企業(yè)合規(guī)“待辦清單”

佟日

數(shù)據(jù)安全要素具有多重屬性。《數(shù)據(jù)安全法》的頒布實(shí)施，既從宏觀上對(duì)保障國(guó)家安全、維護(hù)國(guó)家主權(quán)提出了制度性的管理要求，又對(duì)組織與個(gè)人落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行了原則性規(guī)定，明確了相應(yīng)的法律責(zé)任。對(duì)企業(yè)而言，“《數(shù)據(jù)安全法》監(jiān)管時(shí)代”已經(jīng)到來(lái)。

企業(yè)迎來(lái)“數(shù)安法”監(jiān)管時(shí)代

《數(shù)據(jù)安全法》被視為我國(guó)網(wǎng)絡(luò)空間與信息安全治理的三部基礎(chǔ)性法律之一。其著力于從保障數(shù)字經(jīng)濟(jì)發(fā)展角度，強(qiáng)調(diào)數(shù)據(jù)安全與經(jīng)濟(jì)發(fā)展的辯證關(guān)系，堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展。企業(yè)應(yīng)明確《數(shù)據(jù)安全法》下的合規(guī)應(yīng)對(duì)措施，梳理出一張“待辦清單”，以盡快落實(shí)合規(guī)措施，加強(qiáng)數(shù)據(jù)安全管理。

《數(shù)據(jù)安全法》的適用范圍可以用“三個(gè)覆蓋”來(lái)概括：一是監(jiān)管對(duì)象、信息形式全覆蓋。該法中所稱(chēng)的數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄;二是監(jiān)管活動(dòng)、數(shù)據(jù)生命周期全覆蓋?！稊?shù)據(jù)安全法》囊括了對(duì)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)（統(tǒng)稱(chēng)為“數(shù)據(jù)處理活動(dòng)”）的安全管理要求;三是適用地域范圍、域內(nèi)外效力全覆蓋。不僅在中華人民共和國(guó)境內(nèi)開(kāi)展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管時(shí)適用本法，還創(chuàng)設(shè)了具有中國(guó)特色的長(zhǎng)臂管轄條款，即在中華人民共和國(guó)境外開(kāi)展數(shù)據(jù)處理活動(dòng)，損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的，也適用本法。

綜上，《數(shù)據(jù)安全法》輻射范圍廣，只要在華企業(yè)的日常經(jīng)營(yíng)、業(yè)務(wù)活動(dòng)涉及數(shù)據(jù)生命周期的任何一個(gè)環(huán)節(jié)，或者境外企業(yè)涉及與中國(guó)有關(guān)的數(shù)據(jù)處理活動(dòng)的，皆受到該法的規(guī)制。

《數(shù)據(jù)安全法》作為我國(guó)第一部針對(duì)數(shù)據(jù)安全領(lǐng)域的專(zhuān)門(mén)立法，明確了一系列制度性框架和管理義務(wù)要求。除了對(duì)各類(lèi)企業(yè)的一般性要求外，《數(shù)據(jù)安全法》特別就兩類(lèi)企業(yè)提出了特殊要求。一是要求可能涉及重要數(shù)據(jù)的金融、電信、交通、自然資源等關(guān)鍵行業(yè)的企業(yè)，緊密關(guān)注數(shù)據(jù)分類(lèi)及重要數(shù)據(jù)保護(hù)制度，明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任;二是對(duì)數(shù)據(jù)交易平臺(tái)提出了審核數(shù)據(jù)來(lái)源及交易雙方的要求，并將未盡到該義務(wù)的法律責(zé)任與違法所得掛鉤，突破了以往定額罰款的限制。

《數(shù)據(jù)安全法》定義的數(shù)據(jù)安全，是指通過(guò)采取必要措施，確保數(shù)據(jù)處于被有效保護(hù)和合法利用的狀態(tài)。從這一定義來(lái)看，《數(shù)據(jù)安全法》要求企業(yè)落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)，須達(dá)到兩個(gè)標(biāo)準(zhǔn)：一是企業(yè)自身的管理能力，足以保障數(shù)據(jù)安全;二是從結(jié)果出發(fā)，保障數(shù)據(jù)處于被有效保護(hù)和合法利用的狀態(tài)。

