NEWS

《数据安全法》解读与企业合规建议. 2021-06-18


 

2021年6月10日,经第十三届全国人民代表大会常务委员会第二十九次会议审议,通过了《中华人民共和国数据安全法》(简称《数据安全法》),该法将于2021年9月1日起施行。

 

 

一、概述

 

作为我国网络空间规制的重要法律,《数据安全法》规制的是数据处理活动,通过保障数据安全,来促进数据开发利用,保护个人、组织的合法权益,维护国家主-权、安全和发展利益。

 

《数据安全法》一共分为七章,五十五条。体系结构包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。

 

其中第二章「数据安全与发展」,对于数据安全与发展的关系、大数据战略、数据基础设施建设、数据创新应用、数字经济发展规划、公共服务智能化、数据开发利用的商业创新、数据安全产业体系建设、数据安全标准体系建设、数据安全检测评估与认证服务的发展、数据交易管理制度建设、培育数据交易市场等宏观制度建设的方向做出了规定。

 

而第三章、第四章、第五章,则从具体的法律技术性条款出发,对于数据安全制度、数据安全保护义务、政务数据安全与开放进行了规定。

 

最后第六章,则再次强调核心敏感数据保护,以及加大数据安全违法行为的打击力度。

 

本文主要基于上述几个章节进行归纳和解读,特别是在产品数据纠纷、大数据杀熟、消费者隐私泄露、小程序信息收集等全渠道数据合规等问题日渐频发的当下,通过立法对于数据处理进行全面规范,具有积极的社会价值。

 

二、对「数据」及「数据处理」做出界定

 

2.1 信息记载形式的全覆盖

 

对于什么是「数据」,理论与实际业务间一直没有明确的定义。《数据安全法》对于「数据」采取了全面的界定。该法第三条规定:

 

本法所称数据,是指任何以电子或者非电子形式对信息的记录。即,除了《网络安全法》所界定的「网络数据」外,还将「其他方式对信息的记录」纳入了数据范畴。

 

按照这一界定,纸质的档案信息以及其他书面形式对信息所作的记录,也属于数据。而将电子及其他记录信息的形式,统一纳入数据安全法的规制,具有非常重要的现实意义。

 

一方面,随着数据分析技术的发展,数据记载形式之间的打通成本大幅度降低,这意味着并非只有电子化记录的信息可以用于大数据分析,其他形式的信息也可以低成本转化为电子形态,并进行大数据分析,因此,将数据仅仅界定为「电子化」或「网络数据」,不能充分覆盖数据的外延;

 

另一方面,其他方式记载的信息同样具有个人信息保护价值、经济价值、社会及国家安全价值,将其统一纳入数据安全法的规制,有利于法律执行的统一性,也符合数字化时代的信息安全要求。

 

2.2 数据全生命周期的覆盖

 

《数据安全法》对于「数据处理」的界定,则包括数据的收集、存储、使用、加工、传输、提供、公开等,形成了对数据全生命周期的覆盖。

 

虽然《数据安全法》对于上述全生命周期的规则并未全面展开,但可以预期的是,后续立法及《个人信息保护法》等相关立法将会对于数据全生命周期的处理规则做出进一步的规定与完善。

 

三、《数据安全法》的主要制度框架

 

3.1 数据分级分类与重要数据保护制度

 

数据分级分类

 

《数据安全法》中明确规定,由国家建立数据分类分级保护制度,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

 

重要数据保护

 

《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。将关系国家安全、国民经济命脉、重要民生、重大公共利益等数据列入国家核心数据,实行更加严格的管理制度。

 

同时,《数据安全法》将数据分类分级保护制度与重要数据目录直接对应,并要求各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,更具参考性和实操性,深化加强对重要数据的保护。

 

重要数据的界定

 

《数据安全法》规定了分级分类的大原则,但是,对于什么是「重要数据」,并未明确界定。个人认为,后续将做出进一步的清晰的界定。

 

3.2 数据安全审查制度

 

《数据安全法》第二十四条规定了数据安全审查制度,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。其中还包括线上的数据活动,也包括线下的数据活动。

 

当前,并未对数据活动主体做出限制,这也意味着,企业或其他社会主体,在从事数据活动时,应首先进行国家全判断。当然,《数据安全法》对于审查的程序并未做进一步规定,有待相关细则加以界定。

 

3.3 重要数据风险评估制度

 

基本规则

 

《数据安全法》第三十规定:「重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。」

 

