建立以“數據處理者”為核心的“數據合規”體系

近年來，隨著“大數據”這一概念的深入人心，“數據安全”越來越成為社會各方所關心和熱議的話題。去年，隨著滴滴公司因涉嫌非法泄露國家數據和違法收集個人信息接受多部門聯合調查并最終受罰80.26億元，“數據安全”也開始成為了法律界的熱門話題。然而，對于很多并未涉足該領域的讀者而言，“數據安全”可能只是一個熟悉又陌生的名詞，那么什么是“數據安全”和“數據安全合規”，數據安全的責任主體是誰，其又要履行哪些法律義務并可能面對哪些法律風險呢？本文將從《中華人民共和國數據安全法》（以下簡稱《數據安全法》）所構建的數據安全保障體系出發，分析并回答上述問題。

“數據安全”與“數據安全合規”

從一般意義而言，所謂數據安全是指，對數據的保護和保障，以確保數據不被未經授權的訪問、損壞、泄露或篡改。數據安全涉及多個方面，包括機密性、完整性、可用性及訪問控制等。

在我國語境下，對數據安全的理解應當嚴格參照《數據安全法》的有關規定得出?！稊祿踩ā返谌龡l規定：“本法所稱數據，是指任何以電子或者其他方式對信息的記錄……數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力?！笨梢姡谖覈Z境下，數據安全是指通過采取必要措施，確保以電子或其他方式對信息的記錄，處于有效保護和合法利用的狀態，以及具備保障持續該安全狀態的能力。

那么什么是“數據安全合規”呢？通過上面的分析我們知道，數據安全是一種法律要求信息在其全生命周期中所處于的一種狀態。然而，所有的數據信息，并不會自動處于這樣一種狀態。要想讓信息在其從收集到刪除的全流程中均處于這樣一種符合法律要求的安全狀態，就必須有一個主體來履行數據安全保障義務，通過采取必要措施，建立數據安全保障體系，來實現上述狀態。這種確保數據在其全生命周期中均處于符合法律要求的安全狀態的活動就是“數據安全合規”，而進行這一活動的主體就是數據安全合規主體。

那么“數據安全合規”的主體是誰呢？根據《數據安全法》第八條的規定，“開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益?！睋丝芍?，在我國，“數據安全合規”的主體就是開展數據處理活動的人。

那么數據處理活動又包括哪些行為呢？根據《數據安全法》第二十一條第一款的規定可知，“開展數據處理活動應當……建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全”，也就是說《數據安全法》中所稱的數據處理活動是指在數據全生命周期中所涉及的所有活動，包括但不限于對數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

通過上述分析可知，“數據安全合規”的主體是數據的處理者，而數據的處理者則包括了數據的收集者、存儲者、使用者、加工者、傳輸者、提供者、公開者和刪除者。當然，在實際生活中，這些數據的收集者、存儲者、使用者等往往是同一主體，即通過互聯網收集、整理、存儲并使用這些數據的互聯網公司或“大數據”公司。

此外，《數據安全法》還規定有一類特殊的數據安全合規主體，即涉及政務信息的各種國家機關。依據《數據安全法》第三十八條的規定，國家機關為履行法定職責的需要收集、使用數據，應當依照法定的條件和程序進行，對履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。

同時，《數據安全法》第三十九條還規定，國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全的規定。

通過上述規定可以看出，國家機關在涉及其因履行職務需要而收集、整理、保存的政務信息時，也要像社會上的其他信息處理者一樣，承擔數據安全保證義務，保證相關政務數據在全生命周期中處于符合法律規定的安全狀態。在這一點上，國家機關和互聯網公司等數據處理者所承擔的義務并無二致。

當然，和將對數據的收集、整理、使用作為主要業務一環的互聯網公司、“大數據”公司等典型信息處理者不同，國家機關往往并不具備完整、成熟的信息處理能力，其在使用相關技術構建信息保障系統的能力上也有所不足。因此，《數據安全法》第四十條中允許國家機關委托他人代為建設、維護電子政務系統，以存儲、加工政務數據。然而，考慮到政務信息的秘密和敏感程度，《數據安全法》同時要求，國家機關聘請第三人代為建設、維護電子政務系統的，必須經過嚴格的批準程序，并對受托方履行相應的數據安全保護義務的情況進行監督。這意味著，當政務數據因受托方的原因而導致泄露或不當使用時，作為委托方的國家機關也將因未能妥善履行監管義務而承擔相應的責任。

除作為數據安全合規責任主體的數據處理者外，數據安全合規領域的另一位重要參與者便是監管者，即那些對于數據安全負有監管職責的政府部門。根據《數據安全法》第五條和第六條的規定可知，數據安全合規領域內的監管者在中央層面主要為國家安全機構，而在地方層面則主要為各級地方政府。同時，對于工業、電信、交通、金融、自然資源、衛生健康、教育、科技等特定領域內的主體，則由對應級別的行業主管部門進行監管。此外，涉及網絡數據安全的監管工作，則主要由國家網信辦負責統籌與協調。這些規定意味著，上述各國家機關有權力，也有義務在其職責范圍內，對有關主體履行數據安全合規義務的情況加以監督，并就有關主體未能善盡數據安全保障義務的行為進行調查或作出處罰。

