6月10日,《中華人民共和國(guó)數(shù)據(jù)安全法》(簡(jiǎn)稱“數(shù)據(jù)安全法”)審議通過(guò),將于今年9月1日施行。從國(guó)內(nèi)來(lái)看,數(shù)據(jù)安全法的出臺(tái)進(jìn)一步完善了我國(guó)數(shù)據(jù)安全基礎(chǔ)法律體系,解決了我國(guó)數(shù)據(jù)安全領(lǐng)域長(zhǎng)期沒(méi)有獨(dú)立且融貫的法律體系的問(wèn)題。從國(guó)際來(lái)看,數(shù)據(jù)安全法為我國(guó)構(gòu)建起一道全新的數(shù)據(jù)安全法律保障體系屏障,將對(duì)重塑?chē)?guó)際數(shù)據(jù)規(guī)則具有重要影響。
將數(shù)據(jù)安全上升到國(guó)家安全層面
數(shù)據(jù)安全法將數(shù)據(jù)安全上升到國(guó)家安全層面,對(duì)管轄地域、行為和對(duì)象進(jìn)行了明確和規(guī)范。
從地域來(lái)看,數(shù)據(jù)安全法的管轄范圍包含境內(nèi)和境外兩個(gè)層面。我國(guó)境內(nèi)開(kāi)展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管,適用數(shù)據(jù)安全法;損害國(guó)家安全、公共利益或者公民、組織合法權(quán)益的境外的數(shù)據(jù)處理行為同樣可依據(jù)本法律進(jìn)行規(guī)制。
從約束行為來(lái)看,數(shù)據(jù)安全法的管轄范圍包括數(shù)據(jù)處理活動(dòng)和數(shù)據(jù)安全監(jiān)管活動(dòng)。開(kāi)展數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等數(shù)據(jù)處理活動(dòng),應(yīng)依照本法律相關(guān)規(guī)定;有關(guān)主管部門(mén)的數(shù)據(jù)安全監(jiān)管同樣應(yīng)依照數(shù)據(jù)安全法開(kāi)展。
從數(shù)據(jù)處理活動(dòng)的對(duì)象來(lái)看,數(shù)據(jù)安全法適用于針對(duì)“數(shù)據(jù)”的處理活動(dòng),適用范圍非常廣泛。數(shù)據(jù)安全法在法律層面明確了“數(shù)據(jù)”的概念,涵蓋任何以電子或者其他方式對(duì)信息的記錄。
數(shù)據(jù)安全法明確了我國(guó)數(shù)據(jù)安全領(lǐng)域采取“中央統(tǒng)籌+地方與部門(mén)分治”的基本監(jiān)管架構(gòu)。中央層面,國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)是數(shù)據(jù)安全工作的領(lǐng)導(dǎo)機(jī)構(gòu)。執(zhí)行層面,地區(qū)與行業(yè)部門(mén)對(duì)各自工作中收集和產(chǎn)生的數(shù)據(jù)安全負(fù)責(zé)并承擔(dān)安全監(jiān)管責(zé)任。國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全和監(jiān)管工作進(jìn)行統(tǒng)籌協(xié)調(diào)。
構(gòu)建我國(guó)數(shù)據(jù)安全基本制度
數(shù)據(jù)安全法第三章構(gòu)建了我國(guó)的數(shù)據(jù)安全基本制度,包括數(shù)據(jù)分類(lèi)分級(jí)、重要數(shù)據(jù)保護(hù)等7個(gè)方面。
數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度。數(shù)據(jù)安全法規(guī)定,“國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度”。數(shù)據(jù)分類(lèi)分級(jí)是以風(fēng)險(xiǎn)程度為導(dǎo)向,以數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度以及數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度作為原則性標(biāo)準(zhǔn)。電網(wǎng)企業(yè)應(yīng)遵循國(guó)家建立的分類(lèi)分級(jí)路徑,健全數(shù)據(jù)分類(lèi)分級(jí)管理,將已有的分類(lèi)分級(jí)體系與國(guó)家行將出臺(tái)的分類(lèi)分級(jí)保護(hù)制度進(jìn)行有機(jī)銜接。
