企业有哪些数据安保义务?《数据安全法》这样说
(原标题:企业有哪些数据安保义务?《数据安全法》这样说)
还有不到一个月的时间,我国数据安全领域的法律《数据安全法》就要正式施行。《数据安全法》并非《网络安全法》《国家安全法》《个人信息保护法》的下位法,而是同一咖位。对于当下社会中的绝大多数企业而言,这部法律都会影响企业在数字化运营中如何与国家赋予的义务平衡的问题。
一、《数据安全法》的定位
对于市场主体而言,《个人信息保护法》《数据安全法》似乎都是规制企业在线上收集、使用公民个人信息等数据的问题。有人甚至认为两者功能重合,再出一部法律是重复劳动。
实则不然,《个人信息保护法》的法理基础是“通知--同意”,解决了私权利个人数据控制的问题,实际上是给信息主体进行赋权,出台是为了回应彼时公民个人信息被窃取、滥采、非法交易等社会当时亟待解决的问题。同时,《数据安全法》的法理基础是“风险--安全”,解决公权力对数据安全的保障问题,实际上是给数据安全的监管和被监管主体相应义务。
《数据安全法》是人大常委会制定的法律,法律位阶颇高,并非母法之外的其他法律之下位法。而对于带有“安全”二字的法律,目前在我国有十一部,可见安全这一价值的地位。
二、三个基本定义
周末参加某闭门研讨会时,对于什么是“数据”?学者和业界合规人士的理解不同。从刑法的角度讲,数据是“计算机信息系统中存储、处理或者传输的数据”,基本上就是循环论证。从数据安全法角度,直接给出了官方定义:“数据,是指任何以电子或者其他方式对信息的记录。”
从如上定义中,我们发现三个关键词:任何、电子或其他、信息,这种立法技术主要目的是将能够概括进来的内容都囊括进来,无可厚非。但在实践中,容易出现与立法目的不那么符合地解读,比如原始人在石头上的岩画,原则上也是本法所称数据。飒姐比较担心,在具体执法过程中基层工作人员可能会对数据的概念置之不顾,因为Ta知道反正啥都能往里面装。
第二个基本定义:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。也就是说,从社会一般人角度,对于数据处理尤其是数据处理者的理解可能是大数据公司,那些喊着数据就是未来的企业。但实际上,数据处理非常具化,渗透到企业的每一个运营细节中,且不说每天千万级的物流行业、金融行业,就是普通的实体小公司也有大量的信息记录(数据)不断产生,因此,本法规制的范围何其广也。
第三个基本定义:数据安全,是指通过采取必要措施,确保数据出于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。这个定义可分为两个时间段,一是面对当下,要确保对data有效保护和合法利用的状态;二是面对未来,要冗余持续保障安全状态的能力。这对市场主体提出了更高的要求,摒弃之前水来土掩的单一应对方法,积极主动参与到数据安全的全过程之中。
三、数据安全治理的机制
数据安全有自己的治理体系,坚持总体国家安全观,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,指定重大方针,各地区、部门对本辖区、领域内数据及数据安全负责,各行业承担本行业内数据安全监管职责、公安机关、国安机关承担数据安全监管职责、网信部门负责协调网络数据安全和监管工作。
承认个人、组织与数据有关的权益,鼓励数据有效利用、依法流动,促进以数据为关键要素的数字经济发展。
在条文中,我们能看到“科技向善”的倡导,在开展数据处理活动时,尊重社会公德、伦理,遵守商业道德和职业道德,诚实守信,承担社会责任。
在行业自律方面,相关行业指定行为规范和团体标准,提高数据安全保护水平,促进行业健康发展。同时,赋予社会主体监督权,任何个人、组织都有权对违反本法规定的行为投诉、举报。
在国际交流方面,我国是开放的态度,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的指定,存进数据跨境安全、自由流动。
四、“使用”与“安全”之间的博弈
以“使用”促“安全”,以“安全”促“使用”,这是数据安全法给出的解决方案。我国推行大数据战略,推进数据基础设施建设,就势必要支持和鼓励数据的商用,这是大势所趋。
各省也会将数字经济发展纳入本级国民经济和社会发展规划之中,也许,这将是房地产之后,带动我国经济高速发展的另一个引擎。
欣喜地看到,《数据安全法》在促进数据公共服务智能化方面,特别指出了对老年人、残疾人日常生活是否造成障碍的考量,这是一种“反歧视”的前瞻规定,点赞。
可以确定的是我国将推进数据开发利用技术和数据安全的“标准体系建设”。对于大家关心的“数据交易”是否需要行政许可等牌照,本法并未给予明确回应,以现有法律环境看,对数据分类分级管理后,也许会采取备案或许可方式进行数据流转,甚至跨国流转。
五、数据安全制度设计
国家设立数据分类分级保护制度,对于通过隐私计算等将数据脱敏后的数据,飒姐认为有机会得到更为宽松的发展空间。
分类分级的依据:1)数据在经济社会发展中的重要程度;2)一旦遭篡改、破坏、泄露或者非法获取、非法利用,对国家、社会和个人权益的危害程度。
核心数据、重要数据会被区分出来,分类加强管理。各地、各部门有权指定重要数据具体目录,对列入目录的数据进行重点保护。
可以预测,未来我国将设立同意的数据安全风险评估、共享、报告、监测预警机制,并建立数据安全应急处置机制。同时,对于数据安全审查制度,通过网约车海外上市事件,已经开启。请注意,这种审查是终局决定(法院是否会接受相关行政诉讼,拭目以待)。
针对欧盟、美国等国家和地区的数据方面歧视性禁止或限制,我国不会听之任之,将采取反制措施。
六、企业的数据安全保护义务
对于涉及数据处理活动的企业而言,数据安全义务可总结为:
1、建立健全全流程数据安全管理制度;
2、开展数据安全教育培训;
3、采取相应技术措施和其他必要措施;
4、履行网络安全等级保护制度设置的相应义务;
5、明确重要数据处理者的安全负责人和管理机构,落实责任;
6、开发数据新技术,应当有利于社会发展、增进福祉;
7、加强风险预测,及时采取补救措施;
8、发生安全事件,立刻采取处置措施并告知用户+汇报主管部门;
9、重要数据处理者定期开展风险评估,并报送风险评估报告给主管部门;
10、关键信息基础设施的运营者在境内收集产生的重要数据,应遵循出境安全管理要求;
11、收集数据,应当合法、正当;
12、在法律、法规规定范围内收集和使用数据;
13、数据交易中心,应要求双方KYC,并留取交易记录备查;
14、法律规定处理数据需要行政许可的,要提前获得许可;
15、配合公安、国安部门办案时调取数据;
16、非经主管部门批准,境内组织、个人不得向外国司法或者执法机构提供出储存在我国境内的数据。
七、政务数据安全与开发
这一章节,有一个要点需要提醒:国家机关外包IT政务系统,要注意外包公司的相关风险,不仅需要严格的批准程序,还需要监督受托方履行相应数据安全保护义务。
受托方应当依法、依规履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。这就给技术团队提出了更高的要求,倘若委托方要求“留后门”,如何留,解决方案的探讨过程需要留痕,以证清白。
本文系未央网专栏作者:肖飒 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!相关文章: