《数据安全法》解读（上）｜企业数据安全合规措施

前言：

近年来，随着互联网的高度普及，人们的吃穿住行都开始围绕网络展开，大量的个人、群体数据被收集、存储、利用和公开，无论是数据总量还是数据处理活动本身都呈现出井喷式增长。对大数据的分析与利用贯穿在企业推广运营、政府政务服务、跨国贸易交流等方方面面，“得数据者得天下”的断言已经成为可以预见的不远将来。由于数据背后潜藏着巨额的价值以及不当处理将会带来的巨大风险，各国早已开始了针对数据的战略部署，无论是强调数据权属还是处理合规，其势头都愈加强劲。例如，美国与欧盟等地区已经通过制定《加利福尼亚州消费者隐私保护法案》（CCPA）、《通用数据保护条例》（GDPR）等法律对境内外数据的收集、存储、使用、传输、删除等行为加以规范，其中对于我国在内的第三国企业的数据处理行为更是予以了更多限制。

在这一背景下，我国出台有关数据安全的专门法律有着十足的重要性和紧迫性。2021年6月10《中华人民共和国数据安全法》（以下简称“数据安全法”）应运而生，经十三届全国人大常委会第二十九次会议表决通过，这部法律对我国境内外的数据处理活动及其安全监管均进行了全面的制度统筹。

其中，《数据安全法》重点强调了对个人和组织数据权益的保护，并且鼓励和支持数据在各行业、各领域的创新应用，但是在开发利用数据的同时，也需要更加注重保护数据安全，这意味着对各参与数据处理的主体提出了更高的合规要求。企业作为数据处理活动中非常重要的一环，在其日常经营过程中，应对日常经营过程中收集和产生的数据及数据安全负责。本文着重从企业的角度，探讨企业在进行数据处理和保障数据安全时应该采取的合规措施。

（一）定义

企业在开展自身数据处理及数据安全合规建设之前，首先必须明确何为数据、规范使用数据所涵盖的范围，才能有针对性地调整和完善自身行为。

根据《数据安全法》第三条，数据是指任何以电子或者其他方式对信息的记录，即无论数据是否通过电子介质进行存储，只要是对信息的记录记载，均构成此处所指的数据，对于相关数据的处理和安全监管活动，都需要遵守《数据安全法》的相关规定。

其中，数据处理是指包括数据的收集、存储、使用、加工、传输、提供、公开等各个环节在内的行为总和；数据安全，则指通过采取必要措施，以确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

（二）规范范围

根据《数据安全法》第二条，在中华人民共和国境内开展数据处理活动及安全监管，需要适用该法；同时，在中华人民共和国境外开展数据处理活动，如涉及损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，我国也有权依法追究法律责任。

这一条款彰显了我国志在打击世界范围内针对中国实施的侵害我国国家安全和合法权益的非法数据处理行为，明确了相关行为的合法合规性要求不只集中于我国境内，同时也适用于境外。因此，企业在考虑数据合规问题上也不能只局限于位于我国境内的主体，而是应当对其境内、境外全部有关数据处理的行为都持以审慎态度，以保证符合我国法律的相关规定。

（三）企业数据安全规制范围

《数据安全法》较为宽泛的规定了数据的概念，具体落实到企业层面和角度，企业的以下内容和行为属于与数据安全有关的范围，应受到《数据安全法》的监管和规范。

1. 企业可能涉及的数据类型

企业在日常经营过程中存在各种各样的数据，根据一般企业的经营行为，可以将企业涉及到的数据分为以下几类：

（1）企业的经营数据，包括企业在经营过程中收集到的用户数据、经营数据、在日常交易过程中产生的交易数据等等；

（2）企业的管理数据，包括企业的财务数据、员工数据等与日常管理行为有关的数据；

（3）企业的研发数据，包括企业应为研发产品或者技术而产生的研发数据等等。

2. 企业可能涉及的数据处理行为

（1）企业收集和使用上述数据的行为；

（2）企业对上述数据进行交易、提供和公开的行为；

（3）企业对上述数据的加工、存储行为。

企业的数据安全涉及到企业的方方面面和整个经营、交易行为过程，企业应对哪些属于《数据安全法》规制的范围和内容有相应的意识，在经营行为中注意数据安全。

结合《数据安全法》的相关内容，以下将重点围绕其中最具有显著制度创新的条款对企业的数据处理合规提出几点建议。

（一）企业开展数据处理活动，应合法合规并遵循公共道德和诚信信用原则

根据第八条，开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

此条规定了数据处理活动的基本原则，除遵守法律法规之外，还需要遵守社会公德和伦理，商业道德和职业道德，诚实信用原则，不得损害其他任何第三方的合法权益。同时还规定了数据收集和交易的具体要求。

1. 收集和使用数据应遵循合法、正当、必要的原则

同时根据第三十二条和第五十一条，企业有义务维护良好的竞争环境，不得以窃取或任何不正当的手段获取数据，更不得以非法方式获取的数据开展数据处理活动以排除和限制竞争。同时，对于法律法规对收集数据的目的，范围有规定的，企业应当在规定的目的和范围内行收集和使用数据。

结合该条具体规定，以及《网络安全法》、《个人信息保护法》（征求意见稿）的规定，我们可以总结出企业在收集和使用数据时应遵循的三大基本原则：合法、正当、必要性原则。

其中除了不以窃取或者其他非法方式获取数据之外，其获取和使用数据还应当遵循“最小必要性”原则。即企业经由用户知悉并授权后可对用户的任意数据进行收集利用，其收集和使用数据应当遵循数据收集和处理的“最小必要限度”。如收集和使用的数据中涉及个人信息的，还应该遵守关于个人信息保护的特殊法律规定。

