下载客户端

智法代言人|数据时代大潮席卷 企业如何驾驭安全合规之舟?

佛山市新闻传媒中心

(有温度的文字、有态度的声音,各有各精彩!)

数据是数字经济高质量发展的“石油”,是加快发展新质生产力、提升全要素生产率的重要基础资源。近年来,随着数字经济发展不断壮大,企业数据安全风险也如波涛汹涌般喧嚣而上。继“滴滴被罚80亿”后,去年知网也迎来网络安全审查5000万的“顶格处罚”。这一系列事件,无疑为企业的数据安全管理敲响了警钟。  

鉴于当前传统企业数据安全控制模式的封闭式、静态保护无法满足数字经济时代的动态发展要求,因而数据合规成为兼顾发挥数据流通价值和企业数据安全动态保护,促进数字经济发展繁荣的有力手段。那么,在新经济形态蓬勃发展下,国内外数据立法及执法有何差异?企业的数据合规建设工作应如何构建?

 

本期嘉宾:佛山大学·法学与知识产权学院专任教师、佛山市网络安全专家讲师团成员黄韵 

 

Q:如何理解数据分类和分级的概念?

A:将于2024年10月1日起正式实施的《数据安全技术数据分类分级规则》给出了数据分类分级的通用规则。该标准明确了数据分类与分级的基本原则,包括业务相关性、数据敏感性、风险可控性等。具体而言,数据分类应根据业务特点和数据属性进行划分,如个人信息、商业秘密、国家秘密等;数据分级则应根据数据的敏感性、重要性和潜在风险进行划分,如一般数据、重要数据、核心数据等。

1、个人信息。指的是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。如个人身份信息、个人生物识别信息、个人财产信息、个人通信信息、个人位置信息、个人健康生理信息等。此外,在个人数据下面是划分了一个敏感个人信息。对于敏感个人信息的概念界定,《个人信息保护法》第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。包括存款信息、交易信息、消费的流水记录以及网络虚拟财产、网上购买游戏币等,都属于个人财产信息,都是敏感个人数据。

2、一般数据。对公共利益或者个人、组织合法权益影响较小;受影响的数量较少、持续时间较短。比如,你拿到了一批消费的记录信息数据,但进行了匿名化 处理,完全不可能根据这些数据定位到具体某个自然人的,无法判别消费者买了哪个产品或进行了哪笔消费,那这些数据属于一般数据。而这类数据对企业来说,就可以把它作为资源转换到资产,使它具有相应的价值,在市场上进行交易。

3、重要数据和核心数据。这类数据的区分实际上是考虑到它与国家安全,公共安全的关联。《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。其中,重要数据指的是对与国家安全、经济利益相关的重点领域造成严重影响;对公共利益或者个人、组织合法权益造成严重影响;影响范围涉及多个行业;影响持续时间长等。核心数据指的是对与国家安全、经济利益相关的重点领域构成严重威胁或重大损害,导致大范围停工停产、业务中断、大规模网络与服务瘫痪等。   

不过,重要数据的认定会因不同行业的特点而有所差异,比如:银行业,金融业,制造业,或者医疗系统, 它们的重要数据的特点都不一样 。 因此,2021 年的《数据安全法》出台只是一个顶层设计,而目前,已有不少地区和部门都按照具体问题具体分析的原则,进行分类分级的保护来制定一些相关的行业指引。例如,佛山去年发布了《佛山市工业企业网络安全分类分级建设指引》。 针对地方工业企业实际的情况,以分类分级建设为出发点,为企业开展合规合理的网络安全建设提供参照的标准。 

 

 

Q:目前在数据治理方面,世界各国有何差异?

A:在数据治理方面,目前国际上并没有形成完全统一的管治模式,都有自己的一套立法。欧盟一直是世界上对个人数据保护最早,也是最严格的地区之一,欧盟将个人数据视为基本人权,它对数据的流通采取了相对严格的标准, 就是说只要使用个人数据,它就会从是否个人征得同意,然后征得同意的方式应该采取明确等去做规定。换句话说在处理个人数据的时候, 从处理的目的,处理的合法性,然后到处理的方式等,它的法律标准都是比较高的。   

美国在建立数据流动监管规则时始终将促进信息安全流动发展、让数据产生效能和效益作为重要目标,其对个人数据进行监管站置于商业利益范畴内进行考量。其中,最早立法是加州的消费者隐私保护法,就是站在数据监管的角度对数据进行立法。其他国家,比如日本建立了匿名数据处理的自由流动规则。印度同样也有相关的立法,可以说目前各国都意识到在数字化快速进程中,国家对数据治理是有必要进行,而且要不断地进行细化监管。   

此外,现今企业跨境贸易涉及的数据流动是很频繁的,所以各个国家都开始重视。美国2018 年通过了《澄清境外合法使用数据法案》,实际上就是为美国的执法机构,请求访问存储在美国和境外的数据,提供了一个控制者原则。就是只要这个数据是被美国的数据服务提供者所拥有的、监管的或者控制的,不管你这个数据是不是在美国境内,美国政府都有权要求数据服务提供者向其披露该数据。 所以在2019年,美国就曾经要求中国的银行向美国提供用户账户的个人信息,如不提供就处以罚金。因此,如果企业在出海的过程中,如果不了解清楚当地的数据规则、交易关联的法律规定,就有可能会陷入盲区,受到处罚。

  

 

Q:企业如何做好数据安全合规?

A:新形势下,企业数据安全保护合规风险包括企业违反企业数据安全处理规则而引发的合规风险,以及企业不履行企业数据安全保障义务而引发的合规风险。构建企业数据安全与合规体系可以从以下三个方面入手:

1、数据安全管理层面。企业内部应进行制度建设,针对数据全生命周期中的各类处理行为,设置相应的安全管理和保障制度。明确不同处理主体的权限区分,特定部门或员工处理数据后要留痕,以便在发生数据安全事故时追责。譬如:你要明确不同的处理主体之间,有不同的权限的区分;特定的部或特定的员工,处理了某项数据后,必须留痕,要有迹可循,一旦发生数据安全事故,可以追责;作为龙头或代表性的企业,应该要结合自身行业的特点,牵头出台行业标准去引领行业实现数据安全管理。 并且,在处理不同类型数据的时候,要把数据“三法一条例”(即《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《关键信息基础设施安全保护条例》)学好,结合法律规定,对数据进行分类分析,特别是核心数据和重要数据,必须要明确负责人是谁,特定数据管理的流程是怎么样……

2、内部管理层面。一是企业要开展数据安全风险自查评估,对自身业务涉及的数据充分了解,建立动态的数据清单。由于生产制造的数据不是静态,是动态的,企业就应该随着自身业务发展,不断对数据进行分类和筛选,以免产生违法成本和丢失一些细节的数据。二是要动态更新数据安全保障技术措施,如数据加密、物理隔离等,同时要及时关注新技术应用。三是提前做好规避数据风险的工作,对数据进行周期性的安全风险评估和建立预警机制。四是建立对外联络和响应机制,发生数据风险时及时向网信、公安局等相关部门报告,定期对日常数据安全监管做报告,接受监督。

3、组织架构层面。按照国家相关管理办法,企业在董事会或管理层上应设立数据治理委员会,其下设置合规负责人。然后在各业务部门的执行层面应配备专员,职责为熟悉本部门数据相关业务,当出现问题时及时向上汇报。

文图、音频丨佛山市新闻传媒中心记者钟晴

图片丨佛山市新闻传媒中心记者钟晴、受访者供图