今天是
9月1日《数据安全法》实施后的企业合规
我国以往对信息数据安全的法律保障主要通过对计算机信息系统安全运行或对商业秘密、著作权益保护加以实现,数据安全法益在相关立法中始终处于附属和次要的地位。在大数据时代,数据安全风险及其防范问题越来越受到国家立法的重视,法律保护的重心也从网络载体、信息内容逐步转到数据本身,从静态的计算机安全到动态的网络运行安全,发生着质的转变。
一、“数据安全”法律概念界定
首先,应当明确数据本身的含义,厘清数据与信息的关系。数据就是对信息的记录,包括电子或者非电子形式,两者可谓是形式与内容的关系。《民法典》第一千零三十四条对个人信息的“可识别性”予以确认,并明确界分了个人信息与个人隐私之间的关系[1]。《数据安全法》中的“数据”,不仅包括电子形式,也包括以其他方式记录的信息。即无论是电子形式,或是纸质形式的数据都需要受到《数据安全法》的管辖,范围相当宽泛。
此外,“重要数据”自《网络安全法》以来备受关注,关于重要数据定义、范围、目录的讨论从未间断。此次《数据安全法》仍未明确重要数据的概念,仅明确重要数据的目录将由国家数据安全工作协调机制统筹协调,并由各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。
二、数据安全法简述
2021年6月10日《数据安全法》正式通过,并将于同年9月1日正式施行。我国数据安全法治框架的帷幕即将拉开,数据安全法治进程正式挂挡上路。
在整个法律体系内,《数据安全法》是以宪法为上位法的全国人大制定的"基本法律"之外的一般法律;在安全法体系内,《数据安全法》与《国家安全法》《网络安全法》属于同一层级并行的法律,分别规范数据安全、主权安全、网络安全。《数据安全法》是数据安全领域的最高法,并不依附于或从属于《国家安全法》或《网络安全法》;在《数据安全法》与规范数据或信息的其他法律的关系上,特别是与《个人信息保护法》的关系上,鉴于《数据安全法》是规范数据安全的专门法律,因此凡是与数据或信息安全有关的规范,均应纳入《数据安全法》中[2]。
可以预期,在《数据安全法》的大框架下,更多规范与法规等配套实施细则将陆续颁布。
(一)《数据安全法》的管辖范围
在《数据安全法》中,管辖覆盖了境内与境外两个层面:
于《网络安全法》,《数据安全法》在境外管辖上实现了突破。
《数据安全法》不会仅在中国境内具有效力,部分境外的数据处理行为同样可以依据《数据安全法》进行规制。比如境内组织或个人开展跨境电信诈骗、网络赌博活动中在境外生成的数据,就可能会依据《数据安全法》第35条要求有关机构配合调取境外的数据。但这可能会需要《数据安全法》承担美国CLOUD法案(《澄清境外合法使用数据法》)的相关职责,未来少不了在国际间的运用。
在《网络安全法》的未来修订中,管辖问题也可能仿照《数据安全法》,将危害中国国家安全、公共利益或者公民、组织合法权益的境外网络活动列入管辖范围。
(二)《数据安全法》中的合规义
从法律的角度,没有救济就没有权利,没有责任就没有义务。因此《数据安全法》第六章法律责任中配备有罚则的义务也可以被看作合规的重点,主要涉及:
除了设定具体罚则的合规项目,有关部门如果发现数据处理活动存在较大安全风险的,还可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。这意味着像《数据安全法》第28条这样要求数据新技术符合社会公德与伦理的原则性要求,也可能成为监管部门关注的对象,尤其是涉及人脸识别、算法推荐这样可能会对人群造成影响的新技术。
三、合规建议
数据安全相关的法律、国家标准和行业标准的体系建立与完善,将指导相关企业建立企业内部数据安全体系,规范管控和技术标准,明确数据全生命周期安全要求,以解决数据安全治理、管理、技术、基础支撑各层次的历史难题。
