企業合規“待辦清單”

佟日

數據安全要素具有多重屬性?！稊祿踩ā返念C布實施，既從宏觀上對保障國家安全、維護國家主權提出了制度性的管理要求，又對組織與個人落實數據安全保護義務進行了原則性規定，明確了相應的法律責任。對企業而言，“《數據安全法》監管時代”已經到來。

企業迎來“數安法”監管時代

《數據安全法》被視為我國網絡空間與信息安全治理的三部基礎性法律之一。其著力于從保障數字經濟發展角度，強調數據安全與經濟發展的辯證關系，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。企業應明確《數據安全法》下的合規應對措施，梳理出一張“待辦清單”，以盡快落實合規措施，加強數據安全管理。

《數據安全法》的適用范圍可以用“三個覆蓋”來概括：一是監管對象、信息形式全覆蓋。該法中所稱的數據，是指任何以電子或者其他方式對信息的記錄;二是監管活動、數據生命周期全覆蓋?！稊祿踩ā纺依藢祿氖占?、存儲、使用、加工、傳輸、提供、公開等活動（統稱為“數據處理活動”）的安全管理要求;三是適用地域范圍、域內外效力全覆蓋。不僅在中華人民共和國境內開展數據處理活動及其安全監管時適用本法，還創設了具有中國特色的長臂管轄條款，即在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，也適用本法。

綜上，《數據安全法》輻射范圍廣，只要在華企業的日常經營、業務活動涉及數據生命周期的任何一個環節，或者境外企業涉及與中國有關的數據處理活動的，皆受到該法的規制。

《數據安全法》作為我國第一部針對數據安全領域的專門立法，明確了一系列制度性框架和管理義務要求。除了對各類企業的一般性要求外，《數據安全法》特別就兩類企業提出了特殊要求。一是要求可能涉及重要數據的金融、電信、交通、自然資源等關鍵行業的企業，緊密關注數據分類及重要數據保護制度，明確數據安全負責人和管理機構，落實數據安全保護責任;二是對數據交易平臺提出了審核數據來源及交易雙方的要求，并將未盡到該義務的法律責任與違法所得掛鉤，突破了以往定額罰款的限制。

《數據安全法》定義的數據安全，是指通過采取必要措施，確保數據處于被有效保護和合法利用的狀態。從這一定義來看，《數據安全法》要求企業落實數據安全保護義務，須達到兩個標準：一是企業自身的管理能力，足以保障數據安全;二是從結果出發，保障數據處于被有效保護和合法利用的狀態。

基于這兩個重點，依據《數據安全法》明確義務，可梳理出企業現階段的待辦事項，以及內部應制定并執行的管理制度。一方面，建議企業把握《數據安全法》開始生效后的過渡期，及時完成自查自糾、合規整改;另一方面，管理制度的構建和嚴格執行，也有助于企業在不慎發生數據安全事件時，提供依法管理、審慎經營的證明。

一是建議企業內部成立個人信息保護委員會工作小組（可由法務、技術、業務人員協同組建），專項負責個人信息保護事宜，包括個人信息的收集、使用、存儲，以及響應個人信息主體的權利要求，制定工作規章，明確分工及合作流程。

二是如果企業需要面向個人信息主體直接收集信息，建議制定獨立的隱私政策，明確收集的對象、類型、目的、處理方式等，并嚴格按照隱私政策中說明的內容處理。建議企業定期根據業務發展審閱、更新隱私政策，確保其與業務實踐一致。企業內部還應制定有關隱私政策起草、更新和審核的制度。

三是如果企業因業務需要向第三方間接收集個人信息，建議加強對第三方數據來源的審核工作，制定企業內部間接收集個人信息的制度規范。

四是如果企業需要利用諸如網絡“爬蟲”等技術獲取數據，或通過人臉識別設備采集數據，建議充分評估信息安全風險，制定企業內部針對專項個人信息處理的安全影響評估方案。

五是要明確，落實網絡安全保護義務，是企業在不慎發生數據泄露時可以進行合理抗辯和自我保護的基礎。

六是建議企業組織員工培訓，規范業務部門、技術部門處理數據的操作。企業內部應制定員工數據處理安全規范。

七是明確企業不同數據的存儲形式、加密手段和存儲期限等。

八是建議企業建立數據事件響應機制，包括響應時間、內部報告主體及流程、告知涉事信息主體的時間及方式、關于報告的內部審批流程、統一管理對外信息發布等。

九是采用機器人與人工雙重審閱的方式，審查數據來源的合法性，并要求數據提供方提交書面承諾。

十是建議企業內部制定向政府、司法部門提供數據的工作流程及管理規范，明確企業與政府、司法部門對接的人員，記錄提供數據的原因，數據的類型、數量，所涉主體的類型，并確保數據在傳輸過程中的安全。

除前述列明的義務或制度要求外，《數據安全法》中還有一些重點內容需要提醒企業注意。雖然囿于當前配套立法尚未完善，企業尚無法落地具體制度，但仍建議未雨綢繆，重點關注幾個方面。待配套法律法規施行后，企業在應對新的“強監管”的過程中能夠平穩過渡。

一是重要數據與核心數據的保護?！稊祿踩ā返诙粭l規定了國家數據安全工作協調機制，統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等的數據，屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類、分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據目錄。

《數據安全法》針對重要數據的保護明確了相關的配套規則：一方面要求中央指導地方，細化重要數據目錄，明確重要數據的范圍;另一方面對重要數據的保護提出了多方位的要求，例如明確數據安全負責人和管理機構、定期開展風險評估并發送風險評估報告、重要數據出境安全管理等。建議企業持續跟蹤重要數據目錄發布情況，以及核心數據的界定標準。一旦企業控制的數據進入重要數據、核心數據的范疇，那么企業當前的合規管理工作就應及時予以跟進。

二是數據的跨境流動。隨著近年來中國企業實施“走出去”戰略，數據跨境流動一直是企業實踐的熱切訴求，也是國家立法、執法所關注的重點。

目前我國對數據跨境傳輸的規定尚停留在原則性范圍內，未發布對數據跨境流動實操有指導意義的法律文件。《數據安全法》雖然表明了國家對數據跨境流動的積極態度，指出國家要積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動，但不難發現，數據自由流動的前提是確保數據安全。特別是《數據安全法》強調，國家對于與維護國家安全和利益、履行國際義務相關的，屬于管制物項的數據，依法實施出口管制。由此可見，重要數據的流動仍適用“嚴監管”原則。