企業數據安全與隱私保護

楊振煜 白宇思

本文將綜合有關法律法規和實踐情況，解讀企業數據安全和隱私保護的概念、關系及側重點，供讀者參考。

數據安全與隱私保護

《中華人民共和國數據安全法（草案）》（稱“數據安全法草案”）經過全國人大常委會二次審議，并于2021年4月29日發布公開征求意見。其中將“數據安全”定義為“指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及保障持續安全狀態的能力”。此外，數據安全法草案在“第三章?數據安全制度”部分首要指出國家建立數據分級分類保護制度，加強對重要數據的保護。

結合企業經營及運營，本文對數據安全（Data?Security）做進一步延伸解讀。本文所稱的“數據安全”是指企業為保護數據安全，對于數據全生命周期即數據收集或生成、使用、傳輸、存儲、披露、流轉與跟蹤、銷毀搭建的安全體系，該安全體系側重數據分類分級及敏感數據全生命周期的保護。

根據數據是否涉及個人信息，我們可以把數據安全體系區分為個人數據安全與業務數據安全。在此基礎上，數據安全與隱私保護之間存在交集，即個人數據安全。結合上文所述，企業數據安全的首要目標在于保護企業數據全生命周期的安全狀態，其與隱私保護的交集在于對于個人數據的保護，涉及個人信息的數據（如個人敏感信息）可能被企業分類為敏感數據，擁有較高的安全等級，從而加大對此部分數據的保護力度。

企業隱私保護除前述討論的個人數據保護部分外，因涉及數據主體的隱私（對于企業數據資產來說屬于敏感數據），法規法規、企業規章制度、締約、承諾等對此類敏感數據的全生命周期加以嚴格約束，要求企業對此履行合規義務。如于2018年5月生效的歐盟《通用數據保護條例》（General?Data?Protection?Regulation，?Regulation?（EU）?2016/679?of?the?European?Parliament?and?of?the?Council，?the?“GDPR”），且GDPR的生效對跨國業務及全球隱私保護立法產生深遠影響;《中華人民共和國個人信息保護法（草案）》、數據安全法草案也于近日經人大常委會二次審議并公開征求意見，結合2017年6月1日生效的《中華人民共和國網絡安全法》，國內關于隱私保護方向的立法進程持續推進。當前，企業所要承擔的面向國內外的隱私保護合規義務不斷加重。故企業隱私保護可被解讀為“個人數據保護與合規義務履行”，對于企業來說，隱私保護側重合規義務履行。

數據分類與分級

數據分類與分級，是國家確立的數據安全核心制度，也是數據安全體系搭建的側重點。數據分類和分級是指將數據對象劃分類別并確定相應的安全等級，實施該等級對應程度的保護措施。

數據分類

數據分類是企業數據安全基礎工作之一，指企業根據持有的數據的內容、用途、業務領域等因素，對數據進行分類、歸類。我們以某已搭建用戶數量較大、業務類型較復雜的互聯網服務平臺企業為例，講解部分數據分類過程，供讀者加深理解。

第一步：結合該企業實際業務情況，我們建議企業將其數據資產劃分為用戶管理、市場活動管理、產品管理、服務管理、合作商管理、資源管理、企業管理七類;

北京市煒衡律師事務所楊振煜律師

第二步：結合企業實際業務場景，對場景中的涉及到的具體數據對象進行梳理、歸類、細分，自下而上完成對前述每一類的細化，形成子分類。以用戶管理類舉例，根據用戶數據采集、使用等場景的不同，用戶管理類又被劃分為用戶信息、用戶服務、用戶接觸、用戶評價、用戶問題、用戶維系挽留、用戶賬務七個子類，詳見下表：

一級分類 二級分類

名稱 范圍 名稱 釋義 范圍

用戶管理類

（舉例） 指向企業訂購產品或服務的自然人或法人（稱“用戶”）的信息;及用戶獲取產品時的數據;及用戶訂購產品時同賬務有關的數據 （1）用戶信息 指已經購買或使用某企業及其業務合作商所提供的產品或服務的用戶的社會屬性資料（潛在用戶也可歸為此類） 個人用戶基本信息、企業用戶基本信息、個人用戶資料企業用戶資料、用戶關系……