重要數(shù)據(jù)重點(diǎn)保護(hù)制度。數(shù)據(jù)安全法規(guī)定,“國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)制定重要數(shù)據(jù)目錄,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)”“各地區(qū)、各部門(mén)應(yīng)當(dāng)按照數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度,確定本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)”。電網(wǎng)企業(yè)開(kāi)展業(yè)務(wù)的過(guò)程涉及大量電力數(shù)據(jù)。此類(lèi)數(shù)據(jù)對(duì)國(guó)家安全與社會(huì)公共利益有重大影響,很可能被相關(guān)主管部門(mén)認(rèn)定為重要數(shù)據(jù)。建議重點(diǎn)關(guān)注重要數(shù)據(jù)保護(hù)制度和重要數(shù)據(jù)處理者的相關(guān)義務(wù)。
國(guó)家核心數(shù)據(jù)嚴(yán)格保護(hù)制度。數(shù)據(jù)安全法對(duì)國(guó)家核心數(shù)據(jù)實(shí)施更加嚴(yán)格的管理制度:監(jiān)管部門(mén)對(duì)相關(guān)主體的罰款最高可達(dá)人民幣1000萬(wàn)元,并可以根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照;構(gòu)成犯罪的,追究刑事責(zé)任。電力數(shù)據(jù)事關(guān)國(guó)計(jì)民生,有可能被認(rèn)定為國(guó)家核心數(shù)據(jù)。電網(wǎng)企業(yè)應(yīng)持續(xù)關(guān)注立法進(jìn)度,做好合規(guī)規(guī)劃。
數(shù)據(jù)安全風(fēng)險(xiǎn)機(jī)制。數(shù)據(jù)安全法建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警和應(yīng)急處置機(jī)制,通過(guò)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警以及數(shù)據(jù)安全事件發(fā)生后的應(yīng)急處置,實(shí)現(xiàn)數(shù)據(jù)安全事前、事中和事后的全流程保障。相關(guān)企業(yè)應(yīng)加強(qiáng)相應(yīng)機(jī)制建設(shè),落實(shí)防護(hù)措施和策略,完善應(yīng)急預(yù)案,強(qiáng)化數(shù)據(jù)安全的事前評(píng)估、事中監(jiān)測(cè)、事后處置等全流程風(fēng)險(xiǎn)管控能力。
數(shù)據(jù)活動(dòng)國(guó)家安全審查制度。數(shù)據(jù)安全法規(guī)定,國(guó)家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。企業(yè)應(yīng)健全數(shù)據(jù)活動(dòng)審查管理,并按照要求配合數(shù)據(jù)活動(dòng)國(guó)家審查。
數(shù)據(jù)出口管制。數(shù)據(jù)安全法把屬于管制物項(xiàng)的數(shù)據(jù)納入了出口管制對(duì)象范圍。相關(guān)企業(yè)應(yīng)主動(dòng)密切跟蹤出口管制清單有關(guān)內(nèi)容,加強(qiáng)跨境數(shù)據(jù)管理。
企業(yè)應(yīng)圍繞法律規(guī)定構(gòu)建合規(guī)體系
數(shù)據(jù)安全法第四章規(guī)范了數(shù)據(jù)處理者對(duì)數(shù)據(jù)的安全保護(hù)義務(wù)。安全保護(hù)義務(wù)是數(shù)據(jù)處理者最為直接的合規(guī)義務(wù)。第六章“法律責(zé)任”大部分條款則規(guī)定了違反安全保護(hù)義務(wù)后應(yīng)承擔(dān)的責(zé)任。
● 一般數(shù)據(jù)處理者的義務(wù)
一是明確數(shù)據(jù)處理活動(dòng)的安全要求。數(shù)據(jù)安全法規(guī)定了一般數(shù)據(jù)處理者的安全保護(hù)義務(wù),包括建立健全全流程數(shù)據(jù)安全管理制度、組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)、采取相應(yīng)的技術(shù)措施和其他必要措施、落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等。同時(shí),數(shù)據(jù)安全法針對(duì)重要的數(shù)據(jù)處理活動(dòng)環(huán)節(jié)提出安全要求,明確收集數(shù)據(jù)“采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)”,“非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn),境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)”。
