【专栏】企业数据安保义务有哪些?《数据安全法》这样说!
肖飒 · 零壹财经 2021-08-03 16:32:02 阅读:6722
一、《数据安全法》的定位
对于市场主体而言,《个人信息保护法》《数据安全法》似乎都是规制企业在线上收集、使用公民个人信息等数据的问题。有人甚至认为两者功能重合,再出一部法律是重复劳动。
实则不然,《个人信息保护法》的法理基础是“通知--同意”,解决了私权利个人数据控制的问题,实际上是给信息主体进行赋权,出台是为了回应彼时公民个人信息被窃取、滥采、非法交易等社会当时亟待解决的问题。同时,《数据安全法》的法理基础是“风险--安全”,解决公权力对数据安全的保障问题,实际上是给数据安全的监管和被监管主体相应义务。
《数据安全法》是人大常委会制定的法律,法律位阶颇高,并非母法之外的其他法律之下位法。而对于带有“安全”二字的法律,目前在我国有十一部,可见安全这一价值的地位。
二、三个基本定义
周末参加某闭门研讨会时,对于什么是“数据”?学者和业界合规人士的理解不同。从刑法的角度讲,数据是“计算机信息系统中存储、处理或者传输的数据”,基本上就是循环论证。从数据安全法角度,直接给出了官方定义:“数据,是指任何以电子或者其他方式对信息的记录。”
从如上定义中,我们发现三个关键词:任何、电子或其他、信息,这种立法技术主要目的是将能够概括进来的内容都囊括进来,无可厚非。但在实践中,容易出现与立法目的不那么符合地解读,比如原始人在石头上的岩画,原则上也是本法所称数据。飒姐比较担心,在具体执法过程中基层工作人员可能会对数据的概念置之不顾,因为Ta知道反正啥都能往里面装。
第二个基本定义:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。也就是说,从社会一般人角度,对于数据处理尤其是数据处理者的理解可能是大数据公司,那些喊着数据就是未来的企业。但实际上,数据处理非常具化,渗透到企业的每一个运营细节中,且不说每天千万级的物流行业、金融行业,就是普通的实体小公司也有大量的信息记录(数据)不断产生,因此,本法规制的范围何其广也。
第三个基本定义:数据安全,是指通过采取必要措施,确保数据出于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。这个定义可分为两个时间段,一是面对当下,要确保对data有效保护和合法利用的状态;二是面对未来,要冗余持续保障安全状态的能力。这对市场主体提出了更高的要求,摒弃之前水来土掩的单一应对方法,积极主动参与到数据安全的全过程之中。
三、数据安全治理的机制
数据安全有自己的治理体系,坚持总体国家安全观,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,指定重大方针,各地区、部门对本辖区、领域内数据及数据安全负责,各行业承担本行业内数据安全监管职责、公安机关、国安机关承担数据安全监管职责、网信部门负责协调网络数据安全和监管工作。
承认个人、组织与数据有关的权益,鼓励数据有效利用、依法流动,促进以数据为关键要素的数字经济发展。
在条文中,我们能看到“科技向善”的倡导,在开展数据处理活动时,尊重社会公德、伦理,遵守商业道德和职业道德,诚实守信,承担社会责任。
在行业自律方面,相关行业指定行为规范和团体标准,提高数据安全保护水平,促进行业健康发展。同时,赋予社会主体监督权,任何个人、组织都有权对违反本法规定的行为投诉、举报。
在国际交流方面,我国是开放的态度,国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的指定,存进数据跨境安全、自由流动。
四、“使用”与“安全”之间的博弈
以“使用”促“安全”,以“安全”促“使用”,这是数据安全法给出的解决方案。我国推行大数据战略,推进数据基础设施建设,就势必要支持和鼓励数据的商用,这是大势所趋。
各省也会将数字经济发展纳入本级国民经济和社会发展规划之中,也许,这将是房地产之后,带动我国经济高速发展的另一个引擎。
欣喜地看到,《数据安全法》在促进数据公共服务智能化方面,特别指出了对老年人、残疾人日常生活是否造成障碍的考量,这是一种“反歧视”的前瞻规定,点赞。
可以确定的是我国将推进数据开发利用技术和数据安全的“标准体系建设”。对于大家关心的“数据交易”是否需要行政许可等牌照,本法并未给予明确回应,以现有法律环境看,对数据分类分级管理后,也许会采取备案或许可方式进行数据流转,甚至跨国流转。
五、数据安全制度设计
国家设立数据分类分级保护制度,对于通过隐私计算等将数据脱敏后的数据,飒姐认为有机会得到更为宽松的发展空间。
分类分级的依据:1)数据在经济社会发展中的重要程度;2)一旦遭篡改、破坏、泄露或者非法获取、非法利用,对国家、社会和个人权益的危害程度。
核心数据、重要数据会被区分出来,分类加强管理。各地、各部门有权指定重要数据具体目录,对列入目录的数据进行重点保护。
可以预测,未来我国将设立同意的数据安全风险评估、共享、报告、监测预警机制,并建立数据安全应急处置机制。同时,对于数据安全审查制度,通过网约车海外上市事件,已经开启。请注意,这种审查是终局决定(法院是否会接受相关行政诉讼,拭目以待)。
针对欧盟、美国等国家和地区的数据方面歧视性禁止或限制,我国不会听之任之,将采取反制措施。
六、企业的数据安全保护义务
对于涉及数据处理活动的企业而言,数据安全义务可总结为:
1、建立健全全流程数据安全管理制度;
2、开展数据安全教育培训;
3、采取相应技术措施和其他必要措施;
4、履行网络安全等级保护制度设置的相应义务;
5、明确重要数据处理者的安全负责人和管理机构,落实责任;
6、开发数据新技术,应当有利于社会发展、增进福祉;
7、加强风险预测,及时采取补救措施;
8、发生安全事件,立刻采取处置措施并告知用户+汇报主管部门;
9、重要数据处理者定期开展风险评估,并报送风险评估报告给主管部门;
10、关键信息基础设施的运营者在境内收集产生的重要数据,应遵循出境安全管理要求;
11、收集数据,应当合法、正当;
12、在法律、法规规定范围内收集和使用数据;
13、数据交易中心,应要求双方KYC,并留取交易记录备查;
14、法律规定处理数据需要行政许可的,要提前获得许可;
15、配合公安、国安部门办案时调取数据;
16、非经主管部门批准,境内组织、个人不得向外国司法或者执法机构提供出储存在我国境内的数据。
七、政务数据安全与开发
这一章节,有一个要点需要提醒:国家机关外包IT政务系统,要注意外包公司的相关风险,不仅需要严格的批准程序,还需要监督受托方履行相应数据安全保护义务。
受托方应当依法、依规履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。这就给技术团队提出了更高的要求,倘若委托方要求“留后门”,如何留,解决方案的探讨过程需要留痕,以证清白。
相关文章
用户评论
所有评论
他的文章 ( 866 )
资讯排行
- 48h
- 7天
专题推荐
more
第四届中国零售金融发展峰会(共15篇)
《陆家嘴》交流会第6期(共14篇)
2022第一届中国数字科技投融资峰会(共43篇)
2019年数字信用与风控年会(共15篇)
-
首页
-
评论
-
回顶部
游客
自律公约