当事人意义重大。如果发生泄漏等数据安全事件,将严重损害其经济利益,甚至可能危及其人身安全。

虽然实务中交易各方可能存在有保密协议之类的交易安排,但是,保密协议也仅是一种合同。一方若违反保密协议的,另一方也仅能通过合同纠纷所引起的争议解决方式(仲裁、诉讼等)来取得救济。实务中,这类案件中往往又会存在损失难以证明等问题,从而导致其实现可谓困难重重,即使有救济,也是事后的。但是数据的泄漏,对于被侵害人而言,泄漏的影响可能是相当大,足以影响其正常生活、名誉,甚至是人身安全。

在《数据安全法》出台后,通过对数据处理者(即金融类机构)的规制,在经济法的层面,从制度、机制、“根本”上,避免或减少数据泄漏或者其他数据安全事件的发生,在公法层面,通过国家监管机构的直接监督与处罚,从执法上威慑数据处理者进行内部数据安全体系建设。⑥

二.租赁物与数据之间的关系。融资租赁合同是兼具“融物”与“融资”双重属性的金融活动。租赁物本身具有担保租金债权之功能。我国民商法学界的通说,以及最高人民法院出台的《最高人民法院关于适用<中华人民共和国民法典>有关担保制度的解释》(以下简称《担保制度司法解释》)的有关规定,也将融资租赁合同视同为《民法典》下之“其他具有担保功能的合同”。融资租赁法律关系中,出租人对租赁物的所有权,被视为是一种“功能性担保”、“功能意义上的所有权”(而非“归属意义上的所有权”)。

因此,对于出租人而言,为了更好地保障其租金债权,其在资产管理阶段的一项重要工作,便是对租赁物的管理。实务中,某一笔融资租赁业务、资产的租赁物,若属于工程机械设备、车辆、船舶、航空器、大型通用工业生产设备等的,则出租人往往会采用一些手段,来(远程)控制、监视、观测租赁物的使用、完好情况等(以下简称“租赁物控制与监测手段”),主要有以下几种情形:

一.在租赁物中加装GPS定位装置、系统。在科技发达的现代,加装GPS定位装置、系统,其成本已经相当低廉。因此,目前这种手段,已经广泛存在于设备、动产融资租赁、租赁活动中。⑦

二.与上述第(一)项相关的,在设备、动产融资租赁、租赁活动中,出租人一般也会在加装GPS定位装置、系统的同时,在租赁物上加装用于远程控制租赁物的“远程控制系统”。

三.在租赁物中植入芯片,以实时监测租赁物的使用情况、运行范围、完好(损耗)情况,这一点,在小型设备作为租赁物的融资租赁、租赁活动中,较为常见。

基于上述情形、手段,均可能产生大量《数据安全法》下的数据及数据处理活动,其所蕴含的内容、信息,可能可以形成相关当事人的数据图像以及其他重要信息。一旦发生泄漏或者数据安全事件,将对相关当事人造成严重的后果。

三.另外值得关注的是,在租赁合同的履行过程中,同样可能产生前文所述之数据、数据处理活动。根据银保监《融资租赁公司监督管理暂行办法》(以下简称《暂行办法》)第五条的规定,融资租赁公司可以从事租赁业务。租赁业务属于融资租赁公司的经营范围。在租赁合同中,出租人对于租赁物的管理,就更为关键,因为,租赁合同与融资租赁合同不同,融资租赁合同兼具“融物”与“融资”双重属性,因此实务中,往往还会存在金融业务中常见的担保、增信措施。而租赁合同仅具有“融物”属性,一般很少存在担保、增信措施。

3.2 其他数据监管、保护、安全类法律法规(草案)对融资租赁行业的影响

(一)有关法律法规对汽车融资租赁(及汽车租赁)行业相关的影响

5月12日,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》(以下简称《汽车数据意见稿》)。《汽车数据意见稿》的第三条规定:“本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。”

笔者以为,《汽车数据意见稿》上述规定,可能对汽车融资租赁行业、汽车租赁行业产生影响,具体如下:

一.《汽车数据意见稿》规定的运营者的范围,可能包括,也应当包括融资租赁公司、金融租赁公司和汽车租赁公司。

《汽车数据意见稿》规定的运营者的范围不仅包括汽车制造商、经销商等传统意义上汽车行业中的主体,也囊括了服务型企业或机构,如维修商、网约车企业、保险公司等。然而,前述关于运营者的规定中的“服务型企业或机构”以及“等”,是否包含汽车租赁公司、融资租赁公司、金融租赁公司、汽车金融公司,《汽车数据意见稿》并未予以明确。

笔者以为。《汽车数据意见稿》中运营者的范围,应当包括融资租赁公司、金融租赁公司和汽车租赁公司。因为,实务中,汽车的销售模式是多种多样的,其中就包括通过租赁公司开展“以租代售”的方式进行。相较于传统的买卖行为,通过租赁公司进行“以租代售”,对于汽车生产商(以下简称“厂商”)而言,具有多项益处:财务报表优化、资产金融化及增加金融收益,统一资产管理,以及便于通过租赁资产开展融资等。这也是诸多厂商纷纷设立融资租赁公司的原因之一。

第二,租赁物控制与监测手段所产生的数据,符合《汽车数据意见稿》中关于个人信息的定义。

从租赁物的角度来说,以汽车为租赁物开展融资租赁业务、租赁业务,也是我国融资租赁行业、租赁行业中,较为常见的、资产质量较高的一类业务。该类业务中,作为租赁物的汽车,往往对于租赁债权的保护力度,是较强的、较为有利的。因为,汽车往往具有较强的变现能力,发生纠纷后,通过对汽车的处置,租赁公司能够在较大程度上弥补租金债权的损失。

