6月10日,《中华人民共和国数据安全法》(简称“数据安全法”)审议通过,将于今年9月1日施行。从国内来看,数据安全法的出台进一步完善了我国数据安全基础法律体系,解决了我国数据安全领域长期没有独立且融贯的法律体系的问题。从国际来看,数据安全法为我国构建起一道全新的数据安全法律保障体系屏障,将对重塑国际数据规则具有重要影响。
将数据安全上升到国家安全层面
数据安全法将数据安全上升到国家安全层面,对管辖地域、行为和对象进行了明确和规范。
从地域来看,数据安全法的管辖范围包含境内和境外两个层面。我国境内开展数据处理活动及其安全监管,适用数据安全法;损害国家安全、公共利益或者公民、组织合法权益的境外的数据处理行为同样可依据本法律进行规制。
从约束行为来看,数据安全法的管辖范围包括数据处理活动和数据安全监管活动。开展数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动,应依照本法律相关规定;有关主管部门的数据安全监管同样应依照数据安全法开展。
从数据处理活动的对象来看,数据安全法适用于针对“数据”的处理活动,适用范围非常广泛。数据安全法在法律层面明确了“数据”的概念,涵盖任何以电子或者其他方式对信息的记录。
数据安全法明确了我国数据安全领域采取“中央统筹+地方与部门分治”的基本监管架构。中央层面,国家安全领导机构是数据安全工作的领导机构。执行层面,地区与行业部门对各自工作中收集和产生的数据安全负责并承担安全监管责任。国家网信部门负责对网络数据安全和监管工作进行统筹协调。
构建我国数据安全基本制度
数据安全法第三章构建了我国的数据安全基本制度,包括数据分类分级、重要数据保护等7个方面。
数据分类分级保护制度。数据安全法规定,“国家建立数据分类分级保护制度”。数据分类分级是以风险程度为导向,以数据在经济社会发展中的重要程度以及数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度作为原则性标准。电网企业应遵循国家建立的分类分级路径,健全数据分类分级管理,将已有的分类分级体系与国家行将出台的分类分级保护制度进行有机衔接。
重要数据重点保护制度。数据安全法规定,“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。电网企业开展业务的过程涉及大量电力数据。此类数据对国家安全与社会公共利益有重大影响,很可能被相关主管部门认定为重要数据。建议重点关注重要数据保护制度和重要数据处理者的相关义务。
国家核心数据严格保护制度。数据安全法对国家核心数据实施更加严格的管理制度:监管部门对相关主体的罚款最高可达人民币1000万元,并可以根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,追究刑事责任。电力数据事关国计民生,有可能被认定为国家核心数据。电网企业应持续关注立法进度,做好合规规划。
数据安全风险机制。数据安全法建立数据安全风险评估、报告、信息共享、监测预警和应急处置机制,通过对数据安全风险信息的获取、分析、研判、预警以及数据安全事件发生后的应急处置,实现数据安全事前、事中和事后的全流程保障。相关企业应加强相应机制建设,落实防护措施和策略,完善应急预案,强化数据安全的事前评估、事中监测、事后处置等全流程风险管控能力。
数据活动国家安全审查制度。数据安全法规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。企业应健全数据活动审查管理,并按照要求配合数据活动国家审查。
数据出口管制。数据安全法把属于管制物项的数据纳入了出口管制对象范围。相关企业应主动密切跟踪出口管制清单有关内容,加强跨境数据管理。
企业应围绕法律规定构建合规体系
数据安全法第四章规范了数据处理者对数据的安全保护义务。安全保护义务是数据处理者最为直接的合规义务。第六章“法律责任”大部分条款则规定了违反安全保护义务后应承担的责任。
● 一般数据处理者的义务
一是明确数据处理活动的安全要求。数据安全法规定了一般数据处理者的安全保护义务,包括建立健全全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施、落实网络安全等级保护制度等。同时,数据安全法针对重要的数据处理活动环节提出安全要求,明确收集数据“采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。
二是开展数据安全风险的监测、安全事件报告。数据安全法规定,“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”。
三是明确特殊的数据活动参与主体的合规要求。数据安全法规定,“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”。
数据处理者应落实基本数据安全保护要求,开展包括建立健全数据安全管理制度、开展安全教育培训、采取技术措施等在内的相关安全工作。
● 重要数据处理者的义务
数据安全法在一般数据处理者的基础上,对重要数据的处理者规定了“增强型”的保护义务。
一是明确数据安全负责人和管理机构责任。数据安全法规定,重要数据的处理者应当明确数据安全负责人和管理机构。电网企业可综合考虑业务及数据职责、合规责任等,明确负责人和管理机构。
二是定期开展风险评估并报送风险评估报告的责任。重要数据处理者应对重要数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。重要数据处理者不仅要履行数据安全保护义务,更要积极地向监管部门说明内部风险的识别和应对情况,体现了“合规与自证合规并重”的理念。建议相关企业开展重要数据处理活动风险评估活动,并保存评估活动记录以作为自证合规的证据。
三是数据出境的相关义务。数据安全法一方面强调了关键信息基础设施的运营者产生的重要数据出境问题按照《中华人民共和国网络安全法》进行处理;另一方面,弥补了《中华人民共和国网络安全法》的规则空白,明确了非关键信息基础设施运营者跨境传输重要数据将适用另行制定的规则。相关企业应在重要数据出境方面按照法律规定采取严格的合规措施。
数据安全法作为基础性法律,将通过配套法律法规予以细化和落地,根据《国务院2021年度立法工作计划》,《数据安全管理条例》已被列入拟制定、修订的行政法规。
数据安全法是数据安全与合规的基础规则之一。对于企业而言,围绕数据安全法及其配套相关规定,构建自身的合规体系将是未来两三年内数据合规工作的重点内容,也是紧迫的现实需求。
(作者单位:国家电网有限公司大数据中心)
评论