即,无论重要数据处于收集、存储、使用、加工、传输、提供、公开等各个处理环节的哪个环节,只要其数据处理活动可能涉及重要数据,都需要进行定期的风险评估,并将评估报告报送给主管部门

 

评估对象

 

风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

 

这意味着,企业内部的重要数据风险评估将成为一种常态化的合规要求,企业应建立自身的重要数据「风险全景图」

 

报送对象

 

鉴于法律规定“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。并且「国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。」

 

当前来看,评估报告应报送给相关重要数据目录的制定部门,当然,对于报送对象和审核流程,最终仍需相关规则进一步明确与细化。

 

3.4 数据出境管理制度

 

重要数据出境评估制度

 

《数据安全法》确立了重要数据出境评估制度,该法第三十一条规定:「关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。」

 

与此前出台的关于数据出境相关规定相比,《数据安全法》更针对网络运营者的重要数据出境。

 

数据出口管制措施

 

《数据安全法》第二十五条规定了数据出口管制制度。该制度不仅针对重要数据,而是可以针对任何数据类型。该条规定:「国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。」即,只要按照出口管制的规则判定该数据属于管制物项,均可实施出口管制

 

司法执法活动涉及的数据出境管理制度

 

《数据安全法》第三十六条规定,「中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。」

 

这一规定涉及两个方面:

 

其一,在向境外司法与执法机构提供境内存储数据的,均须经过主管机关批准;

其二,主管机关根据有关法律和国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。即,如果境外法律对于中国执法机关、司法机关获取数据存在限制的,我国主管机关将基于平等互惠原则处理。

 

3.5 数据歧视的对等措施

 

《数据安全法》还有一个值得关注的新制度,即:针对数据歧视的对等措施。该法第二十六规定:「任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

 

四、企业合规建议

 

随着《数据安全法》的生效,可以预见的是,《个人信息保护法》以及其他与网络安全、信息安全、数据安全、数据合规、个人信息保护相关的规章、监管规则也会陆续生效。与此同时,对违反核心数据以及敏感数据管理制度的行为,也将加大违法处罚力度。例如:二百万元以上一千万元以下罚款,根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

 

如果企业中存在大量数据,相关人员必须认真对待这些法律法规,因为一旦发生数据泄露事件,受处罚的不光是企业,还有直接责任人。

 

在国家相关法规与规则日渐完善的背景上,相应的对企业数据合规治理工作提出了更高的要求。针对《数据安全法》及相关的规则体系,企业可以从以下几个方面构建自己的合规体系:

 

全面数据合规理念的树立

 

通过树立全面数据合规理念,构建自身数据治理的宏观策略,并根据各项法律制度,结合行业监管规则、业务流程与场景,构建相应的管理制度。在制度的基础上,通过流程管理、岗位职责管理、激励约束机制,达到数据合规治理的目标。

 

数据合规风险的再梳理

 

针对《数据安全法》的具体制度,对潜在的数据合规风险进行全面梳理,并进行分类处置:

 

对于《数据安全法》及其他法律法规已经明确界定的内容,发现问题后,应及时进行整改;

对于有关法律草案有界定,但尚未生效,且通过其他法律法规、规则无法进行合规风险判断的内容,做出有前瞻性的整改进程安排。

 

企业自身数据保护

 

现如今随着互联网人口红利的消失,竞争变得愈加激烈,很多企业的网站与APP等会受到网络黑灰产甚至行业竞争对手的攻击,恶意爬虫、社工库、撞库攻击、账户泄露、盗刷等问题层出不穷,而这些问题将给企业的数据安全带来非常直接的风险隐患。总之,导致这些问题的恶意机器流量早已渗透至企业核心业务场景之中,企业必须提前发现并处理恶意机器流量,做好保障好自身数据安全的关键一环

 

尽管《数据安全法》各项细则尚在探讨和设计阶段,但从立法本身而言,已经释放非常明确的信号。以「数据」为竞争资源甚至是国家战略资源的高度来管理数据安全,以数据资产的标准来加强数据安全将成为时下企业的重要工作事项。牵一发而动千钧,《数据安全法》带来的影响必然会加速数字新经济的竞争规则和合规方式的转变,而极验也将与企业一同,积极响应新规下各项政策的展开,并通过新规则尽早实现华丽转身,在新经济浪潮下,踏浪前行。

本文转自FreeBuf/GEETEST极验 



上一篇:上海市公安局关于印发《上海市公安局关于网络安全管理行政处罚的裁量基准》的通知
下一篇:内网渗透基石篇--权限提升