綜上，“數據安全合規”領域中的參與者主要有二，即擔負數據安全保障義務的數據處理者和擔負數據安全監管義務的國家安全機關、各級政府、工業、電信、交通、金融、自然資源、衛生健康、教育、科技等特定部門的主管機關和國家網信辦。但在涉及政務數據安全的領域，作為監管者的國家機關對其收集、整理、存儲、使用、公開的政務數據而言，同樣是擔負有數據安全保障義務的數據處理者。

數據安全合規的法定義務

通過上面的分析，我們明確了數據處理者是數據安全合規領域中負有數據安全保障義務的合規主體，那么作為合規主體的數據處理者，其所應當履行的法定義務包括哪些呢？目前，根據《數據安全法》、《個人信息保護法》和《網絡數據安全管理條例（征求意見稿）》等相關法律法規的規定，我們可以大致將數據處理者的數據安全保障義務劃分為“數據分級義務”、“數據全流程安全義務”和“數據處理環境安全義務”。

1.數據分級義務

數據分級是數據安全保障的入口，是建立健全完備的數據安全保護體系的第一步。在實際生活中，信息處理者所處理的信息保羅萬象，數目龐大，要對如此大量的信息均給予周密的保護是不現實的，也是不必要的。因此，對數據的重要程度、敏感程度等進行分級，并根據其重要程度、敏感程度的不同進行分級保護，是數據處理者履行數據安全保障義務的題中應有之義。

那么，數據應當依據何種標準進行分級，又應當各自被給予怎樣的保護呢？在《數據安全法》第二十一條中，數據依據其在經濟社會發展中重要程度的不同，及其一旦遭到破壞或泄露所可能造成的危害程度的不同，被分為國家核心數據、重要數據和一般數據三級。

其中，國家核心數據是指那些關系國家安全、國民經濟命脈、重要民生、重大公共利益等事項的數據，對于國家核心數據，《數據安全法》要求數據處理者給予最為嚴格的保護。而重要數據則是指那些對經濟社會發展起重要作用，或一旦遭到破壞或泄露將造成嚴重危害的數據，對于重要數據，《數據安全法》要求數據處理者給予重點保護。而不屬于前述兩者的數據則屬于一般數據，《數據安全法》未對一般數據的保護提出特別要求。

然而，《數據安全法》雖給出了數據分級的標準，但該標準仍停留在抽象層面，缺乏數據處理者在實際進行工作時可以直接援引的具體技術標準。同時，《數據安全法》中規定的應由國家數據安全工作協調機制統籌協調各有關部門制定的重要數據目錄也尚未出臺。因此，數據處理者在具體工作中，可以考慮結合自身所處行業，參考使用已經存在的行業數據分級標準和指南進行數據分級。

如與醫療衛生相關行業所處理的數據可以參考國家標準《信息安全技術健康醫療數據安全指南》中的規定，將數據分為可完全公開使用的數據、可在較大范圍內供訪問使用的數據、可在中等范圍內供訪問使用的數據、在較小范圍內供訪問使用的數據、僅在極小范圍內且在嚴格限制條件下供訪問使用的數據共5個級別。而處理金融行業數據的數據處理者則可以參照2021年4月8日開始實施的行業標準《金融數據安全數據生命周期安全規范》將金融數據安全級別由低到高劃分為1-5級。

2.數據全流程安全義務

所謂數據全流程安全義務，是指數據處理者從數據的收集、整理到存儲、使用、傳輸、公開，乃至于到數據最終的刪除、消滅的整個流程中所擔負的，保障數據安全，不使其遭受篡改、破壞、泄露、不當使用等的義務。該義務體現于《數據安全法》第二十七條第一款中，該條規定“數據處理者建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全”。

然而，《數據安全法》雖然規定了數據處理者的全流程安全義務，卻沒有對如何履行這一義務作出具體規定，這無疑給實際進行數據處理工作的處理者，特別是那些缺乏相關經驗的中小型數據處理者造成了合規上的疑惑和困難。那么，《數據安全法》所規定的這一全流程安全義務究竟應該如何履行呢？在筆者看來，這一義務可以被區分為內、外部義務而分別予以履行。

其中，內部義務是指數據處理者在收集、存儲、使用、加工、刪除等內部環節所承擔的保護義務。在上述內部環節中，保護義務主要體現為通過技術保護措施，保護數據自身的機密性、完整性和可用性。如，《網絡數據安全管理條例（征求意見稿）》要求數據處理者“采取備份、加密、訪問控制等必要措施，保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用，維護數據的完整性、保密性、可用性”。也就是說，只要數據處理者在其數據的收集、存儲、使用、加工、刪除等內部環節中，已經采取了諸如控制數據訪問、使用包括安全口令在內的身份驗證、加密保護、數據隔離儲存等必要的技術手段，就應當認定其已盡到了全流程安全義務。