基于這兩個(gè)重點(diǎn)，依據(jù)《數(shù)據(jù)安全法》明確義務(wù)，可梳理出企業(yè)現(xiàn)階段的待辦事項(xiàng)，以及內(nèi)部應(yīng)制定并執(zhí)行的管理制度。一方面，建議企業(yè)把握《數(shù)據(jù)安全法》開(kāi)始生效后的過(guò)渡期，及時(shí)完成自查自糾、合規(guī)整改;另一方面，管理制度的構(gòu)建和嚴(yán)格執(zhí)行，也有助于企業(yè)在不慎發(fā)生數(shù)據(jù)安全事件時(shí)，提供依法管理、審慎經(jīng)營(yíng)的證明。

一是建議企業(yè)內(nèi)部成立個(gè)人信息保護(hù)委員會(huì)工作小組（可由法務(wù)、技術(shù)、業(yè)務(wù)人員協(xié)同組建），專(zhuān)項(xiàng)負(fù)責(zé)個(gè)人信息保護(hù)事宜，包括個(gè)人信息的收集、使用、存儲(chǔ)，以及響應(yīng)個(gè)人信息主體的權(quán)利要求，制定工作規(guī)章，明確分工及合作流程。

二是如果企業(yè)需要面向個(gè)人信息主體直接收集信息，建議制定獨(dú)立的隱私政策，明確收集的對(duì)象、類(lèi)型、目的、處理方式等，并嚴(yán)格按照隱私政策中說(shuō)明的內(nèi)容處理。建議企業(yè)定期根據(jù)業(yè)務(wù)發(fā)展審閱、更新隱私政策，確保其與業(yè)務(wù)實(shí)踐一致。企業(yè)內(nèi)部還應(yīng)制定有關(guān)隱私政策起草、更新和審核的制度。

三是如果企業(yè)因業(yè)務(wù)需要向第三方間接收集個(gè)人信息，建議加強(qiáng)對(duì)第三方數(shù)據(jù)來(lái)源的審核工作，制定企業(yè)內(nèi)部間接收集個(gè)人信息的制度規(guī)范。

四是如果企業(yè)需要利用諸如網(wǎng)絡(luò)“爬蟲(chóng)”等技術(shù)獲取數(shù)據(jù)，或通過(guò)人臉識(shí)別設(shè)備采集數(shù)據(jù)，建議充分評(píng)估信息安全風(fēng)險(xiǎn)，制定企業(yè)內(nèi)部針對(duì)專(zhuān)項(xiàng)個(gè)人信息處理的安全影響評(píng)估方案。

五是要明確，落實(shí)網(wǎng)絡(luò)安全保護(hù)義務(wù)，是企業(yè)在不慎發(fā)生數(shù)據(jù)泄露時(shí)可以進(jìn)行合理抗辯和自我保護(hù)的基礎(chǔ)。

六是建議企業(yè)組織員工培訓(xùn)，規(guī)范業(yè)務(wù)部門(mén)、技術(shù)部門(mén)處理數(shù)據(jù)的操作。企業(yè)內(nèi)部應(yīng)制定員工數(shù)據(jù)處理安全規(guī)范。

七是明確企業(yè)不同數(shù)據(jù)的存儲(chǔ)形式、加密手段和存儲(chǔ)期限等。

八是建議企業(yè)建立數(shù)據(jù)事件響應(yīng)機(jī)制，包括響應(yīng)時(shí)間、內(nèi)部報(bào)告主體及流程、告知涉事信息主體的時(shí)間及方式、關(guān)于報(bào)告的內(nèi)部審批流程、統(tǒng)一管理對(duì)外信息發(fā)布等。

