![]()
(上述图片来源于Pixabay.com,感谢图片作者wnoS_125)
文 | 智识君 朱幸律师![]()
作者:朱 幸 重庆静昇律师事务所 合伙人律师(智识君)
前言
2016年、2019年国家先后出台《网络安全法》《数据安全法》及《个人信息保护法》,随着与数据相关的法律体系的不断完善,国家对数据(安全)保护监管力度加大。同时《中央企业合规管理办地》第18条亦将数据保护列为目前国有企业合规管理的新兴重点领域。对于国有企业而言,国有企业数据(安全)保护合规风险防控的重要性不容忽视。企业应充分认识到数据安全保护的重要性,从制度、技术、人员等多个方面入手,全面提升自身的数据安全管理能力,为企业的稳健发展提供有力保障。
智识君拟结合国资国企服务经验,就国有企业数据(安全)保护管理的重点合规内容进行解读,涉及以下内容:数据(安全)保护 规范要求 保护原则 制度建设 分类分级 重要数据保护
数据处理 合规风险 监管部门 高频处罚 违规后果 全生命周期管理
跨境数据保护 数据合规组织架构 数据(安全)保护合规义务 数据保护(数据安全保护)是指根据国家相关规定采取相应的硬件和软件系统以及数据管理机制保护企业的各种敏感数据文档(包括设计文档、设计图纸源代码、营销方案、财务报表及其他各种涉及国家机密、商业秘密、重要数据的文档)不受破坏、窃取、盗用、滥用及其他不法行为的侵害。为确保数据(安全)保护,国有企业应当统筹规划数据保护系统的发展建设,设立各层次、各领域、各行业的数据安全保护制度,加强数据应用过程的数据安全和信息保障。目前涉及数据(安全)保护的规范体系如下:
![]()
1.3 数据(安全)保护应遵循的原则?
国有企业应按照以下原则提升数据(安全)保护合规管理能力:(1)高度重视。数据是重要的战略性资源,企业要将数据安全合规管理提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度,始终把国家主权、安全、发展利益放在首位,加强安全能力建设,重视企业、员工、股东及合作方数据安全及个人信息保护,以发展促安全、以安全保发展。(2)推进落实。企业要坚持将数据安全合规要求逐步覆盖各业务领域,各部门,各级全资、控股或实际控制的子企业、分支机构及其员工。数据应当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术应用覆盖所有数据资产及数据处理全流程。(3)强化责任。企业要切实加强对数据安全合规管理的组织领导,明确职责,建立健全分工负责、协作配合的工作机制,明确管理人员和各岗位员工的数据合规责任并督促有效落实。(4)协同融合。企业认真贯彻落实数据安全合规的相关要求,将数据安全合规工作纳入企业数字化转型整体布局中,将数据安全合规管理通过企业数字化技术的应用及升级进行有效落地。国有企业可建立健全数据安全合规管理的相关标准、制度和规范,建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项,并根据法律法规变化和监管动态,及时将外部合规要求落实到内部规章制度。《数据安全法》第21条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。企业需关注地区、部门以及相关行业、领域的数据分类分级政策,适时推进建立健全分类分级管控标准和管控要求。企业可优先根据所属行业相关标准对核心业务数据进行分类分级,无明确标准的企业可自行建立相关分类及分级标准。其中数据分级标准应参考及遵循国家数据安全等相关法律法规。可参考的数据分类分级标准、规范,如:《工业数据分类分级指南(试行)》《金融数据安全 数据安全分级指南》《电信和互联网服务 用户个人信息保护 分级指南》《深圳供电局有限公司数据资产开放分类分级实施指南(试行)》等。重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。重要数据系强监管领域,企业可能持有重要数据,需关注以下数据保护要求:(1)识别重要数据:目前除汽车数据、金融数据及医疗健康数据有界定外,若无相关重要数据的界定,可参考《信息安全技术 重要数据识别指南(2022年1月7日)》等予以识别;(2)定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。重要数据原则上应本地储存,如需出境需经安全风险评估。企业应规范数据处理的权限管理,建立适当的用户权限管理机制,根据岗位设置相关账户权限,明确相关数据所涉及的账户管理流程,减少数据滥用情况,提高数据安全合规水平。数据安全风险较高的监管企业,应建立数据安全合规评估及审计机制,应自行或委托有相关信息安全检查评估资质的机构,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计,并对发现的问题及时整改。3.1 哪些情形下数据(安全)保护的合规风险较高?实践中,企业应重点关注以下数据(安全)保护合规风险较高之情形:(1)主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的;(2)主要业务涉及个人信息处理,且从业人员规模大于200人;(3)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(5)从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务的;![]()
