《數據安全法》中規(guī)定的法律義務

文 | 北京雍文律師事務所 張宇

《中華人民共和國數據安全法》（以下簡稱《數據安全法》）自2021年9月1日起施行。

《數據安全法》站在總體國家安全觀的高度，基本原則是建立健全數據安全治理體系，提高數據安全保障能力，維護數據安全以達到規(guī)范數據處理活動，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益的立法目的。在中華人民共和國境內開展數據處理活動及其安全監(jiān)管均適用該法，此為該法的適用范圍。

《數據安全法》施行兩年來，根據信息安全國家工程研究中心公布的《數據安全法》處罰案例整理顯示，有34起根據《數據安全法》作出行政處罰的案例（時間從《數據安全法》實施至2023年8月14日）。

隨著數據安全重要性的日益凸顯，相關執(zhí)法部門執(zhí)法力度的增強和執(zhí)法頻率的不斷加快，相關組織（包括法人組織及非法人組織）在運營過程中應嚴格履行哪些法定義務，采取何種適當措施，以做到合規(guī)運營避免相關的法律風險，成為一個非常重要同時也是亟待解決的法律問題。

本文站在律師的視角，針對《數據安全法》中相關組織承擔的法律義務的重要條文進行解讀，同時對相關組織的運營行為提出相應的法律建議及應對的措施，以使相關組織能對其在運營過程中可能面臨的數據安全保護方面的法律風險進行防范、控制。

主要法條解讀

《數據安全法》第二條規(guī)定，在中華人民共和國境內開展數據處理活動及其安全監(jiān)管，適用該法。《數據安全法》第三條對數據及數據處理活動、數據安全給出了定義：數據，是指任何以電子或者其他方式對信息的記錄；數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等；數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

根據《數據安全法》第二條之規(guī)定，法律主體（不論是自然人、法人還是非法人組織）只要在境內開展數據處理活動均應適用該法。本文主要站在相關組織（法人及非法人組織）的角度進行探討。相關組織在運營過程中，不可避免會對其客戶或者管理對象的信息進行收集、存儲、使用等。只要實施了數據處理活動，即成為《數據安全法》數據安全保護義務的義務承擔者，須履行相應的法定義務。

與老百姓生活聯(lián)系非常密切的比如醫(yī)院、健身房、美容院、物業(yè)公司等相關組織，在運營過程中會對其患者（會員、業(yè)主）的身份信息、年齡、身體狀況各方面的數據、家庭地址、聯(lián)系方式、職業(yè)等進行記錄和使用。這些組織，一旦取得了數據，就承擔了保護數據安全的義務。

根據信息安全國家工程研究中心整理的三十四起行政處罰案例，相關組織被行政處罰主要是涉及未適當履行《數據安全法》的二十七條、二十九條及三十二條所規(guī)定的義務。

《數據安全法》第二十七條，規(guī)定了五項義務：開展數據處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數據安全管理制度；組織開展數據安全教育培訓；采取相應的技術措施和其他必要措施，保障數據安全；利用互聯(lián)網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務；重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

第一項義務，開展數據處理活動，應當建立全流程的數據安全管理制度。全流程，即包括但不僅限于收集、存儲、使用、加工、傳輸、提供、公開等過程。每一個流程，都應當有對應的數據安全管理制度，因為每一個流程都有數據泄露、丟失、被攻擊、被盜取的風險。相關組織應當建立全流程的安全管理制度，使得各個流程的操作有規(guī)可循，將義務落到實處。

第二項義務是應組織開展數據安全教育培訓。相關組織應圍繞數據安全保護問題，開展提高人員相關素質、能力的有計劃性、系統(tǒng)性的培養(yǎng)和訓練活動，使得相關人員具備保護數據安全的知識、技能，同時增強保護數據安全的責任意識。

第三項義務是應采取相應的技術措施和其他必要措施，保障數據安全。這些技術措施主要包括：身份認證、訪問控制、數據加密、網絡隔離、安全審計、態(tài)勢感知等。

第四項義務，相關組織若要利用互聯(lián)網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。網絡安全等級保護制度是指規(guī)范計算機系統(tǒng)安全建設和使用的標準以及管理辦法。安全工作的整個流程分為五個環(huán)節(jié)，包括定級、備案、建設整改、等級測評、監(jiān)督檢查。

第五項義務，是要明確數據安全負責人和管理機構，落實數據安全保護責任。避免責任人的泛化，可能導致最終無人負責，無法將保護責任落到實處。

《數據安全法》第二十九條規(guī)定了兩項義務：第一項是開展數據處理活動應當加強風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；第二項是當發(fā)生數據安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

風險監(jiān)測是指：通過對信息系統(tǒng)的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，識別潛在的網絡風險。

可采取補救措施一般有：關閉服務、安裝補丁、升級軟件、數據備份恢復等。

數據安全事件是指：指由于人為因素、技術故障、自然災害等原因導致的數據泄露、損壞、丟失等事件。

可采取處置措施一般分為：檢測和分析、遏制、根除、恢復、事后總結等環(huán)節(jié)。

當相關組織在數據處理中發(fā)生上述情況，應嚴格按照法律的規(guī)定，實施相應的處理行為，否則就面臨承擔法律責任的風險。

《數據安全法》第三十二條是對數據獲取應遵循的原則的規(guī)定。任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。若法律、行政法規(guī)對收集、使用數據的目的、范圍有規(guī)定的，應當在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數據。

例如，相關組織在處理數據信息時，應就信息的收集、使用、處理等取得信息所有者的同意。所有的通過不正當的竊密手段（包括但不僅限于黑客入侵、秘密竊取等）獲取數據的方式均為不合法、不正當。

律師建議

針對相關組織在數據安全保護中承擔的義務，律師提出如下幾項法律建議。

（一）建立健全全流程數據安全管理制度，積極組織開展數據安全教育培訓

相關組織應對全體人員，特別是在工作中接觸、運用、處理數據的相關人員，增強其數據安全保護意識，讓其認識到保護數據安全是一項法定的義務，是應當履行的職責。同時，相關人員需要切實掌握數據安全保護的技能。相關組織應定期進行考核，并將考核結果計入相關人員的評價指標中。最后，相關組織可定期組織行之有效的數據安全教育培訓活動，聘請專業(yè)人員，就數據安全保護專業(yè)層面的技能進行講授。

（二）采取相應的技術措施和其他必要措施，保障數據安全

承擔數據安全保護責任的相關組織自身可能并不具備數據安全保護的技能，不知道在技術層面應該采取什么措施對數據進行保護。在這個情形下，可以采取向專業(yè)機構購買相關的服務或者聘用專門的技術處理人員，對數據處理進行全流程的安全保護，加強風險監(jiān)測，倘若發(fā)現數據安全缺陷、漏洞等風險或發(fā)生數據安全事件時，能及時進行補救，采取相應的處置措施，按照規(guī)定及時告知信息所有者并向有關主管部門報告。

目前，常實施的數據保護措施有：訪問控制、數據加密、安全審計、網絡安全、數據完整性保護。相關組織不得以其不懂、不了解相關技術措施為理由推卸責任。

（三）相關組織應以合法、正當的方式獲取、處理數據

如相關組織需要記錄、使用、加工、提供、公開信息所有者的信息、指紋、人臉等需要經過其同意。絕不能以不正當手段諸如購買、竊取等手段獲得數據信息，同時也不得未經許可將掌握的數據信息提供給他人。

綜上，相關組織應嚴格按照《數據安全法》的規(guī)定，履行法定義務，才能避免在運營過程中遭遇不必要的法律風險。