水晶球APP 高手云集的股票社区
下载、打开
X

推荐关注更多

柴孝伟

买进就值,越来越值,时享价...


邢星

邢 星 党员,国...


石建军

笔名:石天方。中国第一代投...


揭幕者

名博


洪榕

原上海大智慧执行总裁


小黎飞刀

黎仕禹,名博


启明

私募基金经理,职业投资人


李大霄

前券商首席经济学家


桂浩明

申万证券研究所首席分析师


宋清辉

著名经济学家宋清辉官方账号...


banner

banner

四千字详解《数据安全法》:企业如何做好合规建设?

星图金融研究院   / 2021-07-05 11:29 发布

2021年6月10日,我国第一部关于数据安全的法律《中华人民共和国数据安全法》公布,并将于2021年9月1日正式施行。《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制,有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足。《数据安全法》将与《网络安全法》以及正在制定中的《个人信息保护法》一起,全面构筑中国数据安全领域的法律框架。

未来企业在数据方面的纠纷将有法可依,同时合法、合规将成为企业运营数据业务的新门槛。本文将从互联网企业的角度解读《数据安全法》相关重要内容,并针对企业数据合规工作提出对应策略与建议。

重点内容解读

(一)对“数据”采取全面范围的界定,将电子或者非电子形式对信息的记录统一纳入法律规制

《数据安全法》在数据的定义上规定“本法所称数据,是指任何以电子或者非电子形式对信息的记录。” 即,除了《网络安全法》所界定的网络数据外,其他非电子方式所记录的信息,如纸质档案信息等其他形式记载的信息,均属于数据,同样具有信息保护价值。

在数据处理的定义上,明确了数据处理活动包括数据的“收集、存储、使用、加工、传输、提供、公开”等。如此,无论是传统行业的企业,亦或互联网、大数据、高科技等行业的企业,必然会涉及对信息和数据的收集、存储和使用,均受本法规制。

(二)构建全业态场景下的数据全监管体系,明确各行业主管部门监管职责

在级方面,国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。

在监管层级方面,明确各行业监管部门均负有数据安全管理职责,确定各部门、各地区分工负责的管理模式。具体为国家网信部门负责统筹网络数据安全监管,公安机关、国家安全机关在职责范围内承担数据安全监管职责,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

(三)自上而下的建立数据分类分级保护制度,明确重要数据和核心数据的监管要求

1.数据分类分级保护

《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

在此之前,《网络安全法》已经提出要求网络运营者按照网络安全等级保护制度的要求,履行信息保护义务,要求通过数据的分类分级,明确不同数据的管理权限,对于不同类型和等级的数据,企业在数据处理、数据出境时将遵循不同的程序要求,履行相应的批准程序。

2.建立重要数据的保护制度

《数据安全法》第二十一条同时规定,“重要数据目录由国家数据安全工作协调机制统筹协调有关部门制定,形成国家级的重要数据目录;各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。”

从规定来看,鉴于不同行业、不同领域对“重要数据”的识别和界定将有所不同,对于“重要数据”的概念将由各部门、各地区通过出台部门规章、地方法规规定作具体要求。

(四)明确开展数据处理活动的安全保护义务,要求落实等级保护管理工作

《数据安全法》第四章整章规定“数据安全保护义务”,明确开展数据处理活动应遵循的具体要求。

1、建立健全全流程数据安全管理制度;

2、组织开展数据安全教育培训;

3、采取相应的技术措施和其他必要措施,保障数据安全;

4、利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务;

5、进行数据安全风险检测及应对,及时应对处理安全事件;

6、采取合法、正当方式收集数据,并在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要限度等。

就互联网企业而言,遵守安全保护义务,落实等级保护管理工作,仍将是企业开展日常数据安全的重要内容。

(五)明确向境外提供数据的监管适用情形,禁止未经批准向境外提供境内个人信息和重要数据信息

在此之前,法律层面仅有《网络安全法》第37条针对数据跨境流动作出了规定,明确了个人信息和重要数据的本地存储、出境评估等法律义务。《数据安全法》在此基础上,明确关键信息基础设施的运营者境内运营中收集和产生的重要数据的出境仍适用《网络安全法》有关规定,其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