二是開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)測(cè)、安全事件報(bào)告。數(shù)據(jù)安全法規(guī)定,“開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè),發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施;發(fā)生數(shù)據(jù)安全事件時(shí),應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告”。
三是明確特殊的數(shù)據(jù)活動(dòng)參與主體的合規(guī)要求。數(shù)據(jù)安全法規(guī)定,“從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù),應(yīng)當(dāng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源,審核交易雙方的身份,并留存審核、交易記錄”“法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的,服務(wù)提供者應(yīng)當(dāng)依法取得許可”。
數(shù)據(jù)處理者應(yīng)落實(shí)基本數(shù)據(jù)安全保護(hù)要求,開(kāi)展包括建立健全數(shù)據(jù)安全管理制度、開(kāi)展安全教育培訓(xùn)、采取技術(shù)措施等在內(nèi)的相關(guān)安全工作。
● 重要數(shù)據(jù)處理者的義務(wù)
數(shù)據(jù)安全法在一般數(shù)據(jù)處理者的基礎(chǔ)上,對(duì)重要數(shù)據(jù)的處理者規(guī)定了“增強(qiáng)型”的保護(hù)義務(wù)。
一是明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)責(zé)任。數(shù)據(jù)安全法規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)。電網(wǎng)企業(yè)可綜合考慮業(yè)務(wù)及數(shù)據(jù)職責(zé)、合規(guī)責(zé)任等,明確負(fù)責(zé)人和管理機(jī)構(gòu)。
二是定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告的責(zé)任。重要數(shù)據(jù)處理者應(yīng)對(duì)重要數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。重要數(shù)據(jù)處理者不僅要履行數(shù)據(jù)安全保護(hù)義務(wù),更要積極地向監(jiān)管部門(mén)說(shuō)明內(nèi)部風(fēng)險(xiǎn)的識(shí)別和應(yīng)對(duì)情況,體現(xiàn)了“合規(guī)與自證合規(guī)并重”的理念。建議相關(guān)企業(yè)開(kāi)展重要數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)評(píng)估活動(dòng),并保存評(píng)估活動(dòng)記錄以作為自證合規(guī)的證據(jù)。
三是數(shù)據(jù)出境的相關(guān)義務(wù)。數(shù)據(jù)安全法一方面強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者產(chǎn)生的重要數(shù)據(jù)出境問(wèn)題按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》進(jìn)行處理;另一方面,彌補(bǔ)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)則空白,明確了非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者跨境傳輸重要數(shù)據(jù)將適用另行制定的規(guī)則。相關(guān)企業(yè)應(yīng)在重要數(shù)據(jù)出境方面按照法律規(guī)定采取嚴(yán)格的合規(guī)措施。
數(shù)據(jù)安全法作為基礎(chǔ)性法律,將通過(guò)配套法律法規(guī)予以細(xì)化和落地,根據(jù)《國(guó)務(wù)院2021年度立法工作計(jì)劃》,《數(shù)據(jù)安全管理?xiàng)l例》已被列入擬制定、修訂的行政法規(guī)。
數(shù)據(jù)安全法是數(shù)據(jù)安全與合規(guī)的基礎(chǔ)規(guī)則之一。對(duì)于企業(yè)而言,圍繞數(shù)據(jù)安全法及其配套相關(guān)規(guī)定,構(gòu)建自身的合規(guī)體系將是未來(lái)兩三年內(nèi)數(shù)據(jù)合規(guī)工作的重點(diǎn)內(nèi)容,也是緊迫的現(xiàn)實(shí)需求。
(作者單位:國(guó)家電網(wǎng)有限公司大數(shù)據(jù)中心)
評(píng)論