400-155-0888
18500591557
发布时间:2022-08-15 作者:金飒
1、我国数据合规体系已经形成
作为数字经济和信息社会的核心资源,数据被誉为“21世纪的石油和钻石矿”,已成为和土地、劳动力、资本、技术并列的五种生产要素之一。2018 年 5 月 25 日,欧盟《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)的正式实施,数据合规成为全球关注热点。
我国《数据安全法》所称的数据范围涵盖了各类信息。根据《数据安全法》第三条规定,“数据”是指任何以电子或者其他方式对信息的记录。而“数据处理”,包括数据的收集、存储、使用、加工、传输、提供、公开等。整体来看,这形成了对数据全流程的覆盖。
从2017年至今,我国已形成以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为主体的数据合规体系,一个共通的原则就是对数据的使用收集要克制,明确哪些数据是必须要收集的,如果不能收集,就要有相应的制度规范。
其中,《数据安全法》作为数据安全领域的基本大法,给我们指明了方向和提供法律保障。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。
当前,我国数据合规相关的重要法律、法规、规章、规范性文件中涉及到法律责任的条文主要有以下内容:
序号 | 文件名称 | 条文 | 发布机构 |
1 | 刑法 | 第285条、第286条、第287条 | 全国人大 |
2 | 民法典 | 第111条、第1032条至1039条 | 全国人大 |
3 | 网络安全法 | 全文 | 全国人大常委会 |
4 | 数据安全法 | 全文 | 全国人大常委会 |
5 | 个人信息保护法 | 全文 | 全国人大常委会 |
6 | 电子商务法 | 第76条、第79条 | 全国人大常委会 |
7 | 消费者权益保护法 | 第50条、第56条 | 全国人大常委会 |
8 | 侵犯公民个人信息刑事案件解释 | 全文 | 最高法、最高检 |
9 | 网络犯罪解释 | 全文 | 最高法、最高检 |
10 | 电信和互联网用户个人信息保护规定 | 全文 | 工信部 |
11 | APP违法违规收集使用个人信息行为认定方法 | 全文 | 国家互联网信息办公室、工信部、公安部、国家市场监管总局 |
12 | 网络信息内容生态治理规定 | 全文 | 国家互联网信息办公室 |
13 | 网络安全审查办法 | 全文 | 国家互联网信息办公室 |
近年来,有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起各国高度重视。
2021年5月,由国家工业信息安全发展研究中心和华为公司联合发布的《数据安全白皮书》指出,数据安全已经上升到国家主权的高度,是国家竞争力的直接体现,是数字经济健康发展的基础。数据作为推进经济社会高质量发展的新的重要生产要素,由于国内外资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用乃至泄露。这就要求企业必须解决数据安全领域的突出问题,有效提升数据安全合规治理能力。
滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。这部分的行为就触及到了《网络安全法》和《数据安全法》。数据处理者的网络活动和数据处理活动,绝对不能危害到国家安全和社会公共利益,这是底线,也是大前提。触犯这一底线的数据处理者,必将受到国家的严厉制裁。
企业数据安全的合规责任
随着科技和互联网的发展,越来越多的企业重视数据的作用。目前,数据安全监管部门关于违反网络安全、数据安全、个人信息保护相关法律法规的处罚方式主要有:执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、吊销相关业务许可证或者吊销营业执照、处理责任人等措施。
根据《数据安全法》的规定,对违反数据安全保护义务的主体将实行双罚制,既要追究组织、个人的责任,同时还要追究直接负责的主管人员和其他直接责任人员的责任,最终还可能被追究其刑事责任。可知,数据相关的监管处罚不仅相关责任人要担责,公司也要承担责任,特别是公司负责人在数据治理中的管理不当等失职行为。在本案例中,对滴滴公司处罚金额是人民币80.26亿元,对相关负责人即滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。这个处罚已经是现行数据安全法律框架内的顶格处罚。