(一)数据泄漏难以溯源
——企业需持续完善数据安全管控
精细度和技术应用
近年来源于企业内部数据安全管控不足而发生的数据安全事件在社会产生不良影响和舆论,如未经授权查询与贩卖个人信息、未经授权的个人财务信息披露等,严重危害企业的声誉。《数据安全法》中已明确要求企业应加强数据全生命周期的安全建设,所以,如何有效加强全生命周期的安全管控,明确数据收集、存储、使用、加工、传输、提供、公开、销毁等各个阶段的安全要求,以保证数据安全管控体系的持续优化,是企业在当前必须面对的一项重要挑战。
因此,相关企业迫切需要发现自身安全防护的薄弱点,平衡安全地整体投入资源,切中要点地提升纵深安全防御技术能力,量身定制符合自身业务体量的、健壮的数据安防技术体系及架构,从而高效且精准地应用加密、脱敏、防泄漏、追踪溯源等数据安全技术。
(二)安全评估及技术检测流于表面
——企业需提升安全风险检测能力
《数据安全法》中已明确要求企业应对数据安全风险进行评估,那么基于法律强制要求的背景下,企业需重新审视安全评估工作的执行效果及效率问题,考虑如何有效发现数据安全漏洞和管控薄弱点,如何分析并解决根源痛点而不是流于表面。
(三)数据安全能力建设和文化熏陶
——企业需建立数据安全培养机制
目前大多企业的数据安全文化、培训及合规能力培养并不充足:高层对数据安全合规的重视程度仍需提升,专业人员的数据安全能力培养机制尚未完善,全员的数据安全文化氛围尚未成型。《数据安全法》中已明确要求企业应组织开展数据安全教育培训且增强数据安全专业能力。
未来针对不同受众,设计多场景、多层次的安全宣传、培训及能力培养计划,开展既包括管理策略又涉及技术手段的数据安全培训,提升全员的素质能力和数据合规安全意识,是数据安全工作开展的重要支撑。
注释:
[1] 张勇:《数据安全法益的参照系与刑法保护模式》,载于《河南社会科学》2021年第5期,42页
[2] 翟志勇:《数据安全法的体系定位》,载于《苏州大学学报 哲学社会科学版》,2021年第一期,第73页
文章转自首席法务 作者 张宁、李睿
一、“数据安全”法律概念界定
首先,应当明确数据本身的含义,厘清数据与信息的关系。数据就是对信息的记录,包括电子或者非电子形式,两者可谓是形式与内容的关系。《民法典》第一千零三十四条对个人信息的“可识别性”予以确认,并明确界分了个人信息与个人隐私之间的关系[1]。《数据安全法》中的“数据”,不仅包括电子形式,也包括以其他方式记录的信息。即无论是电子形式,或是纸质形式的数据都需要受到《数据安全法》的管辖,范围相当宽泛。
此外,“重要数据”自《网络安全法》以来备受关注,关于重要数据定义、范围、目录的讨论从未间断。此次《数据安全法》仍未明确重要数据的概念,仅明确重要数据的目录将由国家数据安全工作协调机制统筹协调,并由各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。
二、数据安全法简述
2021年6月10日《数据安全法》正式通过,并将于同年9月1日正式施行。我国数据安全法治框架的帷幕即将拉开,数据安全法治进程正式挂挡上路。
在整个法律体系内,《数据安全法》是以宪法为上位法的全国人大制定的"基本法律"之外的一般法律;在安全法体系内,《数据安全法》与《国家安全法》《网络安全法》属于同一层级并行的法律,分别规范数据安全、主权安全、网络安全。《数据安全法》是数据安全领域的最高法,并不依附于或从属于《国家安全法》或《网络安全法》;在《数据安全法》与规范数据或信息的其他法律的关系上,特别是与《个人信息保护法》的关系上,鉴于《数据安全法》是规范数据安全的专门法律,因此凡是与数据或信息安全有关的规范,均应纳入《数据安全法》中[2]。
