电子邮件 网上办公

选择语言
邀兵请将  
您现在所在位置: 德衡商法网  >   业务领域  >   合规与企业法治业务中心

张宁、李睿:9月1日《数据安全法》实施后的企业合规

发布日期:2021-09-01
张  宁

北京德和衡(上海)律师事务所

高级联席合伙人


李  睿

北京德和衡(上海)律师事务所

执业律师






我国以往对信息数据安全的法律保障主要通过对计算机信息系统安全运行或对商业秘密、著作权益保护加以实现,数据安全法益在相关立法中始终处于附属和次要的地位。在大数据时代,数据安全风险及其防范问题越来越受到国家立法的重视,法律保护的重心也从网络载体、信息内容逐步转到数据本身,从静态的计算机安全到动态的网络运行安全,发生着质的转变。




图片
一、“数据安全”法律概念界定


首先,应当明确数据本身的含义,厘清数据与信息的关系。数据就是对信息的记录,包括电子或者非电子形式,两者可谓是形式与内容的关系。《民法典》第一千零三十四条对个人信息的“可识别性”予以确认,并明确界分了个人信息与个人隐私之间的关系[1]。《数据安全法》中的“数据”,不仅包括电子形式,也包括以其他方式记录的信息。即无论是电子形式,或是纸质形式的数据都需要受到《数据安全法》的管辖,范围相当宽泛。


此外,“重要数据”自《网络安全法》以来备受关注,关于重要数据定义、范围、目录的讨论从未间断。此次《数据安全法》仍未明确重要数据的概念,仅明确重要数据的目录将由国家数据安全工作协调机制统筹协调,并由各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。


图片
二、数据安全法简述


2021年6月10日《数据安全法》正式通过,并将于同年9月1日正式施行。我国数据安全法治框架的帷幕即将拉开,数据安全法治进程正式挂挡上路。


在整个法律体系内,《数据安全法》是以宪法为上位法的全国人大制定的"基本法律"之外的一般法律;在安全法体系内,《数据安全法》与《国家安全法》《网络安全法》属于同一层级并行的法律,分别规范数据安全、主权安全、网络安全。《数据安全法》是数据安全领域的最高法,并不依附于或从属于《国家安全法》或《网络安全法》;在《数据安全法》与规范数据或信息的其他法律的关系上,特别是与《个人信息保护法》的关系上,鉴于《数据安全法》是规范数据安全的专门法律,因此凡是与数据或信息安全有关的规范,均应纳入《数据安全法》中[2]


可以预期,在《数据安全法》的大框架下,更多规范与法规等配套实施细则将陆续颁布。


(一)
《数据安全法》的管辖范围



在《数据安全法》中,管辖覆盖了境内与境外两个层面:


图片


相较于《网络安全法》,《数据安全法》在境外管辖上实现了突破。


《数据安全法》不会仅在中国境内具有效力,部分境外的数据处理行为同样可以依据《数据安全法》进行规制。比如境内组织或个人开展跨境电信诈骗、网络赌博活动中在境外生成的数据,就可能会依据《数据安全法》第35条要求有关机构配合调取境外的数据。但这可能会需要《数据安全法》承担美国CLOUD法案(《澄清境外合法使用数据法》)的相关职责,未来少不了在国际间的运用。


在《网络安全法》的未来修订中,管辖问题也可能仿照《数据安全法》,将危害中国国家安全、公共利益或者公民、组织合法权益的境外网络活动列入管辖范围。


(二)
《数据安全法》中的合规义务



从法律的角度,没有救济就没有权利,没有责任就没有义务。因此《数据安全法》第六章法律责任中配备有罚则的义务也可以被看作合规的重点,主要涉及:


图片


除了设定具体罚则的合规项目,有关部门如果发现数据处理活动存在较大安全风险的,还可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。这意味着像《数据安全法》第28条这样要求数据新技术符合社会公德与伦理的原则性要求,也可能成为监管部门关注的对象,尤其是涉及人脸识别、算法推荐这样可能会对人群造成影响的新技术。



三、合规建议


数据安全相关的法律、国家标准和行业标准的体系建立与完善,将指导相关企业建立企业内部数据安全体系,规范管控和技术标准,明确数据全生命周期安全要求,以解决数据安全治理、管理、技术、基础支撑各层次的历史难题。


(一)数据泄漏难以溯源

——企业需持续完善数据安全管控

精细度和技术应用


近年来源于企业内部数据安全管控不足而发生的数据安全事件在社会产生不良影响和舆论,如未经授权查询与贩卖个人信息、未经授权的个人财务信息披露等,严重危害企业的声誉。《数据安全法》中已明确要求企业应加强数据全生命周期的安全建设,所以,如何有效加强全生命周期的安全管控,明确数据收集、存储、使用、加工、传输、提供、公开、销毁等各个阶段的安全要求,以保证数据安全管控体系的持续优化,是企业在当前必须面对的一项重要挑战。


