【北京律师、北京法律咨询、北京律师事务所、浩略律所、北京浩略】
数据安全与企业数据合规
新时代的挑战与应对
作者:金晓萍 李恒
我国当前数据立法与实践形成了一个全面的数据治理框架,数据处理者面临的数据合规义务主要集中在以下七个关键领域:数据安全、个人信息保护、算法治理、数据竞争、数据跨境、数据交易、刑事风险。本文将探讨数据合规的重点领域之数据安全。
在当今数字化时代,数据已成为企业的核心资产和国家的战略资源,而数据安全不仅关乎企业自身利益,更与国家安全、公共利益密切相关。《数据安全法》将数据定义为国家基础性战略资源,并建立了数据安全的基本法律框架。因此,企业也必须高度重视数据安全,将其作为经营管理的重中之重。但随着数据在经济社会发展中的重要性日益凸显,数据安全与合规已成为企业新时代的挑战,为此本文将介绍数据安全的法律框架,分析企业在数据合规方面的义务,并直面挑战与提供应对建议。
一、制度框架
《数据安全法》与数据安全制度框架
《数据安全法》是中国在数据安全领域的基础性法律,于2021年9月1日正式实施。该法律旨在保护数据安全,维护国家安全和公共利益,保障个人、组织的合法权益。它建立了数据安全的基本法律框架,并对数据处理者提出了一系列自我监督管理要求,主要内容如下图:
在《数据安全法》的基础上,中国逐步建立了一整套数据安全制度框架,包括行政法规、部门规章、行业规范和各类标准[1]。
二、法定义务
数据安全保护义务
《数据安全法》第8条是开展数据处理活动的原则性要求,属于宣示性条款,在具体规定无法有效覆盖个案时可能会适用本条的规定。同时,《数据安全法》第四章对数据安全保护的义务进行了具体规定[2]。
(一)数据处理活动的原则性要求
· 遵守法律法规
· 尊重社会公德和伦理
· 遵守商业道德和职业道德
· 诚实守信
· 履行数据安全保护义务
· 承担社会责任
· 不危害国家安全和公共利益
· 不损害个人、组织的合法权益
(二)数据处理活动应符合社会公德和伦理
《数据安全法》第28条规定,“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理”。本条也是宣示性条款,强调开展数据处理活动、研究开发相关数据新技术,应当:
· 促进经济社会发展
· 增进人民福祉
· 符合社会公德和伦理
· 平衡效率、效益与社会公平、合理
(三)全流程数据管理制度
《数据安全法》第27条规定,“开展数据处理活动应当依照法律法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。为此,需:
· 建立健全全流程数据安全管理制度
· 覆盖数据收集、存储、加工、使用、提供、交易、公开、删除等全流程
· 组织开展数据安全教育培训
· 采取相应的技术措施和其他必要措施
三、获取经验
企业数据安全合规重点布局
(一)在制度建设层面,建立全流程数据安全管理体系
数据安全应贯穿数据全生命周期,针对各类数据处理行为设置具体的安全管理与保障制度。以下是四方面重点:
(二)在机制建设层面,建立起数据安全管理制度的具体落实路径
建立起数据安全管理制度的具体落实路径,主要涉及以下五个方面:
(三)在能力建设层面,定期进行数据安全教育培训
数据安全制度的快速变动以及技术的相应更新需要企业建立起内部稳定的数据能力建设机制。具体而言,能力建设涉及两个方面:
· 规范培训:主要针对数据安全的相关政策、法律规定、行业规范、技术标准,以及企业内部的合规制度等。
· 技术培训:特别是针对各个数据处理行为的技术规范,形成明确的内部处理指南。
通过这两个方面的培训,企业可以确保员工了解并遵守最新的数据安全要求和技术规范,从而提升整体的数据安全能力,确保数据处理活动的合规性和安全性。
四、直面挑战
新时代数据安全的挑战与应对建议
在数字化转型的浪潮中,数据安全与合规已成为企业面临的重大挑战,和需要完成的关键任务。随着数据量呈指数级增长,以及人工智能等新技术的快速发展,企业在数据保护和合规管理方面面临着前所未有的压力。为此,本文将直面挑战,并提出相应的应对策略。
