数字时代背景下的企业数据合规之路(一)——数据保护体系概述

来源:海普睿诚律师事务所

文章摘要
引 言 数字时代,数据作为促进经济增长和社会发展的新型关键生产要素、作为国家基础性战略资源,其价值显而易见。

引 言
数字时代,数据作为促进经济增长和社会发展的新型关键生产要素、作为国家基础性战略资源,其价值显而易见。数据,尤其是个人信息,对于实现风险控制、风险定价、精准营销、产品开发、战略分析等发挥的效用日益增加,对于企业,特别是互联网企业而言,对海量数据资源的控制是其核心竞争优势之所在,但所带来的风险也是不可忽视的。
近年来,境内外数据安全事件频发,无论是信息泄露、内部数据权限转卖等重大数据安全事件,还是各类个人信息买卖案件、App个人信息侵权事件,在使社会公众信息安全和财产安全面临威胁的同时,也引发了政府和公众对数据安全的思考。因此,数字化时代,企业数据合规迫在眉睫。
我国数据保护立法现状
我国自2021年《数据安全法》和《个人信息保护法》相继颁布实施,与先前颁布的《网络安全法》呼应,形成当前国内对网络、数据、个人信息安全保护的“三驾马车”,就立法目的而言,《网络安全法》旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展;《数据安全法》旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益;《个人信息保护法》旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,强调自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
因此,对于开发和利用数据的企业来说,数据开发利用必须要依法依规开展,满足法律法规的强制性规定、符合监管要求是企业数据管理工作的底线。
我国数据保护监管部门
目前的数据信息执法实践来看,相关行政执法事项主要由网信部门、工信部门、公安部门和市场监督管理部门负责,各部门各司其职也各有侧重,还会采用联合协作的方式开展行政执法合作,具体如下:
(一)网信部门
互联网信息办公室,成立于2011年5月初,是经国务院批准设立的互联网信息监管机构,主要职责包括:统筹协调网络安全工作和相关监督管理工作、就关键信息基础设施的运营者采购网络产品和服务进行审查、就出境信息进行安全评估、协调有关部门加强网络安全信息收集、分析和通报工作、协调有关部门建立健全网络安全风险评估和应急工作机制、制定网络安全事件应急预案等。
(二)工信部门
工业和信息化部,与其下属的地方主管部门——通信管理局和各级经济和信息化局,共同承担保障网络安全的责任。工信部门内设网络安全管理局、承担电信和互联网行业网络安全审查相关工作,指导督促电信企业和互联网企业落实网络与信息安全管理责任,组织开展网络环境和信息治理,以及电信网、互联网网络数据和用户信息安全保护管理等工作。
(三)公安部门
依据《公安机关互联网安全监督检查规定》,由公安部门进行网络安全监督检查的执法活动。互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督,其中,网安部门的大致层级为:中央设公安部网络安全保卫局,省 (直辖市、自治区) 级设网络安全保卫总队,地市级设网络安全保卫大队,区县级设网络安全保卫大队,各派出所不设网安保卫部门。
(四)市场监督管理部门
作为负责组织和指导市场监管综合执法工作、负责监督管理市场秩序的职能机构,不少涉及网络安全、个人信息安全的群众投诉、举报案件是由各地市场监督管理局受理并进一步调查处理的,其与群众联系密切,实践中在网络安全、个人信息保护等领域的地位和作用也愈加重要。
数字时代下的企业数据合规风险
(一)民事责任风险
《网络安全法》、《数据安全法》及《个人信息保护法》均规定数据处理主体违反法律规定,给他人造成损害的,须依法承担民事责任。其中,《个人信息保护法》进一步明确了在侵害个人信息权益类案件中,应遵循过错推定原则,并明确了损害赔偿数额的认定规则及关于涉个人信息的公益诉讼制度。
(二)行政责任风险
《网络安全法》、《数据安全法》及《个人信息保护法》均规定了责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照或类似的责任类型。此外,针对企业开展数据处理活动存在较大安全风险的情况,《数据安全法》规定了约谈制。
对于直接负责的主管人员,除罚款外,《网络安全法》针对此类人员规定了将违法行为被记录到信用档案,乃至职业禁入的处罚措施。《个人信息保护法》也同样设置了禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的职业禁入制度。
(三)刑事责任风险
非法处理数据还有可能触犯《刑法》规定,构成例如侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪提、破坏计算机信息系统罪、拒不履行网络安全管理义务等罪名。
结 语
综上,近年来数据领域监管力度的不断加强,充分说明了监管部门对数据保护相关问题的重视;尤其是个人信息相关问题由于牵涉到用户自身利益,社会公众对其重视程度正逐渐升高,未能充分尽到个人信息保护义务的企业可能会面临较大的舆论压力,导致用户的流失,对企业的商业利益造成影响。出于维护企业商誉,减少不利舆情对商业利益影响的考虑,企业也应当对数据安全问题高度关注。只有严格按照数据保护相关法律规范的要求做好对应的数据合规工作,企业才能更好地在数字时代站稳脚跟,降低因数据违规问题受到行政处罚、刑事责任追究和商业利益损失的风险。

技术驱动法律,专业成就未来