而外部義務則主要是指數據處理者在傳輸、提供、公開等外部環節所承擔的全流程安全義務。對于外部義務，筆者認為應當側重于通過法律手段來保護數據利用的可控性與正當性。這是因為，在傳輸、提供、公開等外部環節中，因為第三方的介入，數據已經不再為數據處理者所獨占，在此基礎上，數據處理者采取再完備的技術措施也無法防備能夠接觸到數據的第三方對這些數據進行破壞和泄露。同時，數據處理者不可能完全控制第三方，要求數據處理者在存在第三方介入的情況下還要保障數據一定不遭到破壞或泄露也不具有現實性。

因此，考察數據處理者是否盡到其外部義務的關鍵應當在于考察其是否已經采用了其所能采用的合理手段來對第三方進行約束和監督。如，在與第三方開展數據關聯業務的商業合作時，應當考察數據處理者是否與第三方訂立了書面合同來明確第三方的數據安全職責，并對第三方履行數據安全保護義務的活動進行監督管理。這也符合《網絡數據安全管理條例（征求意見稿）》第12條關于“數據處理者向第三方提供個人信息，或者共享、交易、委托處理重要數據的，應當與數據接收方約定數據安全保護措施等，通過合同等形式明確雙方的數據安全責任義務，并對數據接收方的數據處理活動進行監督”規定的精神。

也就是說，數據處理者在數據傳輸、提供、公開等外部環節中，只要采取訂立書面合同等方式，明確約定了第三方的數據安全保護義務及監管方式并如約履行合同的，就應當認定為數據處理者已經盡到了其全流程安全義務。

3.數據處理環境安全義務

目前，數據安全治理的制度重心已不在于追究因數據泄露、不當利用等造成實際損害的實體責任，而在于追究數據處理者在各程序、各環節未履行數據安全保護義務的違法責任。從這一點出發，《數據安全法》在其第二十七、二十九和三十條中規定了數據處理者組織開展數據安全教育培訓的義務，數據處理者對重要數據明確數據安全負責人和管理機構的義務，數據處理者加強風險監測和數據安全事件報告的義務，以及重要數據的處理者定期開展風險評估的義務。這四項義務的核心均在于確保數據能夠在一個相對安全的環境中得到處理，因此可以同意歸納為數據處理環境安全義務。

和上述信息分級義務和全流程安全義務不同，我國法律目前對數據處理環境安全義務的規定相對都比較細致，可操作性較強。如，對于數據安全事件報告義務，我國《數據安全法》、《網絡數據安全管理條例（征求意見稿）》及《個人信息保護法》規定，數據處理者發現發生數據安全事件時，應當在三個工作日內，以電話、短信、即時通信工具、電子郵件、公告等方式及時告知用戶并向行業和地方管理部門通報。通知內容應當包括安全事件和風險情況、危害后果、已經采取的補救措施。因此，在出現數據安全事件時，數據處理者只要及時按照上述規定進行了通報，即可被認為已履行通報義務。此外，風險監測義務可以通過定期出具風險檢測報告的形式履行，安全教育培訓義務可以通過定期或不定期開展相關培訓的方式履行，而明確責任人義務可以通過成立相關領導機關并指派負責人的形式履行。

未能履行數據安全合規義務的法律風險

作為數據安全合規主體的數據處理者未能履行其數據安全保障義務的，將可能涉及兩類法律風險，即民事法律風險和行政法律風險。

1.民事法律風險

數據處理者未能善盡數據安全保障義務，造成數據遭到破壞或泄露的，可能違反侵權責任法中數據安全保障義務從而構成侵權。同時，在存在有關合同的情況下，上述行為還可能違反原《合同法》第60條（合同法廢止前簽訂的合同）及《民法典》第509條所規定的附隨義務，從而構成合同違約。

在上述兩種情況下，被侵權方和合同中的守約方均可能向數據處理者提起民事訴訟并請求賠償。由于數據泄露等案件往往涉及數量眾多的受害者，雖然對單一受害者的賠償數額可能有限，但整體賠償數額可能相當巨大。如在美國依可菲（Equifax）公司數據泄露案中，依可菲公司作為美國最大的財務健康狀況的信用報告機構之一，泄露了1.43億份客戶記錄。最終，雖然依可菲公司向每位受害者支付的賠償金額不足5美元，但賠償金總額卻高達約6.5億美元。

2.行政法律風險

《數據安全法》在第45條明確規定：數據處理者如未履行相關數據安全保護義務，可給予警告、罰款等行政處罰；造成大量數據泄露等嚴重后果的，可給予更高額度的罰款或者責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照?？梢?，數據處理者未能履行數據安全保護義務時，將可能依嚴重程度的不同，遭受有關行政處罰。