數據合規風險衍生與網絡安全治理

閆 東

北京盈科（沈陽）律師事務所，遼寧 沈陽 110000

由于個人信息被濫用行為屢禁不止，引發數據安全“立法熱”［1］，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）《中華人民共和國數據安全法》（以下簡稱《數據安全法》）等多項法律的頒布實施，為我國網絡信息安全奠定了強而有力的基礎，為企業明確指出數據合規的方向。在網絡安全的大背景之下，數據合規成為一個重要的時代課題［2］，數據合規對于進一步提高數據安全，維護國家網絡空間主權意義重大。

一、法規梳理下的數據合規與網絡安全

網絡安全審查制度與數據安全審查制度是《網絡安全法》《數據安全法》確立的兩項重要國家安全審查制度。2021年6月10日全國人民代表大會常務委員會出臺了《數據安全法》，于9月1日起正式施行，此法作為我國數據安全領域的專門法律，其目的是為保障國家、企業及個人的數據安全，為個人信息數據保護提供可靠的法律依據。《數據安全法》共七章五十五條，圍繞數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放等提出系列要求，在完善數據安全保護的同時，也為企業未來數據合規指明了道路。

《數據安全法》將數據定義為，任何以電子或者其他方式對信息的記錄，這進一步擴大了數據保護的范圍。《數據安全法》最大的特色就是將數據安全與數據開發利用提升至同等重要的高度。其設立專章，明確提出“國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展”，并從技術研發、標準體系建設、檢測評估認證、數據交易管理、教育培訓、人才培養等多方面，體現數據開發利用和數據安全治理并行的思想內涵。該法雖然稱為《數據安全法》，但卻不只關注于安全，而是將安全與發展同步考慮。《數據安全法》另一大重要變化就是首次提出“國家核心數據”概念，明確關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，并增加了相應處罰措施，規定違反國家核心數據管理制度，危害國家主權安全的可處200萬至1000萬的罰款。2017年《網絡安全法》首次提出了重要數據的概念，而《數據安全法》在“重要數據”之外又新增了“國家核心數據”概念，更加彰顯了貫徹對數據實行分類分級保護的思想，對未來出臺數據分類分級統一標準或細則提供了更加精細化的設計思路。

2017年6月1日，《網絡安全法》正式施行，其作為我國第一部全面規范網絡空間安全管理方面問題的基礎性法律為中國網絡安全保護奠定了基礎。《網絡安全法》從2013年下半年就被列入立法日程，2016年底即被頒布，速度之快充分說明黨的十八大期間出臺這部法律的重要性和緊迫性。《網絡安全法》共七章七十九條，內容十分豐富，具有六大亮點。第一，明確了網絡空間主權原則。該法在第一條就明確規定要維護我國的網絡空間主權，網絡空間主權最初是規定在《中華人民共和國國家安全法》中，在《網絡安全法》中又進一步明確。網絡空間主權是一國國家主權在網絡空間的自然延伸和表現。［3］第二，明確了網絡產品和服務提供者的安全義務。網絡產品、服務應當符合相關國家標準的強制性要求。第三，明確了網絡運營者的安全義務。網絡經營者要遵守法律、遵守社會公德、遵守商業道德、負有誠實信用義務等。第四，進一步完善了個人信息保護制度。網絡運營者收集、使用個人信息，必須符合合法、正當、必要的要求，不得違反法律、行政法規使用個人信息。第五，建立關鍵信息基礎設施安全保護制度。關鍵信息基礎建設是指那些一經破壞，就會喪失功能泄露數據，嚴重危害到國家安全及公共利益的設施。第六，確立了關鍵信息基礎設施重要數據跨境傳輸規則。“《網絡安全法》具有整體性、協調性、穩定性和可操作性等特征，是我國應對國際網絡安全挑戰、維護網絡空間主權、保障公民網絡空間的合法權益不受侵害、保障國家安全的利器，為全球互聯網的治理貢獻了中國智慧。”［4］《網絡安全法》正式施行已經超過四年，《數據安全法》也已生效并展現出執行力，我們正親歷并見證我國網絡安全、數據安全這座大廈從最初的夯實地基，到如今搭建起房梁支柱，相應地配套法律法規和規范性文件也逐步頒布，將一步步落實國家總體安全觀下的網絡空間治理的智慧。

二、網絡安全視角下的數據合規與數據安全

（一）網絡安全治理的關鍵：數據安全。數字經濟時代，數據安全必須成為當下各個公司網絡安全的紅線與底線問題，尤其是置身數字業務的公司，在共享和傳輸大量個人數據的在線環境中，應越來越重視數據信息的安全。以數據泄露為例，其通常涉及各種類型的個人數據，例如財務賬戶信息、駕駛執照號碼、生物識別標識和身份證信息。如果公司未能充分盡職履行數據安全的義務，黑客可以輕而易舉地訪問公司的計算機網絡，竊取數千人的敏感個人數據而導致黑客從中掌握了公司與用戶的數據鑰匙：身份證件信息、生物識別標識和公司財務信息。因此，無論是公司內部安全機制漏洞，還是由于第三方供應商、勒索軟件攻擊導致的數據泄露，犯罪分子都有無窮無盡的機會竊取企業與個人數據的敏感信息。

