|
2021年6月10日,我國第一部關于數據安全的法律《中華人民共和國數據安全法》公布,并將于2021年9月1日正式施行。《數據安全法》分別從監管體系、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任等方面,對數據處理活動進行規制,有效補充了《網絡安全法》、《民法典》在規范數據處理活動中的不足。《數據安全法》將與《網絡安全法》以及正在制定中的《個人信息保護法》一起,全面構筑中國數據安全領域的法律框架。 未來企業在數據方面的糾紛將有法可依,同時合法、合規將成為企業運營數據業務的新門檻。本文將從互聯網企業的角度解讀《數據安全法》相關重要內容,并針對企業數據合規工作提出對應策略與建議。 一 重點內容解讀(一)對“數據”采取全面范圍的界定,將電子或者非電子形式對信息的記錄統一納入法律規制 《數據安全法》在數據的定義上規定“本法所稱數據,是指任何以電子或者非電子形式對信息的記錄。” 即,除了《網絡安全法》所界定的網絡數據外,其他非電子方式所記錄的信息,如紙質檔案信息等其他形式記載的信息,均屬于數據,同樣具有信息保護價值。 在數據處理的定義上,明確了數據處理活動包括數據的“收集、存儲、使用、加工、傳輸、提供、公開”等。如此,無論是傳統行業的企業,亦或互聯網、大數據、高科技等行業的企業,必然會涉及對信息和數據的收集、存儲和使用,均受本法規制。 (二)構建全業態場景下的數據全監管體系,明確各行業主管部門監管職責 在最高層級方面,中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。 在監管層級方面,明確各行業監管部門均負有數據安全管理職責,確定各部門、各地區分工負責的管理模式。具體為國家網信部門負責統籌網絡數據安全監管,公安機關、國家安全機關在職責范圍內承擔數據安全監管職責,工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。 (三)自上而下的建立數據分類分級保護制度,明確重要數據和核心數據的監管要求 1.數據分類分級保護 《數據安全法》第二十一條規定:“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。 在此之前,《網絡安全法》已經提出要求網絡運營者按照網絡安全等級保護制度的要求,履行信息保護義務,要求通過數據的分類分級,明確不同數據的管理權限,對于不同類型和等級的數據,企業在數據處理、數據出境時將遵循不同的程序要求,履行相應的批準程序。 2.建立重要數據的保護制度 《數據安全法》第二十一條同時規定,“重要數據目錄由國家數據安全工作協調機制統籌協調有關部門制定,形成國家級的重要數據目錄;各地區、各部門將確定本地區、本部門以及相關行業、領域的重要數據具體目錄。” 從規定來看,鑒于不同行業、不同領域對“重要數據”的識別和界定將有所不同,對于“重要數據”的概念將由各部門、各地區通過出臺部門規章、地方法規規定作具體要求。 (四)明確開展數據處理活動的安全保護義務,要求落實等級保護管理工作 《數據安全法》第四章整章規定“數據安全保護義務”,明確開展數據處理活動應遵循的具體要求。
就互聯網企業而言,遵守安全保護義務,落實等級保護管理工作,仍將是企業開展日常數據安全的重要內容。 (五)明確向境外提供數據的監管適用情形,禁止未經批準向境外提供境內個人信息和重要數據信息 在此之前,法律層面僅有《網絡安全法》第37條針對數據跨境流動作出了規定,明確了個人信息和重要數據的本地存儲、出境評估等法律義務。《數據安全法》在此基礎上,明確關鍵信息基礎設施的運營者境內運營中收集和產生的重要數據的出境仍適用《網絡安全法》有關規定,其他數據處理者在境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。 其中,第三十六條規定,“非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”對于互聯網企業來說,涉及個人信息和重要數據的出境,均需要注意履行相關義務。 (六)要求數據中介服務機構的數據交易行為需持牌經營,合規經營 《數據安全法》第三十三條,將數據中介服務商納入規范范疇,明確中介結構應要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。 