2. 企业应依法依规进行数据交易

根据第十九条，我国将建立健全数据交易管理制度，以规范数据交易行为和培育数据交易市场。

从该条规定可以看出，企业可以进行数据交易，并且数据交易将有庞大的市场。尽管目前数据安全法对于该交易制度尚未制定详细和具体的规范性指示，但企业可以参考目前法院的裁判案例中确定的有关交易原则的相关内容，率先规范自身的数据交易行为，并不断增强依法依规开展数据交易活动的意识。根据现有的司法实践案例以及相关法律法规、规范性文件，我们认为企业进行数据交易至少应考虑这几个原则：

（1）涉及个人信息的数据交易必须取得个人信息主体的授权同意

虽然目前《个人信息保护法》尚未正式出台，但不管是有关个人信息的规范性文件、司法实践案例和监管趋势所确立的原则，如果在数据委托处理、共享、转让、公开等场景中，处理个人信息，必须取得个人信息主体的直接授权同意。

（2）数据交易应记录数据来源，并做好记录留存

根据第三十三条的规定，从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

从该条可以看出，如果涉及数据交易，数据的提供方应该说明数据来源、中介方应该审核双方身份，并留存好审核和交易的记录。

（3）数据交易的各方都应该有保障数据安全的技术条件

根据第三条的规定，数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

不论在数据收集、使用还是数据交易行为中，企业都应该保障数据安全，数据交易的双方都应该具备保障数据持续安全状态的能力，有相应的技术条件和设施。

3. 企业研究开发数据新技术，应符合社会公德和伦理。

根据第二十八条规定，开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。

随着技术的发展，数据新技术也层出不穷，比如曾经“人工智能”、“AI换脸”等技术就曾引发关于技术和伦理的热烈讨论，根据该条的规定，企业在研究开发新技术之前，除考虑技术本身之外，还应该考虑该新技术的实施是否有违反社会公德和伦理的情形，并采取相应的预防措施。

（二）企业需参与数据安全保护工作，共同维护数据

目前《数据安全法》主要规定了国家来统筹数据发展和安全，但是企业需要在国家数据安全方面积极参与，并履行数据安全保障义务。

1. 企业需对数据进行分级管理

（1）根据重要数据具体目录，对企业列入目录的数据进行重点保护

根据第二十一条，我国将根据数据的重要性程度及其受到非法获取、非法利用后可能造成的危害程度的高低，对数据进行分类分级保护，其中归于关系国家安全、国民经济命脉、重要民生和重大公共利益等属于国家核心数据的内容，将实行更加严格的管理制度。

各地区、各部门将按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

目前虽然仅确定了分级分类保护的基本原则，各行业、领域的重要数据具体目录还未制定和公布，但是企业在数据处理上也应当有所侧重，如果是企业的业务范围是关系到国家安全、国民经济命脉、重要民生、重大公共利益等范畴的数据，应当投入更多的技术保护措施，以防止因其泄露或被非法利用而给企业乃至国家带来巨大风险和损失。

（2）企业需加强数据保护的制度设计

根据第二十七条，《数据安全法》要求企业在开展数据处理活动时应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，并采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动的，还应当在网络安全等级保护制度的基础上，履行好上述数据安全保护义务。

关于保障数据安全的具体标准，目前企业可以参考全国信息安全技术标准化委员会颁布的《信息安全技术个人信息安全规范》、《信息安全技术大数据安全管理指南》，以及《信息安全技术即时通信服务数据安全指南（征求意见稿）》等国家标准类文件中的规定加以明确。

2. 加强风险监测和定期开展风险评估

根据第二十九条和第三十条，企业在开展数据处理活动应当加强风险监测，如发现数据安全存在缺陷、漏洞等风险时，应当立即采取补救措施；如发生数据安全事件，企业应当立即采取处置措施，并按照规定及时告知用户并向有关主管部门报告。

同时，重要数据的处理企业还应当按照规定对其数据处理活动定期开展风险评估，并负有向有关主管部门报送风险评估报告的义务。其中，风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

（三）企业重要数据出境应当履行行政前置手续

根据第三十一条，企业在数据处理过程中，如涉及到关键信息或重要数据需要出境的，为确保数据的安全，应当根据《中华人民共和国网络安全法》或我国网信部门等国家机构制定的法律法规依法履行行政前置手续，例如开展数据安全评估工作以获得批准同意等；另外，根据第三十六条，非经我国主管机关批准，任何境内的企业和个人均不得向外国司法或者执法机构提供存储于我国境内的数据。

虽然《数据安全法》仅规定了关键信息或重要数据出境的行政前置手续。但是除此以外，关键信息或重要数据之外的其他数据，我们认为从立法趋势和监管态度上，企业仍然应保持更加谨慎的态度。比如根据《个人信息出境安全评估办法》的相关规定，尽管该文件仍然处于征求意见阶段。在该文件中，法律规定了网络运营者向境外传输数据应承担的前置安全评估义务，其中需要对数据出境的安全风险及安全保障措施进行评估和分析，并向所在地省级网信部门出具报告；并且要求网络运营者与个人信息接受者签订合同对信息出境的目的、类型、保存时限，以及侵权责任等内容进行规定；此外，还对传输的数据需进行留存备份等义务进行了规范。因此，这说明对关键信息或者重要数据之外的其他数据，仍然应采取一定的保护措施。

结语：

《数据安全法》将于2021年9月1日开始施行，距离目前还有三个月不到的时间，当下企业应当积极针对该法律中规定的相关规定积极对自身的数据处理活动的合规性展开自查，并针对其中不完善、不合规，或存在制度性空缺的地方尽快加以填补和修正，以适应大数据时代下对于数据处理的全新监管趋势与要求，并为我国建立有序规范的数据体系贡献自己的力量。