（二）網絡安全治理的核心：數據合規。數據合規是數據保護合規的簡寫，是遵循各種法規和標準以維護受監管數據（例如個人身份信息、醫療信息）或敏感數據（例如客戶名單）的完整性和可用性的過程。數據合規性的關鍵在于跟蹤正在存儲的數據類型和數量，以及在其生命周期中管理存儲的數據，數據合規是確保企業對敏感數據進行管理的過程實現對適用法律、法規和標準的遵守。數據合規包括企業使用其個人數據以及授權消費者在個人信息應修改時與企業溝通等規則，同時按照規律賦予用戶個人訪問、糾正或請求刪除數據的權利。

（三）網絡安全治理的監管：風險處理。當網絡安全問題涉及公司與用戶的數據風險時，風險很容易被處理、量化并考慮到公司業務決策中，因為人們對未來做出的任何決定都必須考慮到一定程度的不確定性與數據風險的負外部性。一方面，內部風險源于企業內部。當下公司不斷共享數據以進行協作并推動業務向前發展，無論在辦公環境還是遠程工作，只需點擊幾下鼠標即可輕松共享文件，在此過程中網絡安全的內部風險純粹是偶然的，因為數據泄露涉及安全信息的無意發布。另一方面，外部風險包括來自網絡犯罪分子的攻擊。以身份信息盜用后的處理為例，身份盜用的問題在于，個人數據不能像銀行卡號那樣輕易地被“取消”，身份證號碼不能更改，指紋或眼部掃描、健康信息和基因數據等生物特征數據無法變更，而且犯罪分子可能會在獲取受害者的個人數據后的數月或數年后使用，此時的風險更是隱藏于事后的風險。

三、法律規制視域下的數據合規與安全治理

當下，針對數據合規與安全治理問題，域外的立法與法規圍繞數據安全和網絡安全對不同的行業而展開規制。以數據安全為例，以下是一些域外著名的數據保護法規與規則（見表1）。

因此，國內根據我國最新的《網絡安全法》《數據安全法》等法律規定的內容，國外根據全球網絡數據安全規范性法律文件立法的經驗，當下企業的數據合規與網絡安全治理應注重以下幾點：

（一）數據合規與安全治理：安全性。當下企業用戶數據已成為企業在線業務中最敏感的部分。許多公司將有關客戶或員工的敏感個人信息保存在其文件或網絡中，由于企業在互聯網上留下了大量的數字足跡，因此企業保護和謹防用戶個人數據泄露變得至關重要，尤其是需確保受監管和敏感數據免遭未經授權的使用。企業針對數據合規中的未經授權的訪問情況，對管理有權訪問數據的人員，必須確保相關人員了解網絡安全與數據合規，明確他/她在保護敏感數據方面的責任。因此數據安全性問題可能會導致無法挽回的聲譽損害，因此公司需要制定完善的安全計劃確保數據安全并安全處置數據，切實履行保護敏感數據的法律義務。

（二）數據合規與安全治理：隱私權。公司在處理或傳輸個人敏感數據之前需獲得“肯定的明確同意”，發布透明的隱私政策，實施“合理的數據安全實踐”，同時公司需向消費者披露隱私政策，詳細說明他們的數據收集、處理和傳輸活動，并將這些活動的任何重大變化通知消費者并允許用戶訪問、更正、刪除和移植用戶個人的數據。以敏感信息的合規為例，如果信息揭示了一個用戶想要向他人隱瞞的令人尷尬或損害名譽的事情，則該信息可能是敏感的，針對此，應考慮為用戶提供訪問、更正、刪除和可移植性的權利。

（三）數據合規與安全治理：責任制。網絡安全中數據的收集、存儲、處理、獲取、維護都需要約束性規則和問責制度。網絡數據安全責任制度在于事后規制身份盜用和數據泄露的網絡安全影響。網絡數據安全責任制度的目的在于督促網絡平臺企業遵守正在進行的、預定的粉碎和數據銷毀程序性的規則，從而避免數據泄露的風險和網絡安全隱患。網絡數據安全責任制度需要自我或共同監管機制來監管隱私和數據保護，為保護個人數據的權利建立強有力的具體保障措施。一方面，為公司員工制定與實體營業場所外記錄和個人信息的收集、存儲、訪問和運輸相關的可靠安全政策，針對違反信息安全計劃的行為制定和實施紀律處分規則。另一方面，與服務提供商或服務組織合作并對其進行監督，要求他們遵守企業客戶的個人信息安全措施。

四、結語

當今世界已經進入數據時代，隨著數據價值不斷升高，數據安全風險也不斷升高。數據權屬之爭，歸根結底還是利益之爭。［5］《數據安全法》等法律的相繼生效，我國迎來了全面的數據安全與個人信息保護的新周期，這也彰示著我國從規范監管層面順應時代信息的系統設計，但我們還需要關注每一處細節的合規風險管控，實時關注著來自技術發展與監管所帶來的新要求，在企業數據驅動的經營理念中樹立起合規價值的認知。