2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议上,《数据安全法》获审议通过。作为我国首部数据法律,《数据安全法》即将于9月1日起施行。《数据安全法》首次从法律上明确“数据”的定义,首度明确了数据处理活动的义务边界,明确了数据分级分类保护制度等。
《数据安全法》
一共分为七章,五十五条。体系结构包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。
哪一点最受到大家关注呢?
数据被认为是继土地、劳动力、资本、技术之后的第五种生产要素。在数据问题上,任何一点细微的处理不当,都会牵一发而动全身,因此这部法律的关注度,说是近几年各类法案中的“顶流”也不为过。业界讨论里,出镜率最高的一项条款,必然是法案首次提出的数据分级分类:建立数据分类分级保护制度,对数据实行分类分级保护;并基于数据分类分级确定重要数据目录和国家核心数据,进行重点保护。——《数据安全法》第二十一条
分类分级之后,各方才能更容易确定可分享的数据部分,在完全开放和完全不开放之间寻求平衡。数据如果不做分类分级,在政务、金融这类更加传统严谨的领域,为求安全,机构往往会采取一刀切的“闭关”形式,数据的交流合作也就无从谈起。对于企业经营人员和安全管理人员来讲,首先要做好数据资产盘点和数据分类分级工作,需要知道企业当前敏感数据分布以及数据安全现状,包括数据类型、风险级别如何、当前安全能力等方面。
对企业而言,数据安全保护义务的规定,也同样是他们十分关心的问题。《数据安全法》的第四章,详细规定了开展数据处理活动需要承担的数据安全保护义务,包括要明确数据安全负责人、建立健全全流程数据安全保护制度、加强风险监测、定期开展风险评估以及在跨境数据流通、数据交易和数据调取方面需要承担的义务等。
另一个受到各方关注的重点,则是数据流转的监测和溯源。
多位法律界人士也指出,针对这些详细的合规措施,构建自身的合规体系,将是企业们迫在眉睫的数据任务。
哪些类型的企业影响尤其显著?
数字化转型是各行业都在积极开展的重点工作,数字化就必然会产生数据,数据可以国家、行业、组织层面的,也可以是个人层面的。因此,《数据安全法》对各行业各类型的企业或多或少都会带来影响。像从事电商、网约车、即时通信(社交)等互联网企业,像银行、保险具有较高敏感性数据的机构,以及政务行业,会有显著的影响。其中政务数据被《数据安全法》单独列成了一个章节,足见国家对政务数据的重视。影响主要体现在如下个方面:
需要排查所辖范围内的数据是否有不明来源、过度采集等违法情况,并及时整改,需要具备数据监控的能力;
数据主体更会关注个人数据的使用和安全性,数据运营方需要应对质疑,并在合法的情况下配合数据主体行使数据的各项权利;
任何信息系统在建设之初必须考虑数据安全问题,否则违法风险会很高;
数据安全相关人才的引进和培养;
企业合规的几点建议
如果企业中存在大量数据,相关人员必须认真对待,一旦发生数据泄露事件,受处罚的不光是企业,还有直接责任人。在国家相关法规与规则日渐完善的背景上,相应的对企业数据合规治理工作提出了更高的要求。针对《数据安全法》及相关的规则体系,企业可以从以下几个方面构建自己的合规体系:
全面数据合规理念的树立
《数据安全法》的颁布,标示着我国的数据治理已经迈入了一个新阶段,结合前面已经颁布的《网络安全法》以及后续即将颁布的《个人信息保护法》,中国大数据时代法律规制的基本框架已经形成,原来国内数据行业的野蛮生长态势将得到遏制,如何在合法的框架内处理数据,将数据的效益最大化将会是今后企业发展的重要突破口。因此,企业首先应当在企业内部树立起数据合规意识,建立数据合规制度,按照《数据安全法》中已经规定的内容开展数据活动,健全全流程数据安全制度,组织开展数据安全教育培训,采取技术措施保障数据安全,建立重要数据的安全负责人和管理机构,涉及数据处理活动风险评估方案以及数据安全问题应急处置方案。
企业自身数据保护
现如今随着互联网人口红利的消失,竞争变得愈加激烈,很多企业的网站与APP等会受到网络黑灰产甚至行业竞争对手的攻击,恶意爬虫、社工库、撞库攻击、账户泄露、盗刷等问题层出不穷,而这些问题将给企业的数据安全带来非常直接的风险。总之,导致这些问题的恶意机器流量早已渗透至企业核心业务场景之中,企业必须提前发现并处理恶意机器流量,做好保障好自身数据安全的关键一环。
建立数据分类分级制度
注意数据分类保护,建议可以先关注《工业数据分级分类指南(试行)》《证券期货业数据分类分级指引》《基础电信企业数据分类分级方法》(YD/T3813-2020)《个人金融信息保护技术规范》(JR/T0171-2020)等已经制定的分级分类国家标准,先行评估制定自己公司的分级保护方式,另外也需要密切关注地方行业主管部门发布的数据分类分级目录,在后续如果有出台的情况下以目前已有的目录进行对接调整。
《数据安全法》的出台,其实不只意味着数据领域的监管趋严,在“牢笼”的形态之外,法案也在加速了新风口的诞生,更多前沿技术投入到数据领域的使用。它带来的影响必然会加速数字新经济的竞争规则和合规方式的转变,企业和相关人员均必须对数据合规工作及早着手,梳理企业目前的数据处理流程,完善数据处理合规措施。