6月10日,《中華人民共和國數(shù)據(jù)安全法》(簡稱“數(shù)據(jù)安全法”)審議通過,將于今年9月1日施行。從國內(nèi)來看,數(shù)據(jù)安全法的出臺進(jìn)一步完善了我國數(shù)據(jù)安全基礎(chǔ)法律體系,解決了我國數(shù)據(jù)安全領(lǐng)域長期沒有獨立且融貫的法律體系的問題。從國際來看,數(shù)據(jù)安全法為我國構(gòu)建起一道全新的數(shù)據(jù)安全法律保障體系屏障,將對重塑國際數(shù)據(jù)規(guī)則具有重要影響。
將數(shù)據(jù)安全上升到國家安全層面
數(shù)據(jù)安全法將數(shù)據(jù)安全上升到國家安全層面,對管轄地域、行為和對象進(jìn)行了明確和規(guī)范。
從地域來看,數(shù)據(jù)安全法的管轄范圍包含境內(nèi)和境外兩個層面。我國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管,適用數(shù)據(jù)安全法;損害國家安全、公共利益或者公民、組織合法權(quán)益的境外的數(shù)據(jù)處理行為同樣可依據(jù)本法律進(jìn)行規(guī)制。
從約束行為來看,數(shù)據(jù)安全法的管轄范圍包括數(shù)據(jù)處理活動和數(shù)據(jù)安全監(jiān)管活動。開展數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動,應(yīng)依照本法律相關(guān)規(guī)定;有關(guān)主管部門的數(shù)據(jù)安全監(jiān)管同樣應(yīng)依照數(shù)據(jù)安全法開展。
從數(shù)據(jù)處理活動的對象來看,數(shù)據(jù)安全法適用于針對“數(shù)據(jù)”的處理活動,適用范圍非常廣泛。數(shù)據(jù)安全法在法律層面明確了“數(shù)據(jù)”的概念,涵蓋任何以電子或者其他方式對信息的記錄。
數(shù)據(jù)安全法明確了我國數(shù)據(jù)安全領(lǐng)域采取“中央統(tǒng)籌+地方與部門分治”的基本監(jiān)管架構(gòu)。中央層面,國家安全領(lǐng)導(dǎo)機(jī)構(gòu)是數(shù)據(jù)安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)。執(zhí)行層面,地區(qū)與行業(yè)部門對各自工作中收集和產(chǎn)生的數(shù)據(jù)安全負(fù)責(zé)并承擔(dān)安全監(jiān)管責(zé)任。國家網(wǎng)信部門負(fù)責(zé)對網(wǎng)絡(luò)數(shù)據(jù)安全和監(jiān)管工作進(jìn)行統(tǒng)籌協(xié)調(diào)。
構(gòu)建我國數(shù)據(jù)安全基本制度
數(shù)據(jù)安全法第三章構(gòu)建了我國的數(shù)據(jù)安全基本制度,包括數(shù)據(jù)分類分級、重要數(shù)據(jù)保護(hù)等7個方面。
數(shù)據(jù)分類分級保護(hù)制度。數(shù)據(jù)安全法規(guī)定,“國家建立數(shù)據(jù)分類分級保護(hù)制度”。數(shù)據(jù)分類分級是以風(fēng)險程度為導(dǎo)向,以數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度以及數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度作為原則性標(biāo)準(zhǔn)。電網(wǎng)企業(yè)應(yīng)遵循國家建立的分類分級路徑,健全數(shù)據(jù)分類分級管理,將已有的分類分級體系與國家行將出臺的分類分級保護(hù)制度進(jìn)行有機(jī)銜接。
重要數(shù)據(jù)重點保護(hù)制度。數(shù)據(jù)安全法規(guī)定,“國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強(qiáng)對重要數(shù)據(jù)的保護(hù)”“各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進(jìn)行重點保護(hù)”。電網(wǎng)企業(yè)開展業(yè)務(wù)的過程涉及大量電力數(shù)據(jù)。此類數(shù)據(jù)對國家安全與社會公共利益有重大影響,很可能被相關(guān)主管部門認(rèn)定為重要數(shù)據(jù)。建議重點關(guān)注重要數(shù)據(jù)保護(hù)制度和重要數(shù)據(jù)處理者的相關(guān)義務(wù)。
國家核心數(shù)據(jù)嚴(yán)格保護(hù)制度。數(shù)據(jù)安全法對國家核心數(shù)據(jù)實施更加嚴(yán)格的管理制度:監(jiān)管部門對相關(guān)主體的罰款最高可達(dá)人民幣1000萬元,并可以根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,追究刑事責(zé)任。電力數(shù)據(jù)事關(guān)國計民生,有可能被認(rèn)定為國家核心數(shù)據(jù)。電網(wǎng)企業(yè)應(yīng)持續(xù)關(guān)注立法進(jìn)度,做好合規(guī)規(guī)劃。
數(shù)據(jù)安全風(fēng)險機(jī)制。數(shù)據(jù)安全法建立數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警和應(yīng)急處置機(jī)制,通過對數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警以及數(shù)據(jù)安全事件發(fā)生后的應(yīng)急處置,實現(xiàn)數(shù)據(jù)安全事前、事中和事后的全流程保障。相關(guān)企業(yè)應(yīng)加強(qiáng)相應(yīng)機(jī)制建設(shè),落實防護(hù)措施和策略,完善應(yīng)急預(yù)案,強(qiáng)化數(shù)據(jù)安全的事前評估、事中監(jiān)測、事后處置等全流程風(fēng)險管控能力。
數(shù)據(jù)活動國家安全審查制度。數(shù)據(jù)安全法規(guī)定,國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進(jìn)行國家安全審查。企業(yè)應(yīng)健全數(shù)據(jù)活動審查管理,并按照要求配合數(shù)據(jù)活動國家審查。