因此,相关企业迫切需要发现自身安全防护的薄弱点,平衡安全地整体投入资源,切中要点地提升纵深安全防御技术能力,量身定制符合自身业务体量的、健壮的数据安防技术体系及架构,从而高效且精准地应用加密、脱敏、防泄漏、追踪溯源等数据安全技术。


(二)安全评估及技术检测流于表面

——企业需提升安全风险检测能力


《数据安全法》中已明确要求企业应对数据安全风险进行评估,那么基于法律强制要求的背景下,企业需重新审视安全评估工作的执行效果及效率问题,考虑如何有效发现数据安全漏洞和管控薄弱点,如何分析并解决根源痛点而不是流于表面。


(三)数据安全能力建设和文化熏陶

——企业需建立数据安全培养机制


目前大多企业的数据安全文化、培训及合规能力培养并不充足:高层对数据安全合规的重视程度仍需提升,专业人员的数据安全能力培养机制尚未完善,全员的数据安全文化氛围尚未成型。《数据安全法》中已明确要求企业应组织开展数据安全教育培训且增强数据安全专业能力。


未来针对不同受众,设计多场景、多层次的安全宣传、培训及能力培养计划,开展既包括管理策略又涉及技术手段的数据安全培训,提升全员的素质能力和数据合规安全意识,是数据安全工作开展的重要支撑。


注释:

[1] 张勇:《数据安全法益的参照系与刑法保护模式》,载于《河南社会科学》2021年第5期,42页

[2] 翟志勇:《数据安全法的体系定位》,载于《苏州大学学报 哲学社会科学版》,2021年第一期,第73页



或许您还想看

张宁:疫情防控视角下金融产品发行、销售中的刑事合规问题解读

张宁:新市场环境下融资租赁公司的刑事合规要点

张宁:企业刑事合规业务的现实需求与解决方案

张宁、高莹莹:侵犯商业秘密罪的实务热点研究及企业“保密”安全建议

高莹莹、张宁:涉互联网犯罪系列研究之帮助信息网络犯罪活动罪 ——基于318份判决的实证思考与分析

张宁:虚拟货币涉刑风险与合规治理研究


作者简介

张  宁

北京德和衡(上海)律师事务所高级联席合伙人

张宁,北京德和衡(上海)律师事务所争议解决业务二部主任,中国政法大学法学硕士。专注公司治理、企业合规、金融诉讼及商事争议解决。在金融诉讼和金融犯罪领域积累了丰富的经验,尤其具备金融刑事合规及刑民交叉案件处理的实操经验;在企业刑事风险防范中中善于结合时事政策法规,运用创新的思路为企业争取最佳的解决方案;同时在商业犯罪辩护中也成功办理过多起取保候审,不予起诉,免于刑事处罚的案件;现致力于研究企业合规体系建设及金融公司风险防范完善。服务的客户行业领域包括:银行、融资租赁公司、互联网金融公司、金融科技公司等。


手机:18621078611

邮箱:zhangning@deheng.com

李   睿

北京德和衡(上海)律师事务所执业律师

李睿律师,北京德和衡(上海)律师事务所律师,曾参与的学术课题研究被评为国家级重点项目。业务研究领域为争议解决、企业刑事合规、企业数据合规等。


李睿律师具备扎实的学术理论基础和语言能力,曾在江苏执业期间业务服务单位有:江苏省盐城市统计局、江苏省盐城市公证处、江苏建兴建工集团有限公司等企事业单位。擅长于运用综合性的解决方案,以严谨负责、善于沟通的工作态度受到客户广泛好评。


手机:17721577706

邮箱:lirui-sh@deheng.com


质控人简介

陶光辉

高级合伙人

合规与企业法治业务中心总监

taoguanghui@deheng.com


本文仅代表作者观点,如需转载、节选,请在后台留言

合规与企业法治业务中心

  • 陶光辉

    总监

    合规管理,复杂商事争议,投资并购

    更多 》

  • 王琳琳

    执行总监

    争议解决,商事争议诉讼,金融

    更多 》

  • 郝宁

    管理总监

    合规管理,公司,企业法律顾问

    更多 》

  • 张文庆

    副总监

    合规管理,银行专业委委员会,执行专业委员工

    更多 》

网站简介    |     法律声明    |     联系链接    |     本站产品    |     联系方式    |     自助服务

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    

鲁公网安备 37020202000804号     山东德衡律师事务所ICP备案号:鲁ICP备05011736号    网站统计