九是采用機(jī)器人與人工雙重審閱的方式，審查數(shù)據(jù)來(lái)源的合法性，并要求數(shù)據(jù)提供方提交書(shū)面承諾。

十是建議企業(yè)內(nèi)部制定向政府、司法部門(mén)提供數(shù)據(jù)的工作流程及管理規(guī)范，明確企業(yè)與政府、司法部門(mén)對(duì)接的人員，記錄提供數(shù)據(jù)的原因，數(shù)據(jù)的類(lèi)型、數(shù)量，所涉主體的類(lèi)型，并確保數(shù)據(jù)在傳輸過(guò)程中的安全。

除前述列明的義務(wù)或制度要求外，《數(shù)據(jù)安全法》中還有一些重點(diǎn)內(nèi)容需要提醒企業(yè)注意。雖然囿于當(dāng)前配套立法尚未完善，企業(yè)尚無(wú)法落地具體制度，但仍建議未雨綢繆，重點(diǎn)關(guān)注幾個(gè)方面。待配套法律法規(guī)施行后，企業(yè)在應(yīng)對(duì)新的“強(qiáng)監(jiān)管”的過(guò)程中能夠平穩(wěn)過(guò)渡。

一是重要數(shù)據(jù)與核心數(shù)據(jù)的保護(hù)。《數(shù)據(jù)安全法》第二十一條規(guī)定了國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制，統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的數(shù)據(jù)，屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。各地區(qū)、各部門(mén)應(yīng)當(dāng)按照數(shù)據(jù)分類(lèi)、分級(jí)保護(hù)制度，確定本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄。

《數(shù)據(jù)安全法》針對(duì)重要數(shù)據(jù)的保護(hù)明確了相關(guān)的配套規(guī)則：一方面要求中央指導(dǎo)地方，細(xì)化重要數(shù)據(jù)目錄，明確重要數(shù)據(jù)的范圍;另一方面對(duì)重要數(shù)據(jù)的保護(hù)提出了多方位的要求，例如明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)、定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并發(fā)送風(fēng)險(xiǎn)評(píng)估報(bào)告、重要數(shù)據(jù)出境安全管理等。建議企業(yè)持續(xù)跟蹤重要數(shù)據(jù)目錄發(fā)布情況，以及核心數(shù)據(jù)的界定標(biāo)準(zhǔn)。一旦企業(yè)控制的數(shù)據(jù)進(jìn)入重要數(shù)據(jù)、核心數(shù)據(jù)的范疇，那么企業(yè)當(dāng)前的合規(guī)管理工作就應(yīng)及時(shí)予以跟進(jìn)。

二是數(shù)據(jù)的跨境流動(dòng)。隨著近年來(lái)中國(guó)企業(yè)實(shí)施“走出去”戰(zhàn)略，數(shù)據(jù)跨境流動(dòng)一直是企業(yè)實(shí)踐的熱切訴求，也是國(guó)家立法、執(zhí)法所關(guān)注的重點(diǎn)。

目前我國(guó)對(duì)數(shù)據(jù)跨境傳輸?shù)囊?guī)定尚停留在原則性范圍內(nèi)，未發(fā)布對(duì)數(shù)據(jù)跨境流動(dòng)實(shí)操有指導(dǎo)意義的法律文件?！稊?shù)據(jù)安全法》雖然表明了國(guó)家對(duì)數(shù)據(jù)跨境流動(dòng)的積極態(tài)度，指出國(guó)家要積極開(kāi)展數(shù)據(jù)安全治理、數(shù)據(jù)開(kāi)發(fā)利用等領(lǐng)域的國(guó)際交流與合作，參與數(shù)據(jù)安全相關(guān)國(guó)際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，但不難發(fā)現(xiàn)，數(shù)據(jù)自由流動(dòng)的前提是確保數(shù)據(jù)安全。特別是《數(shù)據(jù)安全法》強(qiáng)調(diào)，國(guó)家對(duì)于與維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)相關(guān)的，屬于管制物項(xiàng)的數(shù)據(jù)，依法實(shí)施出口管制。由此可見(jiàn)，重要數(shù)據(jù)的流動(dòng)仍適用“嚴(yán)監(jiān)管”原則。