6月10日,《中華人民共和國數(shù)據(jù)安全法》(簡稱“數(shù)據(jù)安全法”)審議通過,將于今年9月1日施行。從國內(nèi)來看,數(shù)據(jù)安全法的出臺進一步完善了我國數(shù)據(jù)安全基礎(chǔ)法律體系,解決了我國數(shù)據(jù)安全領(lǐng)域長期沒有獨立且融貫的法律體系的問題。從國際來看,數(shù)據(jù)安全法為我國構(gòu)建起一道全新的數(shù)據(jù)安全法律保障體系屏障,將對重塑國際數(shù)據(jù)規(guī)則具有重要影響。
將數(shù)據(jù)安全上升到國家安全層面
數(shù)據(jù)安全法將數(shù)據(jù)安全上升到國家安全層面,對管轄地域、行為和對象進行了明確和規(guī)范。
從地域來看,數(shù)據(jù)安全法的管轄范圍包含境內(nèi)和境外兩個層面。我國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管,適用數(shù)據(jù)安全法;損害國家安全、公共利益或者公民、組織合法權(quán)益的境外的數(shù)據(jù)處理行為同樣可依據(jù)本法律進行規(guī)制。
從約束行為來看,數(shù)據(jù)安全法的管轄范圍包括數(shù)據(jù)處理活動和數(shù)據(jù)安全監(jiān)管活動。開展數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動,應(yīng)依照本法律相關(guān)規(guī)定;有關(guān)主管部門的數(shù)據(jù)安全監(jiān)管同樣應(yīng)依照數(shù)據(jù)安全法開展。
從數(shù)據(jù)處理活動的對象來看,數(shù)據(jù)安全法適用于針對“數(shù)據(jù)”的處理活動,適用范圍非常廣泛。數(shù)據(jù)安全法在法律層面明確了“數(shù)據(jù)”的概念,涵蓋任何以電子或者其他方式對信息的記錄。
數(shù)據(jù)安全法明確了我國數(shù)據(jù)安全領(lǐng)域采取“中央統(tǒng)籌+地方與部門分治”的基本監(jiān)管架構(gòu)。中央層面,國家安全領(lǐng)導(dǎo)機構(gòu)是數(shù)據(jù)安全工作的領(lǐng)導(dǎo)機構(gòu)。執(zhí)行層面,地區(qū)與行業(yè)部門對各自工作中收集和產(chǎn)生的數(shù)據(jù)安全負責(zé)并承擔(dān)安全監(jiān)管責(zé)任。國家網(wǎng)信部門負責(zé)對網(wǎng)絡(luò)數(shù)據(jù)安全和監(jiān)管工作進行統(tǒng)籌協(xié)調(diào)。
構(gòu)建我國數(shù)據(jù)安全基本制度
數(shù)據(jù)安全法第三章構(gòu)建了我國的數(shù)據(jù)安全基本制度,包括數(shù)據(jù)分類分級、重要數(shù)據(jù)保護等7個方面。
數(shù)據(jù)分類分級保護制度。數(shù)據(jù)安全法規(guī)定,“國家建立數(shù)據(jù)分類分級保護制度”。數(shù)據(jù)分類分級是以風(fēng)險程度為導(dǎo)向,以數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度以及數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度作為原則性標準。電網(wǎng)企業(yè)應(yīng)遵循國家建立的分類分級路徑,健全數(shù)據(jù)分類分級管理,將已有的分類分級體系與國家行將出臺的分類分級保護制度進行有機銜接。
重要數(shù)據(jù)重點保護制度。數(shù)據(jù)安全法規(guī)定,“國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護”“各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護”。電網(wǎng)企業(yè)開展業(yè)務(wù)的過程涉及大量電力數(shù)據(jù)。此類數(shù)據(jù)對國家安全與社會公共利益有重大影響,很可能被相關(guān)主管部門認定為重要數(shù)據(jù)。建議重點關(guān)注重要數(shù)據(jù)保護制度和重要數(shù)據(jù)處理者的相關(guān)義務(wù)。
國家核心數(shù)據(jù)嚴格保護制度。數(shù)據(jù)安全法對國家核心數(shù)據(jù)實施更加嚴格的管理制度:監(jiān)管部門對相關(guān)主體的罰款最高可達人民幣1000萬元,并可以根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,追究刑事責(zé)任。電力數(shù)據(jù)事關(guān)國計民生,有可能被認定為國家核心數(shù)據(jù)。電網(wǎng)企業(yè)應(yīng)持續(xù)關(guān)注立法進度,做好合規(guī)規(guī)劃。
數(shù)據(jù)安全風(fēng)險機制。數(shù)據(jù)安全法建立數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警和應(yīng)急處置機制,通過對數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警以及數(shù)據(jù)安全事件發(fā)生后的應(yīng)急處置,實現(xiàn)數(shù)據(jù)安全事前、事中和事后的全流程保障。相關(guān)企業(yè)應(yīng)加強相應(yīng)機制建設(shè),落實防護措施和策略,完善應(yīng)急預(yù)案,強化數(shù)據(jù)安全的事前評估、事中監(jiān)測、事后處置等全流程風(fēng)險管控能力。
數(shù)據(jù)活動國家安全審查制度。數(shù)據(jù)安全法規(guī)定,國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。企業(yè)應(yīng)健全數(shù)據(jù)活動審查管理,并按照要求配合數(shù)據(jù)活動國家審查。
