四千字详解《数据安全法》:企业如何做好合规建设?

2021年6月10日,我国第一部关于数据安全的法律《中华人民共和国数据安全法》公布,并将于2021年9月1日正式施行。《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制,有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足。《数据安全法》将与《网络安全法》以及正在制定中的《个人信息保护法》一起,全面构筑中国数据安全领域的法律框架。

未来企业在数据方面的纠纷将有法可依,同时合法、合规将成为企业运营数据业务的新门槛。本文将从互联网企业的角度解读《数据安全法》相关重要内容,并针对企业数据合规工作提出对应策略与建议。

重点内容解读

(一)对“数据”采取全面范围的界定,将电子或者非电子形式对信息的记录统一纳入法律规制

《数据安全法》在数据的定义上规定“本法所称数据,是指任何以电子或者非电子形式对信息的记录。” 即,除了《网络安全法》所界定的网络数据外,其他非电子方式所记录的信息,如纸质档案信息等其他形式记载的信息,均属于数据,同样具有信息保护价值。

在数据处理的定义上,明确了数据处理活动包括数据的“收集、存储、使用、加工、传输、提供、公开”等。如此,无论是传统行业的企业,亦或互联网、大数据、高科技等行业的企业,必然会涉及对信息和数据的收集、存储和使用,均受本法规制。

(二)构建全业态场景下的数据全监管体系,明确各行业主管部门监管职责

在最高层级方面,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。

在监管层级方面,明确各行业监管部门均负有数据安全管理职责,确定各部门、各地区分工负责的管理模式。具体为国家网信部门负责统筹网络数据安全监管,公安机关、国家安全机关在职责范围内承担数据安全监管职责,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

(三)自上而下的建立数据分类分级保护制度,明确重要数据和核心数据的监管要求

1.数据分类分级保护

《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

在此之前,《网络安全法》已经提出要求网络运营者按照网络安全等级保护制度的要求,履行信息保护义务,要求通过数据的分类分级,明确不同数据的管理权限,对于不同类型和等级的数据,企业在数据处理、数据出境时将遵循不同的程序要求,履行相应的批准程序。

2.建立重要数据的保护制度

《数据安全法》第二十一条同时规定,“重要数据目录由国家数据安全工作协调机制统筹协调有关部门制定,形成国家级的重要数据目录;各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。”

从规定来看,鉴于不同行业、不同领域对“重要数据”的识别和界定将有所不同,对于“重要数据”的概念将由各部门、各地区通过出台部门规章、地方法规规定作具体要求。

(四)明确开展数据处理活动的安全保护义务,要求落实等级保护管理工作

《数据安全法》第四章整章规定“数据安全保护义务”,明确开展数据处理活动应遵循的具体要求。

1、建立健全全流程数据安全管理制度;

2、组织开展数据安全教育培训;

3、采取相应的技术措施和其他必要措施,保障数据安全;

4、利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务;

5、进行数据安全风险检测及应对,及时应对处理安全事件;

6、采取合法、正当方式收集数据,并在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要限度等。

就互联网企业而言,遵守安全保护义务,落实等级保护管理工作,仍将是企业开展日常数据安全的重要内容。

(五)明确向境外提供数据的监管适用情形,禁止未经批准向境外提供境内个人信息和重要数据信息

在此之前,法律层面仅有《网络安全法》第37条针对数据跨境流动作出了规定,明确了个人信息和重要数据的本地存储、出境评估等法律义务。《数据安全法》在此基础上,明确关键信息基础设施的运营者境内运营中收集和产生的重要数据的出境仍适用《网络安全法》有关规定,其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

其中,第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”对于互联网企业来说,涉及个人信息和重要数据的出境,均需要注意履行相关义务。

(六)要求数据中介服务机构的数据交易行为需持牌经营,合规经营

《数据安全法》第三十三条,将数据中介服务商纳入规范范畴,明确中介结构应要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

同时,《数据安全法》第三十四条规定,“提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”。可以预见,针对专门提供数据处理服务的企业未来在提供数据处理服务上,将根据监管的具体要求,将经过审批,持牌经营。

(七)加大违法处罚力度

《数据安全法》对数据违法行为规定了多项处罚规定,包括对不履行规定保护义务的,危害国家安全和损害合法权益的,向境外提供重要数据的,交易来源不明的数据的,拒不配合数据调取的,未经审批向境外提供组织数据等行为,从单位到个人,均设定了严格的罚则,最高可至1000万元罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