數(shù)據(jù)出口管制。數(shù)據(jù)安全法把屬于管制物項的數(shù)據(jù)納入了出口管制對象范圍。相關(guān)企業(yè)應(yīng)主動密切跟蹤出口管制清單有關(guān)內(nèi)容,加強(qiáng)跨境數(shù)據(jù)管理。
企業(yè)應(yīng)圍繞法律規(guī)定構(gòu)建合規(guī)體系
數(shù)據(jù)安全法第四章規(guī)范了數(shù)據(jù)處理者對數(shù)據(jù)的安全保護(hù)義務(wù)。安全保護(hù)義務(wù)是數(shù)據(jù)處理者最為直接的合規(guī)義務(wù)。第六章“法律責(zé)任”大部分條款則規(guī)定了違反安全保護(hù)義務(wù)后應(yīng)承擔(dān)的責(zé)任。
● 一般數(shù)據(jù)處理者的義務(wù)
一是明確數(shù)據(jù)處理活動的安全要求。數(shù)據(jù)安全法規(guī)定了一般數(shù)據(jù)處理者的安全保護(hù)義務(wù),包括建立健全全流程數(shù)據(jù)安全管理制度、組織開展數(shù)據(jù)安全教育培訓(xùn)、采取相應(yīng)的技術(shù)措施和其他必要措施、落實網(wǎng)絡(luò)安全等級保護(hù)制度等。同時,數(shù)據(jù)安全法針對重要的數(shù)據(jù)處理活動環(huán)節(jié)提出安全要求,明確收集數(shù)據(jù)“采取合法、正當(dāng)?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)”,“非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn),境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)”。
二是開展數(shù)據(jù)安全風(fēng)險的監(jiān)測、安全事件報告。數(shù)據(jù)安全法規(guī)定,“開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強(qiáng)風(fēng)險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補(bǔ)救措施;發(fā)生數(shù)據(jù)安全事件時,應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告”。
三是明確特殊的數(shù)據(jù)活動參與主體的合規(guī)要求。數(shù)據(jù)安全法規(guī)定,“從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù),應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄”“法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的,服務(wù)提供者應(yīng)當(dāng)依法取得許可”。
數(shù)據(jù)處理者應(yīng)落實基本數(shù)據(jù)安全保護(hù)要求,開展包括建立健全數(shù)據(jù)安全管理制度、開展安全教育培訓(xùn)、采取技術(shù)措施等在內(nèi)的相關(guān)安全工作。
● 重要數(shù)據(jù)處理者的義務(wù)
數(shù)據(jù)安全法在一般數(shù)據(jù)處理者的基礎(chǔ)上,對重要數(shù)據(jù)的處理者規(guī)定了“增強(qiáng)型”的保護(hù)義務(wù)。
一是明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)責(zé)任。數(shù)據(jù)安全法規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)。電網(wǎng)企業(yè)可綜合考慮業(yè)務(wù)及數(shù)據(jù)職責(zé)、合規(guī)責(zé)任等,明確負(fù)責(zé)人和管理機(jī)構(gòu)。
二是定期開展風(fēng)險評估并報送風(fēng)險評估報告的責(zé)任。重要數(shù)據(jù)處理者應(yīng)對重要數(shù)據(jù)處理活動定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告。重要數(shù)據(jù)處理者不僅要履行數(shù)據(jù)安全保護(hù)義務(wù),更要積極地向監(jiān)管部門說明內(nèi)部風(fēng)險的識別和應(yīng)對情況,體現(xiàn)了“合規(guī)與自證合規(guī)并重”的理念。建議相關(guān)企業(yè)開展重要數(shù)據(jù)處理活動風(fēng)險評估活動,并保存評估活動記錄以作為自證合規(guī)的證據(jù)。
三是數(shù)據(jù)出境的相關(guān)義務(wù)。數(shù)據(jù)安全法一方面強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者產(chǎn)生的重要數(shù)據(jù)出境問題按照《中華人民共和國網(wǎng)絡(luò)安全法》進(jìn)行處理;另一方面,彌補(bǔ)了《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)則空白,明確了非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者跨境傳輸重要數(shù)據(jù)將適用另行制定的規(guī)則。相關(guān)企業(yè)應(yīng)在重要數(shù)據(jù)出境方面按照法律規(guī)定采取嚴(yán)格的合規(guī)措施。
數(shù)據(jù)安全法作為基礎(chǔ)性法律,將通過配套法律法規(guī)予以細(xì)化和落地,根據(jù)《國務(wù)院2021年度立法工作計劃》,《數(shù)據(jù)安全管理條例》已被列入擬制定、修訂的行政法規(guī)。
數(shù)據(jù)安全法是數(shù)據(jù)安全與合規(guī)的基礎(chǔ)規(guī)則之一。對于企業(yè)而言,圍繞數(shù)據(jù)安全法及其配套相關(guān)規(guī)定,構(gòu)建自身的合規(guī)體系將是未來兩三年內(nèi)數(shù)據(jù)合規(guī)工作的重點內(nèi)容,也是緊迫的現(xiàn)實需求。
?。ㄗ髡邌挝唬簢译娋W(wǎng)有限公司大數(shù)據(jù)中心)
評論