![]()
企业未履行数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。若涉及个人信息保护,根据《个人信息保护法》的相关规定,其行政责任更为严苛。
3.5 目前数据(安全)保护行政执法的特点是什么?结合近年数据(安全)保护行政执法的情况来看,其突出特点包括:企业在数据安全合规管理过程中,应对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,依法保护企业数据基础设施免受攻击、侵入、干扰和破坏,防范数据处理的违规风险,确保数据安全合规。企业应规范数据采集的管理,明确数据采集渠道,确定数据格式标准,制定各类数据采集流程及方式,定期开展数据采集合规性审查,确保数据采集合法合规。企业应加强数据传输安全管理,划分企业网络系统安全域,区分域内、域间等不同数据传输场景,明确数据传输安全策略和操作规程。企业应规范并加强数据储存的管理,加强对数据储存介质的管理,包括提升对服务器及离线储存介质的物理安全及加密管理,规范带数据储存功能的可移动设备的管控,加强对本地数据储存系统平台接入移动储存介质的管控,实施对储存在第三方云平台数据的风险评估,对数据下载到本地终端行为进行审核及日志记录等管控措施,提升数据储存的安全性。企业应规范数据使用的管理,根据不同类别、级别的数据,明确不同场景的数据使用审批流程,制定数据脱敏处理规则,提升数据使用的安全性;建立数据开发利用的相关流程及规范,完善数据开发利用的风险评估机制。具有数据交易相关业务的企业,应按国家相关法律法规的相关要求进行交易,法律法规尚未规定的,应进行充分的风险评估,确保数据安全。企业应加强数据开放及共享的管理,根据数据使用目的、共享对象,明确数据可进行开放及共享的范围,建立数据共享的申请及授权审批的流程及权限设置,明确数据共享过程的传输方式。建议企业将数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理,尤其不得擅自向境外司法或执法机构提供存储于境内的数据。![]()
根据中共中央、国务院关于《数据二十条》的总体政策要求:(1)开展数据交互、业务互通、监管互认、服务共享等方面国际交流合作,推进跨境数字贸易基础设施建设,以《全球数据安全倡议》为基础,积极参与数据流动、数据安全、认证评估、数字货币等国际规则和数字技术标准制定。(2)坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作,支持外资依法依规进入开放领域,推动形成公平竞争的国际化市场。(3)针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索安全规范的数据跨境流动方式。(4)统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制。(5)对影响或者可能影响国家安全的数据处理、数据跨境传输、外资并购等活动依法依规进行国家安全审查。(6)按照对等原则,对维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法依规实施出口管制,保障数据用于合法用途,防范数据出境安全风险。(7)探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系。(8)反对数据霸权和数据保护主义,有效应对数据领域“长臂管辖”。![]()
![]()
原则:一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据(数据出境安全评估办法19)
规范界定:可参考《网络数据安全管理条例》(征求意见稿)
![]()
标准界定:可参考《信息安全技术 重要数据识别指南(2022年1月7日)》
![]()
![]()
目前,欧美国家对数据监管要求较高,尤其以欧洲为更加严格。欧盟的《一般数据保护条例》(GDPR)对个人数据提出相当高的监管要求,以及严重处罚后果。如下表:![]()
![]()
![]()
![]()
![]()
![]()
![]()
《数据安全法》第21条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。相关分类分级的行业规定包括:《工业数据分类分级指南(试行)》《金融数据安全 数据安全分级指南》《电信和互联网服务 用户个人信息保护 分级指南》等。![]()
这个世界上最恶劣的坏事并不是由邪恶和残暴所造成的,而几乎总是因为软弱而产生的(引用自《心灵的焦灼》)特别声明:以上所刊登的文章仅代表作者本人观点,不代表律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“智识律匠 I 大道至简”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等信息。如您有意就相关议题进一步交流或探讨,欢迎关注联系。
END
「往期文章推荐 」