（2）用戶服務 指用戶與某企業及其業務合作商達成的關于購買和使用產品的權利和義務 用戶服務水平協議、用戶分級信息……

（3）用戶接觸 指通過各種渠道，與用戶進行聯系而產生的所有信息 通過電話營銷、線下活動等與用戶聯系產生的所有信息

（4）用戶評價 指對用戶相關信息收集、處理、分析生成的結果 用戶白名單、用戶黑名單、用戶積分信息、用戶信用等級信息、用戶價值、用戶流失傾向……

（5）用戶問題 指用戶由于所購買或使用的產品或服務出現問題而進行反映所產生的信息 用戶問題單信息、問題回復工單信息、問題答復單信息、問題工單信息……

（6）用戶維系挽留 指用戶生命周期的穩定階段開展的工作，其主要的目的是通過用戶維系的各種活動，規范服務，進行用戶價值挖掘，從而提升用戶的價值 維系對象信息、維系活動信息、挽留對象信息、挽留活動信息、挽留效果評估信息……

（7）用戶賬務 指用戶因購買或使用某企業及其合作伙伴提供的產品或服務而產生或關聯的財務信息 帳單、詳單、發票、帳務滯納金、調帳信息、帳本信息……

因篇幅限制，本文不再舉例數據分類的其他內容，結合企業業務需要，企業數據分類可隨著業務變化而變化，不斷改進、細化和完善分類標準。

數據分級

企業數據分級是指企業按照所持有的數據的價值、敏感程度、泄露、非法提供或濫用之后的影響對象/程度等因素進行評估并確定等級。例如較為復雜的可分為“公開”“內部使用”“秘密”“機密”“絕密”五級。通常企業在有數據分級需求時，綜合成本考量，我們建議企業在滿足合法合規的基礎上，盡量使用簡單的分級（分類）規則，推薦使用三級如“公開”“普通”“敏感”;部分企業也采取較為簡單的如“普通”“敏感”二級分級。

與數據分類性質不同，為保護數據安全，維持數據保密性、完整性和可用性，對于企業來說，有效的分級一旦設定，原則上不再變更。每一個數據分級可對應多個數據分類。在此需要強調的是，“分級原則上不變更”指的是企業根據自身需要而設定的級別通常不發生變更，但該級別下的數據在采用如數據脫敏、刪除關鍵字段、匯聚融合等技術手段后可導致升降級，從而采用升級或降級后對應的保護措施予以保護，二者不可混淆。

補充說明一點，遇例外情況，企業也存在分級變更的可能性。中國人民銀行發布的《金融數據安全?數據安全分級指南》（JR/T?0197—2020），其中列舉了四種確定的級別變更情形，如下：數據內容發生變化，導致原有數據的安全級別不適用變化后的數據;數據內容未發生變化，但因數據時效性、數據規模、數據應用場景、數據加工處理方式等發生變化，導致原定的數據級別不再適用;不同數據類型經匯聚融合形成新的數據類別，使得原有的數據級別不適用，應重新進行級別判定;因國家或行業主管部門要求，導致原定的數據級別不再適用。上述變更情形，供在實踐過程中參考。

北京市煒衡律師事務所白宇思律師

國家通過立法明確建立數據分級分類保護制度，意在加強對于重要數據的保護。對于企業來說，將重要性不同的數據采用同樣等級的保護措施，實施無差別的保護，可能導致對敏感數據保護力度不足，對普通數據保護力度過剩。此外，數據分類和分級的設定也并非越復雜越好，對于企業來說，分類越細化、分級數量越多，管理成本就越高。“零損失”是一個理想目標，不僅實現成本高昂且難以達成，甚至負面影響業務發展。實施有差別的分類和分級保護，區別對待不同業務和數據，綜合業務發展與成本考量，實現業務發展與數據安全的雙贏，是企業應當追求的目標，也是數據分類和分級的意義所在。

綜上所述，企業數據安全與隱私保護是個復雜命題，在當前的時代背景下，企業要做的是把保護重要的業務和數據放在首位，把合法合規作為底線，使數據成為新的生產力，用合規促進業務發展與企業繁榮。

?鏈接：

北京市煒衡律師事務所于1995年由原司法部法律服務中心部分骨干律師設立，以“洞察、溝通、解決、良知”為執業理念，經過二十五余年的奮斗，如今已成為中國著名大型綜合性律師事務所，總部設立于北京，在上海、深圳等近四十個國內外城市設立分所。煒衡律師事務所多次被授予“全國優秀律師事務所”、“北京市優秀律師事務所”等榮譽稱號，先后入選錢伯斯、ALB《亞洲法律雜志》、《商法》雜志等排名。

北京市煒衡律師事務所執業律師400名，全平臺執業律師3500名，設有專業部門20余個。為致力公益事業，履行社會責任，特設公益法律服務部。北京市煒衡律師事務所竭誠為國內外廣大客戶、社會弱勢群體提供專業、全面、優質、高效的法律服務。