正如前文所述,汽车租赁公司、融资租赁公司、金融租赁公司为了保障租金债权和加强对汽车的管理等目的,通常会采取前述之租赁物控制与监测手段。租赁物控制与监测手段的运用过程中,会采集、处理、存储、回传、显示数据,并可能具有自动控制设备的功能。如承租人出现违反合同约定的行为,出租人依约有权采取停机、锁机等措施。

通过运用租赁物控制与监测手段,出租人往往可以直接或者间接地通过相关系统所反映出的数据,而知晓租赁物的各种情况,进而对承租人日常经营、生活轨迹、规律、方式,取得掌握。这虽然是依约进行的,是征得承租人同意的,也是有协议文本所调整的,但是,一旦基于租赁物控制与监测手段所形成的数据发生泄漏等安全事件,可能将对承租人的经营、生产、生活,造成严重的损害。有时,这种损害或不良影响,可能是无法用金钱弥补的、无法挽回的,无法消除的。须知,网络暴力足以致命或者足以导致“社会性死亡”,相关的悲剧,不胜枚举。因而,对基于租赁物控制与监测手段或者其他业务开展活动中所取得的数据,均应当受到相应的监管规制,笔者期待《汽车数据意见稿》正式稿的相关内容对此问题能够予以进一步明确。

(二)《金融数据安全 数据安全分级指南》对融资租赁的影响

《金融数据安全 数据安全分级指南》(以下简称“此标准”)作为中国人民银行提出的行业标准,其中提供的对数据安全的定级目标、原则及范围是值得所有行业在进行数据安全工作时学习的,也是目前针对数据分级分类工作最完善的指导性文件。

此标准本标准适用于金融业机构开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检 查与评估工作提供参考。值得注意的是,此标准中,没有使用“金融机构”的概念,而是选择了“金融业机构”这一概念。此标准虽然没有对金融业机构本身作出定义,但是,从文义解释上来说,“金融业机构”的内涵应当大于金融机构,笔者理解,此标准中的金融业机构,同时包含了作为金融机构的金融租赁公司和作为地方金融机构的融资租赁公司。

此标准对于金融租赁公司和融资租赁公司的数据安全工作将会是一个参考性的、内部指引性的规范性文件。根据此标准,金融业机构应当进行数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核以及数据安全级别批准,在内部建立起一个完善的数据分级分类保护制度,对不同种类(尤其是个人客户业务)融资租赁业务的数据进行有效的分级分类保护,将对融资租赁行业起到一个防御性的作用。
(三)法律、法规及规范性文件的交叉、多重规制

正如本文2.1处所述,不同法律、法规对于数据、信息等概念,具有不同的定义。因而,某个市场主体的某一个行为,可能同时受到几部不同的法律、法规、规范性文件的规制。笔者以为,这是数据法、网络法领域的一个特征。

上文所述之产生于租赁物控制与监测手段的数据,就是一个很好的例子。实际上,可能既符合《汽车数据意见稿》中关于个人信息的定义,也同时符合《数据安全法》中数据的定义、《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称《个保法(二审稿)》)中关于个人信息定义⑧、中国人民银行《征信业务管理办法(征求意见稿)》中关于信用信息的定义⑨、《网络安全法》中的网络数据与个人信息的定义⑩。

因此,笔者以为,数据合规已经成为融资租赁行业中各个市场主体应当关注的内容,并将其作为自身合规管理体系中的一部分。在可预见的未来,这一数据合规所涉及的合规义务,将随着相关法律、法规及规范性的健全,而愈发明确、细致。

04 对融资租赁行业的一些启示、建议

4.1 个人客户业务——愈发沉重的合规义务

可以看到,加强对个人信息的保护,是网络安全+数据合规治理这个庞杂法律体系的重要的立法目的之一。显而易见的是,若租赁公司经营着规模、数量庞大的个人客户(自然人承租人)业务,如:手机、汽车等。则其相应控制的数据,以及数据处理行为(这些数据,以及数据处理行为,可能被多部法律、法规和规范性文件所规制),也必然会有巨大的体量、数量。可想而知,租赁公司在网络安全+数据合规治理法律体系下的法律责任、合规义务,必然会是多重的、交叉的、沉重的。

然而,根据笔者所掌握得到的情况来看,目前我国具备比较完备的业务系统、数据存储设备、系统的租赁公司,数量是相当少的,往往都是资金、股东背景雄厚的国央企体系内的租赁公司。大部分租赁公司,并不具有承担数据合规、数据保护等责任的能力。

因此,对于不具有数据合规、数据保护等能力的租赁公司而言,开展个人客户业务,建议审慎地选择业务、客户类型,避免或减少,未来来自网络安全+数据合规治理方面,愈发详细、明确的合规义务。同时,减少自身经营活动可能面临的合规风险。

4.2及时关注网络安全+数据合规领域立法进展

《数据安全法》只是网络安全+数据合规领域立法的重要规则之一,也是一个原则性的法律。其他规则也会随之出台、修订。⑪

因此,密切关注关联立法的动态,构建针对新法规有兼容性、具有弹性合规体系至关重要。这也是企业合规管理体系建设中,关于合规义务来源识别的重要工作之一。

4.3建立数据合规观念、将数据合规作为自身合规管理体系建设工作中的重要一环

租赁公司通过树立全面数据合规理念,从治理层——管理层——各部门——全体员工,全面地构建自身数据治理的宏观策略。同时,根据有关法律、法规及规范性文件的规定,建立、更新租赁公司的有关制度、业务流程与场景。以公司内部制度为基础,建立健全流程管理、岗位职责管理、激励约束机制,数据安全事件发生应急管理机制。同时,根据自身情况,成立专门的数据安全管理机构,以司专员专管,按照法律要求定期进行数据安全人员培训,从而达到数据合规治理的目标。