企业合规建议

(一)保证数据处理活动的合法合规

《数据安全法》第32条和第51条要求,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”“窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。”

《数据安全法》从数据的源头提出了“合法、正当”的约束性条件。对于互联网企业,数据的收集,不管是通过用户主动提供还是自动采集方式收集数据的,应就收集的目的、方式和范围取得有效授权,并且数据采集手段、方式恰当、满足必要性原则。除此以外,数据处理活动所包括的 “存储、使用、加工、传输、提供、公开”等均应满足相关法律法规、监管规定的要求。

(二)建立全流程数据安全管理制度,明确数据安全负责人和管理机构

建立健全包括数据收集、传输、存储、共享在内的全流程数据安全管理制度,采取相应的技术措施,保障合法合规处理数据。互联网公司应当在网络安全等级保护制度的基础上,履行数据安全保护义务,明确数据安全负责人和管理机构,落实数据安全保护责任。

(三)开展内部数据分类分级管理工作,建立相应管理制度

针对重要数据或核心数据建立识别与管理制度,目前在金融、互联网等行业数据分类分级管理办法已有相应规范,包括《金融数据安全数据安全分级指南》、《电信和互联网服务用户个人信息保护定义及分类》等。其中,中国人民银行印发的行业标准《金融数据安全数据安全分级指南》明确了金融数据安全分级的规则,中国人民银行印发的行业标准《金融数据安全数据生命周期安全规范》根据金融数据的安全等级,对不同级别金融数据的采集、传输、使用、删除、销毁做出了详细的要求。

互联网企业可结合其数据特征,参照上述规范,建立针对重要数据或核心数据的识别制度,对于不同类型和等级的数据做不同的处理要求,制定相应管理制度,履行相应审批程序。

(四)落实网络安全等级保护义务

根据《网络安全法》对等保等制度的要求,制定具体措施,包括制定内部安全规范、确定网络安全负责人、采取防范病毒攻击的技术措施、监测网络运营、留存网络日志、采取加密措施等。

同时根据《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》等“等保2.0”系列标准要求,落实相应系统的等保测评备案工作。

(五)定期开展风险评估,履行风险评估报告义务

定期开展风险评估工作,针对所处理的重要数据的种类、数量、开展数据处理活动的情况,数据安全风险及其应对措施等进行定期风险评估。具体的风险评估方法可以根据未来出台的《个人信息保护法》项下规定的个人信息安全影响评估的规则,提前部署重要数据风险评估工作及评估制度。

处理重要数据目录中的数据的,应当按照规定对数据处理活动定期开展风险评估,发生数据安全事件时,应当立即采取处置措施,并留存处置记录,按照规定及时告知用户并向有关主管部门报告。

(六)配合公安机关和国家安全机关数据调取

《数据安全法》规定,企业有义务向公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,提供所存储的数据,需审查:

1.调取的主体是公安机关和国家安全机关;

2.调取数据的目的是维护国家安全或者侦查犯罪的需要;

3.应当依法经过严格的批准手续。

(七)定期开展数据安全培训

根据《数据安全法》要求,一方面应定期对数据安全岗位相关人员开展数据安全培训,培训内容应涵盖法律法规、管理要求、安全技术等内容;另一方面定期对全员开展数据安全意识培训,加强员工数据安全意识与能力。

本文由公众号“苏宁金融研究院”原创,作者为苏宁金融研究院特约研究员惕若。

(0)

相关推荐

  • “严”字当头的《个人信息保护法》来了

    △ 近年来,浙江省杭州市临安区民政局定期组织青年志愿者为老年人讲解线上支付.打车.视频聊天等常用互联网技能,让老年人享受互联网带来的便利. 当今社会,享受数字化技术便利的个体,同样也在为无所不在的数据 ...

  • 中华人民共和国数据安全法

    第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷.漏洞等风险时,应当立即采取补救措施:发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告. 第三十条 重要 ...

  • 警惕“隐私悖论”, 企业必须担起保护个人隐私信息和行为信息的责任

    First 加入"ICT销售和大客户联盟"(微信ID:ICT-League),与ICT同行! "ICT销售与大客户联盟"公众号,集千家厂商.集成商和客户于一堂, ...

  • 专家观点 | 数字时代,大数据安全谁来保护?