同時,《數據安全法》第三十四條規定,“提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可”。可以預見,針對專門提供數據處理服務的企業未來在提供數據處理服務上,將根據監管的具體要求,將經過審批,持牌經營。 (七)加大違法處罰力度 《數據安全法》對數據違法行為規定了多項處罰規定,包括對不履行規定保護義務的,危害國家安全和損害合法權益的,向境外提供重要數據的,交易來源不明的數據的,拒不配合數據調取的,未經審批向境外提供組織數據等行為,從單位到個人,均設定了嚴格的罰則,最高可至1000萬元罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。 二 企業合規建議(一)保證數據處理活動的合法合規 《數據安全法》第32條和第51條要求,“任何組織、個人收集數據,應當采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。”“竊取或者以其他非法方式獲取數據,開展數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照有關法律、行政法規的規定處罰。” 《數據安全法》從數據的源頭提出了“合法、正當”的約束性條件。對于互聯網企業,數據的收集,不管是通過用戶主動提供還是自動采集方式收集數據的,應就收集的目的、方式和范圍取得有效授權,并且數據采集手段、方式恰當、滿足必要性原則。除此以外,數據處理活動所包括的 “存儲、使用、加工、傳輸、提供、公開”等均應滿足相關法律法規、監管規定的要求。 (二)建立全流程數據安全管理制度,明確數據安全負責人和管理機構 建立健全包括數據收集、傳輸、存儲、共享在內的全流程數據安全管理制度,采取相應的技術措施,保障合法合規處理數據。互聯網公司應當在網絡安全等級保護制度的基礎上,履行數據安全保護義務,明確數據安全負責人和管理機構,落實數據安全保護責任。 (三)開展內部數據分類分級管理工作,建立相應管理制度 針對重要數據或核心數據建立識別與管理制度,目前在金融、互聯網等行業數據分類分級管理辦法已有相應規范,包括《金融數據安全數據安全分級指南》、《電信和互聯網服務用戶個人信息保護定義及分類》等。其中,中國人民銀行印發的行業標準《金融數據安全數據安全分級指南》明確了金融數據安全分級的規則,中國人民銀行印發的行業標準《金融數據安全數據生命周期安全規范》根據金融數據的安全等級,對不同級別金融數據的采集、傳輸、使用、刪除、銷毀做出了詳細的要求。 互聯網企業可結合其數據特征,參照上述規范,建立針對重要數據或核心數據的識別制度,對于不同類型和等級的數據做不同的處理要求,制定相應管理制度,履行相應審批程序。 (四)落實網絡安全等級保護義務 根據《網絡安全法》對等保等制度的要求,制定具體措施,包括制定內部安全規范、確定網絡安全負責人、采取防范病毒攻擊的技術措施、監測網絡運營、留存網絡日志、采取加密措施等。 同時根據《GB/T 22239-2019信息安全技術網絡安全等級保護基本要求》、《GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南》等“等保2.0”系列標準要求,落實相應系統的等保測評備案工作。 (五)定期開展風險評估,履行風險評估報告義務 定期開展風險評估工作,針對所處理的重要數據的種類、數量、開展數據處理活動的情況,數據安全風險及其應對措施等進行定期風險評估。具體的風險評估方法可以根據未來出臺的《個人信息保護法》項下規定的個人信息安全影響評估的規則,提前部署重要數據風險評估工作及評估制度。 處理重要數據目錄中的數據的,應當按照規定對數據處理活動定期開展風險評估,發生數據安全事件時,應當立即采取處置措施,并留存處置記錄,按照規定及時告知用戶并向有關主管部門報告。 (六)配合公安機關和國家安全機關數據調取 《數據安全法》規定,企業有義務向公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,提供所存儲的數據,需審查:
(七)定期開展數據安全培訓 根據《數據安全法》要求,一方面應定期對數據安全崗位相關人員開展數據安全培訓,培訓內容應涵蓋法律法規、管理要求、安全技術等內容;另一方面定期對全員開展數據安全意識培訓,加強員工數據安全意識與能力。 本文由公眾號“蘇寧金融研究院”原創,作者為蘇寧金融研究院特約研究員惕若。 |
|
|
來自: 昵稱57906854 > 《待分類》
