【新法速递】从企业合规角度解读《数据安全法》

近几年，大数据、云计算、物联网等技术和应用高速发展，打车软件、求职软件、网购软件等智能软件的推行，为我们的生活带来许多的便利。但另一方面，数据的泄露带来的隐患不容小觑，数据安全越来越重要。2021年9月1日，《数据安全法》正式实施，与已颁布实施的《网络安全法》、2021年11月1日实施的《个人信息保护法》形成了推动我国数据网络安全发展的“三驾马车”。对于企业来说，面临的一个重要问题是，如何顺应《数据安全法》提出的合规要求？本文将从企业合规的角度对《数据安全法》进行解读。

一、《数据安全法》下的企业合规要点

1、数据分类分级保护制度合规化

根据《数据安全法》第二十一条之规定，企业应当在国家的统筹安排下，加强对数据的保护，尤其是重要数据，以及有关国家安全、国民经济命脉、重要民生、重大公共利益等的核心数据，在数据处理、数据出境时应遵循不同的程序要求，履行相应的批准程序。

但至于何为“重要数据”，《数据安全法》并未作出明确界定，鉴于不同行业、不同领域对“重要数据”的识别和界定将有所不同，对于“重要数据”的范围将由各部门、各地区通过出台规定作具体要求。企业可结合具体业务所处的行业、数据的性质、数量、敏感程度、数据处理的方式等因素进行评估，对界定作出预判。

2、数据安全保护义务

根据《数据安全法》第四章的规定，就企业而言，尤其是互联网企业，遵守安全保护义务，将是企业开展日常数据安全的重要内容。同时，企业应当建立健全流程数据安全管理制度、组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

具体而言，第一，收集数据应当采取合法、正当的方式，即收集数据应当征得有关组织和个人的事先同意，不得秘密收集或采取违背公序良俗的方式收集数据，不得采取欺诈、胁迫、诱导的方式收集和获取数据，且收集数据应当公开收集数据的目的与范围、明示收集和使用数据的规则。第二，收集、使用数据应当在法律、行政法规规定的目的和范围内，即法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

3、风险监测合规化

根据《数据安全法》第二十九条规定，企业还应明确数据安全负责人和管理机构，落实数据安全保护责任。加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，及时处理安全事件，并应当按照规定及时告知用户并向有关主管部门报告。

另，根据第三十条的规定，处理重要数据的企业应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

4、数据交易中介服务机构的合规义务

根据《数据安全法》第三十三条、第三十四条规定，数据交易中介服务机构的数据交易行为需持牌经营、合规经营。数据交易中介服务机构在提供服务时当履行审核义务，即要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

5、数据跨境流动的合规义务

《数据安全法》第三十六条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”因此，根据《数据安全法》，企业即使不是关键信息基础设施运营者，对于重要数据出境的合规处理同样负有义务。

二、《数据安全法》下的企业合规建议

1、摒弃侥幸心理，积极准备应对措施

首先，《数据安全法》所称的数据范围涵盖了各类信息。根据《数据安全法》第三条规定，数据是指任何以电子或者其他方式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。因此，《数据安全法》所称数据的范围是非常广泛的。无论是传统企业，还是互联网、科技等新型企业，均应当引起重视。

其次，《数据安全法》是适用于各领域各类型企业的。《数据安全法》第六条规定，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。因此，所有企业均适用该法律，各行业均负有数据安全的职责，各领域各类型企业均应当积极采取必要措施，维护数据安全。

2、树立数据合规意识，强化企业及相关主管人员的责任意识

就企业合规而言，先树立意识，才有所行动。对于《数据安全法》，企业首先应当在企业内部通过积极开展数据安全教育培训等方式树立数据合规意识。对于重要数据，还应当应当明确数据安全负责人和管理机构，落实数据安全保护责任。

3、建立健全完善的数据安全管理制度及配套机制

制度是企业合规的基本保障。企业应当按照《数据安全法》的相关规定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。具体而言，企业在日常经营、管理活动中应当全方面建立数据安全管理制度及流程规则，如员工入职培训制度、数据安全管理制度、数据安全责任制度、数据使用内部审批制度、合法合规性评估制度等。

三、结语

总体而言，《数据安全法》的出台，使得企业的数据合规显得越来越重要。企业应当根据《数据安全法》的相关要求，强化数据安全意识，充分发挥前瞻性，在顺应数据安全保护的新形势下调整经营、治理理念，从高速发展转向高质量发展，在新形势下踏浪前行。

相关法条：

第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第十四条 国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。

省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第三十二条 任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

第三十三条 从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

第三十八条 国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

欢迎关注全国优秀律师事务所湖南通程律师事务所，微信公众号请关注hntcls