其中,第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”对于互联网企业来说,涉及个人信息和重要数据的出境,均需要注意履行相关义务。

(六)要求数据中介服务机构的数据交易行为需持牌经营,合规经营

《数据安全法》第三十三条,将数据中介服务商纳入规范范畴,明确中介结构应要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

同时,《数据安全法》第三十四条规定,“提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”。可以预见,针对专门提供数据处理服务的企业未来在提供数据处理服务上,将根据监管的具体要求,将经过审批,持牌经营。

(七)加大违法处罚力度

《数据安全法》对数据违法行为规定了多项处罚规定,包括对不履行规定保护义务的,危害国家安全和损害合法权益的,向境外提供重要数据的,交易来源不明的数据的,拒不配合数据调取的,未经审批向境外提供组织数据等行为,从单位到个人,均设定了严格的罚则,最高可至1000万元罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

企业合规建议

(一)保证数据处理活动的合法合规

《数据安全法》第32条和第51条要求,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”“窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。”

《数据安全法》从数据的源头提出了“合法、正当”的约束性条件。对于互联网企业,数据的收集,不管是通过用户主动提供还是自动采集方式收集数据的,应就收集的目的、方式和范围取得有效授权,并且数据采集手段、方式恰当、满足必要性原则。除此以外,数据处理活动所包括的 “存储、使用、加工、传输、提供、公开”等均应满足相关法律法规、监管规定的要求。

(二)建立全流程数据安全管理制度,明确数据安全负责人和管理机构

建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度,采取相应的技术措施,保障合法合规处理数据。互联网公司应当在网络安全等级保护制度的基础上,履行数据安全保护义务,明确数据安全负责人和管理机构,落实数据安全保护责任。

(三)开展内部数据分类分级管理工作,建立相应管理制度

针对重要数据或核心数据建立识别与管理制度,目前在金融、互联网等行业数据分类分级管理办法已有相应规范,包括《金融数据安全数据安全分级指南》、《电信和互联网服务用户个人信息保护定义及分类》等。其中,中国人民银行印发的行业标准《金融数据安全数据安全分级指南》明确了金融数据安全分级的规则,中国人民银行印发的行业标准《金融数据安全数据生命周期安全规范》根据金融数据的安全等级,对不同级别金融数据的采集、传输、使用、删除、销毁做出了详细的要求。

互联网企业可结合其数据特征,参照上述规范,建立针对重要数据或核心数据的识别制度,对于不同类型和等级的数据做不同的处理要求,制定相应管理制度,履行相应审批程序。

(四)落实网络安全等级保护义务

根据《网络安全法》对等保等制度的要求,制定具体措施,包括制定内部安全规范、确定网络安全负责人、采取防范病毒攻击的技术措施、监测网络运营、留存网络日志、采取加密措施等。

同时根据《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》等“等保2.0”系列标准要求,落实相应系统的等保测评备案工作。

(五)定期开展风险评估,履行风险评估报告义务

定期开展风险评估工作,针对所处理的重要数据的种类、数量、开展数据处理活动的情况,数据安全风险及其应对措施等进行定期风险评估。具体的风险评估方法可以根据未来出台的《个人信息保护法》项下规定的个人信息安全影响评估的规则,提前部署重要数据风险评估工作及评估制度。

处理重要数据目录中的数据的,应当按照规定对数据处理活动定期开展风险评估,发生数据安全事件时,应当立即采取处置措施,并留存处置记录,按照规定及时告知用户并向有关主管部门报告。

(六)配合公安机关和国家安全机关数据调取

《数据安全法》规定,企业有义务向公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,提供所存储的数据,需审查:

1.调取的主体是公安机关和国家安全机关;

2.调取数据的目的是维护国家安全或者侦查犯罪的需要;

3.应当依法经过严格的批准手续。

(七)定期开展数据安全培训

根据《数据安全法》要求,一方面应定期对数据安全岗位相关人员开展数据安全培训,培训内容应涵盖法律法规、管理要求、安全技术等内容;另一方面定期对全员开展数据安全意识培训,加强员工数据安全意识与能力。

本文由“苏宁金融研究院”原创,作者为苏宁金融研究院特约研究员惕若。