    近期,2021数博会大数据安全高峰论坛暨经验交流会系列活动在贵阳国家大数据安全靶场举行. 此次交流会系列活动以"引领数据安全护航数字城市"为主题,以"2021中国数博会大 ...

  • 淘宝、微信、抖音、支付宝等将迎来“超级监管”

    钛媒体编辑丨杨亚茹 互联网平台监管有了新进展. 10月29日,国家市场监督管理总局发布关于对<互联网平台分类分级指南(征求意见稿)>(以下简称<分类分级意见稿>).<互联 ...

  • 太古观察:从《数据安全法》谈企业的数据安全合规

    2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了<中华人民共和国数据安全法>(以下简称"<数据安全法>").<数据安全法& ...

  • 医保网络安全体系2022年建成

    国家医保局近日发出<关于印发加强网络安全和数据保护工作指导意见的通知>,要求到2022年,基本建成基础强.技术优.制度全.责任明.管理严的医疗保障网络安全和数据安全保护工作体制机制.到&q ...

  • 个人医疗信息安全愈发受到重视,数据安全隐私政策如何先行?

    自2021年下半年以来,数据安全受到了前所未有的重视--6月至今不过短短3个月时间,<数据安全法><信息安全技术 健康医疗数据安全指南>和<个人信息保护法>先后获得 ...

  • 《数据安全法》下企业合规之待办清单

    <数据安全法>下企业合规之待办清单 发表时间:2021-06-18 16:09:41 作者:史倩君 来源:星来法律智引 分享到:微信新浪微博QQ空间 自2020年6月28日,<数据安 ...

  • 我国网络安全法律法规体系框架

    2017年6月1日正式实施的<网络安全法>,是我国网络空间法制建设的重要里程碑,就数据和个人信息保护提出了许多框架性的要求.此后,各类配套的法律.法规.规章和标准化文件不断出台,且呈加速趋 ...

  • 数据合规丨《数据安全法》颁布,企业如何避免数据合规风险?

    2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过<中华人民共和国数据安全法>("<数据安全法>"). <数据安全法>于 ...

  • 公安机关:依法为数据安全保驾护航

    数据安全法 公安机关 保驾护航 重磅!! 9月1日起,我国数据安全领域的基础性法律<数据安全法>即将施行. <数据安全法>贯彻落实总体国家安全观,立足我国数据安全工作实际,在规 ...

  • 高校数据安全要“合规”而行

    在大数据.云计算.人工智能蓬勃发展的数字经济时代,数据已经成为与土地.劳动力.资本.技术等传统要素并列的新型生产要素,成为社会发展倾力前行的"石油",对国家经济发展.社会治理与人民 ...

  • 《中华人民共和国数据安全法》解读

    6月10日,十三届全国人大常委会第二十九次会议通过了<中华人民共和国数据安全法>(简称<数据安全法>).历经两次审议后,本次的<数据安全法>相比此前草案,强调了建立 ...

  • 观点 | 我国网络与数据安全及个人信息保护法律制度——以国家总体安全观为统领

    扫码订阅<中国信息安全>杂志 权威刊物 重要平台 关键渠道 邮发代号 2-786 文 | 中国政法大学副校长.教授 时建中 一.四部相关法律的主要内容和结构 前不久,<中华人民共和国 ...

  • 姜开达:高校要形成数据安全保护的氛围

    随着我国教育信息化建设的不断深入,其所面临的数据安全形势也越来越严峻.如何在高校数字化转型过程中建立起全面的数据安全保护体系? 在接受本刊采访时,上海交通大学信息化推进办公室副主任姜开达表示,解决数据 ...

  • 《数据安全法》若干问题评析及探讨

    作者:陈宇萱 元合律师事务所 合伙人 主要执业领域:知识产权战略规划.专利.反不正当竞争. 2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了<中华人民共和国数据安全法& ...

  • 网络安全相关法规政策

    我国经济社会已经全面迈入数字经济时代,20119数字经济规模为35.8万亿元,占GDP比重达到36.2%.与"十二五"末期相比,中国数字经济规模翻了一番,复合年均增长率达到17.7 ...

  • 从《数据安全法》视角探讨重要数据保护

    <中华人民共和国数据安全法>(以下简称<数据安全法>)于6月10日第十三届全国人大常委会第29次会议通过,并已于9月1日正式实施. <数据安全法>是我国在数据安全领 ...