(一)数据安全与合规的挑战
1. 数据量和复杂性的增加
随着企业业务的扩展和数字化进程的推进,数据量呈指数级增长。据预测,到2025年全球数据流量将达到181ZB,2021—2025年复合增速为23.03%,中国的数据增长速度更快,2025年数据量预计将达到48ZB,2021—2025年复合增速高达64.22%。如此海量的数据不仅给存储和处理带来挑战,也大大增加了数据泄露和滥用的风险。同时,数据类型也日益多样化,这使得数据管理和保护变得更加复杂和困难。
2. 新技术应用带来的安全隐患
大数据、人工智能等新技术的应用,使得数据处理能力大幅提升,但也带来了新的安全隐患和合规挑战。如以生成式AI为代表的新技术在为企业带来巨大机遇的同时,也带来了诸多风险。这些风险包括数据安全问题、知识产权纠纷,以及道德伦理问题等。如何在应用新技术的同时确保数据安全,成为企业面临的一大挑战。
3. 法规和标准的不断更新与合规要求的提高
数据保护相关的法律法规和行业标准不断更新,然而,这也意味着企业需要不断调整和完善自身的数据管理策略,以适应日益严格的监管要求。
4. 数据跨境传输的风险
在全球化背景下,数据跨境传输已成为常态,但各国和地区也在纷纷加强对数据流动的限制,这给跨国企业的数据管理带来了新的挑战。企业需要在确保数据安全的同时,满足不同国家和地区的合规要求。
(二)企业数据安全与合规的应对措施
1. 建立全流程数据安全管理体系
企业应建立涵盖数据全生命周期的安全管理体系,包括数据采集、存储、使用、传输和销毁等环节。同时,应制定明确的数据分类分级策略,对不同类型和敏感程度的数据采取相应的保护措施。以下是四方面重点:
· 明确权限划分:区分不同处理主体和单位与个人之间的权限。
· 全程留痕:确保每一项数据处理行为均有章可循。
· 结合行业要求:遵守行业相关的法律法规,如《汽车数据规定》等。
· 数据分级分类:根据数据的重要性和敏感性,将数据分为一般数据、重要数据和核心数据,并采取相应的保护措施。
2. 利用先进技术加强数据保护
企业可以利用区块链、加密等技术来提升数据安全性。例如,通过区块链技术可以保障数据的完整性、真实性和可追溯性,有效防止数据被篡改或窃取。
3. 构建企业信息管理云平台,加强数据安全技术措施
企业应建立安全可靠的信息管理云平台,通过身份认证、访问控制、数据加密等手段,确保数据的安全存储和传输。同时,应建立完善的安全审计机制,及时发现和处理潜在的安全威胁。
4. 加强员工培训和合规文化建设
数据安全与合规不仅是技术问题,更是管理问题。企业应加强对员工的培训,增强其数据安全意识和合规操作能力。同时,应培育良好的合规文化,将数据安全与合规意识融入日常工作中。
5. 建立数据合规风险识别与预警机制
企业应建立健全的合规风险识别与预警机制,及时发现和应对潜在的数据安全与合规风险。具体措施包括:
· 风险评估:定期评估数据安全风险,识别潜在威胁。
· 预警机制:建立实时监控系统,及时发现和预警数据安全事件。
· 应急预案:制定详细的应急预案,确保在发生数据安全事件时能够迅速响应和处理。
6. 关注国际数据流动规则
对于跨国企业而言,应密切关注各国和地区的数据保护法规,并制定相应的合规策略。同时,可以利用各国间的数据流动合作框架,为企业创造更好的营商环境。
总之,在数字化转型的时代,数据安全与合规已成为企业不可忽视的重要议题和面临的重要挑战,企业应当充分认识到数据安全与合规的重要性,立足本企业现状,采取全面的保护措施,在确保数据安全的同时,推动业务的创新发展。只有这样,企业才能在数字经济时代立于不败之地,实现可持续发展。
参考文献:
[1] 裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版;
[2] 张宾:《企业数据合规:基础实务与专题指南》,法律出版社2023年版。
律师简介
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.