《数据安全法》对企业意味着什么

来源:德恒律师事务所

文章摘要
《中华人民共和国数据安全法》(“数安法”)2021年6月10日经第十三届全国人民代表大会常务委员会第二十九次会议通过,并将于2021年9月1日起实施。 数安法的通过,标志着我国进入全面数据管理的时代。

《中华人民共和国数据安全法》(“数安法”)2021年6月10日经第十三届全国人民代表大会常务委员会第二十九次会议通过,并将于2021年9月1日起实施。
数安法的通过,标志着我国进入全面数据管理的时代。对于企业意味着什么呢?
一、进行数据盘点
数安法对数据实行分类分级保护,要求各地区、各部门按照数据对于经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,确定本地区、本部门的重要数据目录。按照数据的级别,采取不同等级的保护措施。
虽然现在各行业、各地区还在对自己行业内、辖区内的数据进行摸底排查。但是一旦数据的分类被确定,相应的保护措施、收集、转让、分享的要求也会随之而改变。所以在此之前,企业可以根据自身情况,对自己收集、处理的信息做一个盘点。了解企业搜集、处理的数据类型、来源、数据大致的分类方向(如个人信息、非个人信息、对企业、国家、社会安全有重大影响的数据)、各种类型的存储分享环境。数据盘点(data inventory)是数据合规的第一步,非常扎实的数据盘点是为9月1日数安法生效后的数据管理做准备的第一个重要步骤。
二、根据企业自身的体量加强数据安全措施
前段时间美国油管被黑客攻击导致美国宣布进入紧急状态、很多车无法加油,很多人开始疯狂囤积汽油。可以想像在数安法出台后,像油气管道、电力设施、航空航天、核电站、基础电信等一些“关键基础设施”(笔者注:关键基础设施尚待具体清单加以明确)会被要求配备相对于其他网络运营者更完善的数据安全防控措施。这就意味着关键基础设施运营者们,可能要进行更大的投入来促成数据安全防控体系的建成、维护。
在网络安全领域,比较难的问题就是攻防不对等、信息不对称。防守方在明,攻击方在暗。企业往往要投入可能被认为是不成正比的投入来进行网络安全建设,而效果要等到真实的攻击面前才能检测。现实中真正容易遭受网络攻击的部门却往往是政府、医院、公共设施这些资金的分配不是特别充裕部门。因此如何合理的分配资源、确保一个基础的网络安全架构就应该是企业当下要思考和解决的重要问题。
对于非关键基础设施运营者也一样,根据其拥有数据的规模大小,以及数据对于个人权利、公共安全、社会安全的影响,相应的数据安全防护措施的要求也会不一样。在数据泄露或网络攻击事件中,如果没有建立起相应的数据安全防护措施,会被执法机关认为具备先天性的错误,很难避免要受到行政处罚。一般而言,企业应该首先对其系统进行自我评估,并按照等保的要求,做备案审核。
三、建立数据全周期管理
因为数据安全法赋予了对违反主体的处罚权,因此建立数据全周期管理就对于企业防范风险、完善合规操作很有必要。
很多企业有非常多的跟客户交互的方式,有在市场活动中搜集的、有店面到访的、有手机端的、车机端、智能手表等物联网方面的交互。在这千千万万的交互方式中,往往客户的信息收集起来,会被汇总到一两个大的数据库,也缺乏专人服务管理。这样的操作就往往会给日后的合规操作埋雷。随着法律的发展要求,对于数据的存储、处理、分享管理都要走向一个越来越向客户透明化的过程,因此数据的收集、储存、处理、分享全过程的可追踪化也是企业合规的一个大趋势。
从以上可以看到《数据安全法》只是一个开端,它标志中国的数据管理体系开始建立,企业尤其在大数据时代,任重道远。

技术驱动法律,专业成就未来