可以预期,在《数据安全法》的大框架下,更多规范与法规等配套实施细则将陆续颁布。
(一)《数据安全法》的管辖范围
在《数据安全法》中,管辖覆盖了境内与境外两个层面:
于《网络安全法》,《数据安全法》在境外管辖上实现了突破。
《数据安全法》不会仅在中国境内具有效力,部分境外的数据处理行为同样可以依据《数据安全法》进行规制。比如境内组织或个人开展跨境电信诈骗、网络赌博活动中在境外生成的数据,就可能会依据《数据安全法》第35条要求有关机构配合调取境外的数据。但这可能会需要《数据安全法》承担美国CLOUD法案(《澄清境外合法使用数据法》)的相关职责,未来少不了在国际间的运用。
在《网络安全法》的未来修订中,管辖问题也可能仿照《数据安全法》,将危害中国国家安全、公共利益或者公民、组织合法权益的境外网络活动列入管辖范围。
(二)《数据安全法》中的合规义
从法律的角度,没有救济就没有权利,没有责任就没有义务。因此《数据安全法》第六章法律责任中配备有罚则的义务也可以被看作合规的重点,主要涉及:
除了设定具体罚则的合规项目,有关部门如果发现数据处理活动存在较大安全风险的,还可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。这意味着像《数据安全法》第28条这样要求数据新技术符合社会公德与伦理的原则性要求,也可能成为监管部门关注的对象,尤其是涉及人脸识别、算法推荐这样可能会对人群造成影响的新技术。
三、合规建议
数据安全相关的法律、国家标准和行业标准的体系建立与完善,将指导相关企业建立企业内部数据安全体系,规范管控和技术标准,明确数据全生命周期安全要求,以解决数据安全治理、管理、技术、基础支撑各层次的历史难题。
(一)数据泄漏难以溯源
——企业需持续完善数据安全管控
精细度和技术应用
近年来源于企业内部数据安全管控不足而发生的数据安全事件在社会产生不良影响和舆论,如未经授权查询与贩卖个人信息、未经授权的个人财务信息披露等,严重危害企业的声誉。《数据安全法》中已明确要求企业应加强数据全生命周期的安全建设,所以,如何有效加强全生命周期的安全管控,明确数据收集、存储、使用、加工、传输、提供、公开、销毁等各个阶段的安全要求,以保证数据安全管控体系的持续优化,是企业在当前必须面对的一项重要挑战。
因此,相关企业迫切需要发现自身安全防护的薄弱点,平衡安全地整体投入资源,切中要点地提升纵深安全防御技术能力,量身定制符合自身业务体量的、健壮的数据安防技术体系及架构,从而高效且精准地应用加密、脱敏、防泄漏、追踪溯源等数据安全技术。
(二)安全评估及技术检测流于表面
——企业需提升安全风险检测能力
《数据安全法》中已明确要求企业应对数据安全风险进行评估,那么基于法律强制要求的背景下,企业需重新审视安全评估工作的执行效果及效率问题,考虑如何有效发现数据安全漏洞和管控薄弱点,如何分析并解决根源痛点而不是流于表面。
(三)数据安全能力建设和文化熏陶
——企业需建立数据安全培养机制
目前大多企业的数据安全文化、培训及合规能力培养并不充足:高层对数据安全合规的重视程度仍需提升,专业人员的数据安全能力培养机制尚未完善,全员的数据安全文化氛围尚未成型。《数据安全法》中已明确要求企业应组织开展数据安全教育培训且增强数据安全专业能力。
未来针对不同受众,设计多场景、多层次的安全宣传、培训及能力培养计划,开展既包括管理策略又涉及技术手段的数据安全培训,提升全员的素质能力和数据合规安全意识,是数据安全工作开展的重要支撑。
注释:
[1] 张勇:《数据安全法益的参照系与刑法保护模式》,载于《河南社会科学》2021年第5期,42页
[2] 翟志勇:《数据安全法的体系定位》,载于《苏州大学学报 哲学社会科学版》,2021年第一期,第73页
文章转自首席法务 作者 张宁、李睿