數(shù)據(jù)出口管制。數(shù)據(jù)安全法把屬于管制物項的數(shù)據(jù)納入了出口管制對象范圍。相關(guān)企業(yè)應(yīng)主動密切跟蹤出口管制清單有關(guān)內(nèi)容,加強跨境數(shù)據(jù)管理。
企業(yè)應(yīng)圍繞法律規(guī)定構(gòu)建合規(guī)體系
數(shù)據(jù)安全法第四章規(guī)范了數(shù)據(jù)處理者對數(shù)據(jù)的安全保護義務(wù)。安全保護義務(wù)是數(shù)據(jù)處理者最為直接的合規(guī)義務(wù)。第六章“法律責(zé)任”大部分條款則規(guī)定了違反安全保護義務(wù)后應(yīng)承擔(dān)的責(zé)任。
● 一般數(shù)據(jù)處理者的義務(wù)
一是明確數(shù)據(jù)處理活動的安全要求。數(shù)據(jù)安全法規(guī)定了一般數(shù)據(jù)處理者的安全保護義務(wù),包括建立健全全流程數(shù)據(jù)安全管理制度、組織開展數(shù)據(jù)安全教育培訓(xùn)、采取相應(yīng)的技術(shù)措施和其他必要措施、落實網(wǎng)絡(luò)安全等級保護制度等。同時,數(shù)據(jù)安全法針對重要的數(shù)據(jù)處理活動環(huán)節(jié)提出安全要求,明確收集數(shù)據(jù)“采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)”,“非經(jīng)中華人民共和國主管機關(guān)批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)”。
二是開展數(shù)據(jù)安全風(fēng)險的監(jiān)測、安全事件報告。數(shù)據(jù)安全法規(guī)定,“開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強風(fēng)險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應(yīng)當(dāng)立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告”。
三是明確特殊的數(shù)據(jù)活動參與主體的合規(guī)要求。數(shù)據(jù)安全法規(guī)定,“從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù),應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄”“法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的,服務(wù)提供者應(yīng)當(dāng)依法取得許可”。
數(shù)據(jù)處理者應(yīng)落實基本數(shù)據(jù)安全保護要求,開展包括建立健全數(shù)據(jù)安全管理制度、開展安全教育培訓(xùn)、采取技術(shù)措施等在內(nèi)的相關(guān)安全工作。
● 重要數(shù)據(jù)處理者的義務(wù)
數(shù)據(jù)安全法在一般數(shù)據(jù)處理者的基礎(chǔ)上,對重要數(shù)據(jù)的處理者規(guī)定了“增強型”的保護義務(wù)。
一是明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)責(zé)任。數(shù)據(jù)安全法規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)。電網(wǎng)企業(yè)可綜合考慮業(yè)務(wù)及數(shù)據(jù)職責(zé)、合規(guī)責(zé)任等,明確負責(zé)人和管理機構(gòu)。
二是定期開展風(fēng)險評估并報送風(fēng)險評估報告的責(zé)任。重要數(shù)據(jù)處理者應(yīng)對重要數(shù)據(jù)處理活動定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告。重要數(shù)據(jù)處理者不僅要履行數(shù)據(jù)安全保護義務(wù),更要積極地向監(jiān)管部門說明內(nèi)部風(fēng)險的識別和應(yīng)對情況,體現(xiàn)了“合規(guī)與自證合規(guī)并重”的理念。建議相關(guān)企業(yè)開展重要數(shù)據(jù)處理活動風(fēng)險評估活動,并保存評估活動記錄以作為自證合規(guī)的證據(jù)。
三是數(shù)據(jù)出境的相關(guān)義務(wù)。數(shù)據(jù)安全法一方面強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者產(chǎn)生的重要數(shù)據(jù)出境問題按照《中華人民共和國網(wǎng)絡(luò)安全法》進行處理;另一方面,彌補了《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)則空白,明確了非關(guān)鍵信息基礎(chǔ)設(shè)施運營者跨境傳輸重要數(shù)據(jù)將適用另行制定的規(guī)則。相關(guān)企業(yè)應(yīng)在重要數(shù)據(jù)出境方面按照法律規(guī)定采取嚴格的合規(guī)措施。
數(shù)據(jù)安全法作為基礎(chǔ)性法律,將通過配套法律法規(guī)予以細化和落地,根據(jù)《國務(wù)院2021年度立法工作計劃》,《數(shù)據(jù)安全管理條例》已被列入擬制定、修訂的行政法規(guī)。
數(shù)據(jù)安全法是數(shù)據(jù)安全與合規(guī)的基礎(chǔ)規(guī)則之一。對于企業(yè)而言,圍繞數(shù)據(jù)安全法及其配套相關(guān)規(guī)定,構(gòu)建自身的合規(guī)體系將是未來兩三年內(nèi)數(shù)據(jù)合規(guī)工作的重點內(nèi)容,也是緊迫的現(xiàn)實需求。
(作者單位:國家電網(wǎng)有限公司大數(shù)據(jù)中心)
評論