因为根据《网络安全法》《数据安全法》的规定,对于滴滴公司如此情节严重恶劣的违法行为,监管处罚力度将明显不足。根据《网络安全法》中第六章“法律责任”第59条至第69条之规定,对于公司的直接罚款最高是100万以下,对于相关责任人的罚款最高也是10万元以下。根据《数据安全法》中第六章“法律责任”第44条至48条之规定,对于公司的直接罚款最高是1000万以下,对于相关责任人的罚款根据不同情形分为不同标准,最高一档为10万元以上100万元以下。
而根据《个人信息保护法》第七章“法律责任”中第66条至第68条之规定,对于情节严重的违法行为,可以对个人信息处理者处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
按照《个人信息保护法》,对于滴滴公司已经是接近顶格的处罚金额,对于相关责任人也是直接顶格100万罚款,对比欧盟《通用数据保护条例》(“GDPR”)相关规定,对于严重数据违法行为,其罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。由此可见,我国对于严重的数据违法行为的处罚严厉程度甚至要超过欧美。
4、数据安全合规监管的应对措施
1. 树立数据合规意识,强化企业及主管人员的责任意识
整个企业,尤其是从管理层到基层员工都要深谙数据的重要性和日常工作中遇到数据的处理原则。企业首先应当在企业内部通过积极开展数据安全教育培训等方式树立数据合规意识。对于重要数据,还应当应当明确数据安全负责人和管理机构,落实数据安全保护责任。
2. 深入自查,积极准备应对措施
当前,各类数据的拥有主体多样,处理活动复杂,安全风险加大,为切实加强企业数据安全保护,维护数据所有者的合法权益,监管部门势必加强对数据的合规监管。《数据安全法》所称数据的范围是非常广泛的,无论是传统企业,还是互联网、科技等新型企业,均应当引起重视。各行业均负有数据安全的职责,各领域各类型企业应当深入自查,积极采取必要措施,维护数据安全。
3. 建立健全企业数据安全管理制度及配套机制
制度是企业合规的基本保障。企业应当建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。具体而言,企业在日常经营、管理活动中应当全方面建立数据安全管理制度及流程规则,如员工入职培训制度、数据安全管理制度、数据安全责任制度、数据使用内部审批制度、合法合规性评估制度等。
通过内部的《数据安全管理细则》,企业可以明确自身对于数据保护的要求和体系建设工作,并建立详细的数据分类标准及保护目录,以及明确不同职能部门的相关义务。重点完善以下制度:
① 建立数据分类分级管理制度
企业应当着手采取措施,结合自身特点,评估业务活动是否收集、处理重要数据、国家核心数据等,并特别关注国家有关部门发布的重要数据目录、非关键信息基础设施的运营者出境重要数据的具体办法,以及国家核心数据相关规定的内容与要求。此外,对于业务活动涉及出口管制范围内数据出口、个人信息收集与处理、统计与档案工作中的数据处理活动等,还应当关注自身操作符合其他相关法律法规的要求。
② 建立企业数据安全审查制度
《数据安全法》要求建立数据安全审查制度,要求对影响或者可能影响国家安全的数据处理活动进行国家安全审查。对于相关企业而言,特别是业务活动涉及处理重要数据的相关企业,应当履行对其数据处理活动定期开展风险评估,并向有关主管部门依法报送风险评估报告的义务。此外,企业应当继续关注《网络安全审查办法》等针对各领域数据安全审查的具体办法的后续颁布情况,及时依法调整内部数据安全审查范围,以配合国家有关部门的审查要求。
③ 搭建企业数据安全应急处置机制
建议相关企业搭建内部正式数据安全风险监测与修正机制,并制定书面数据安全事件应急预案,以最大程度确保配合有关部门的调查与应急处置措施开展,从而防止危害扩大,消除安全隐患。
④ 建立统一的数据安全运营平台
关于数据安全能力的建设,安恒信息首席科学家刘博曾提到:在业务层面,应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全体系;在技术层面,应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力4大核心数据能力的建设;最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。对于需要向第三方提供数据的企业,应建立统一且唯一的数据共享平台,并通过保密协议的方式来约定第三方企业的数据保密义务。
总之,在大合规背景下,对于企业来说,数据安全合规必然会面临更大的外部监管压力,建议企业强化数据安全意识,充分发挥前瞻性,在顺应数据安全保护的新形势下调整经营、治理理念,尽早对内部的数据管理现状进行梳理,找出潜在的风险点,区分整改优先级别,构建自身数据安全合规体系、落地合规制度。