数据智能时代,大数据野蛮生长,对数据立法,已经势在必行。
6月10日,备受社会关注的《中华人民共和国数据安全法》(下称《数据安全法》)历经三次审议和修改正式出台,确定将于今年9月1日起正式实施。
伴随数字化进程,当企业在数字蓝海开疆辟土的时候,数据安全就是企业背后的掌舵人。毋庸置疑,数据安全将是企业面临的一场大考,从《数据安全法》撕开一个口子,我们可以窥见一二。
01 数据管辖除了「眼前」,还有「远方」
《数据安全法》在境外管辖上实现了突破,覆盖了境内和境外两个层面。
关于境内外数据安全风险
第二条:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
解读:表明我国数据安全法属于长臂管辖,境外组织触犯本法同样要追责。
第三条:本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
解读:明确了数据、数据处理、数据安全的定义,所有在中华人民共和国境内的数据处理者都要按照本法的要求进行数据安全的建设。
第十一条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
解读:在数据跨境传输方面,我国鼓励数据处理者进行国与国之间的数据流通,在数据安全标准制定方面我国后来居上,参与到众多国际化标准制定当中。
第三十六条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
解读:如果要向境外传输数据,数据不能被转发到国外司法或者执法机构的平台中。境内外关联公司,如子公司与母公司之间进行的数据传输,客户要同时遵守我国与对方国家的法律法规。实际上是将境内法律的适用范围通过合同扩大到境外主体上。
02 数据管理要「知己」,更要「知彼」
分级分类是管理的基础,《数据安全法》明确了企业要对数据分级分类,不同类数据面临不同的管理要求、合规义务。
数据安全保护等级
第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
解读:第二十一条与第二十七条表明我国对数据安全会如同等保一般进行分级、分类保护,通过“技术手段+管理制度”作为标准对企业的数据安全态势进行评测、审查。未来数据安全检查很大可能会纳入等保范围,丰富等保测评的检查项。
第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
解读:第二十九条和第三十条表明了数据安全法会像等保一样在数据处理活动时要有“事前预防”、“事中处置”、“事后追溯”的动作,根据数据重要等级进行周期性的评测工作,并及时上报监管部门进行备案。
03 数据出境,做好合规「守门人」
《数据安全法》中明确规定,关键信息基础设施向境外提供重要数据前,要进行安全评估。
数据安全导向
第三十一条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
解读:在数据出境规定方面,我国对关键基础设施运营者与其他数据处理者进行了区分,网信办等监管部门会加速相关规则的制订(参见《数据出境安全评估指南(草案)》和《个人信息出境安全评估办法(征求意见稿)》),完善数据安全合规检查流程。
《数据安全法》是我国第一部有关数据安全的专门法律,它将与《网络安全法》以及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架;它的出现会消除今后关于数据的灰色地带,明确了数据安全保护责任会对今后大量的数据轮转中出现更多对于数据安全方面的需求。