“百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!
孙琦
某上市公司信息安全负责人
负责集团及各业态分子公司的信息安全管理工作。在传统行业、互联网行业深耕多年,先后为多家上市公司成功建立信息安全管理体系及满足法律法规监管要求的信息安全运营能力。
《中华人民共和国数据安全法》(下文简称《数据安全法》)已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,并将于2021年9月1日正式实施。通读全文,我发现该法案从表决通过到正式实施前后不过3个月,这应该和当下我们所处的大时代、大环境紧密相关。
“没有网络安全就没有国家安全,没有信息化就没有现代化”——习近平总书记在中央网络安全和信息化领导小组第一次会议上的讲话。
作为一位安全行业从业者,我将从实际工作的角度出发,将本次《数据安全法》中需要企业高度重视的部分进行解读,分享我的一些解读和观点。本人并非专业律师,更多会从安全管理、安全技术的角度切入,如果想以法律专业的视角解读本次《数据安全法》的内容,我们可以咨询公司法务,和他们一起聊一下。
《数据安全法》共七章五十五条,分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等角度阐述了法律对于数据安全工作的要求。这也是我国第一次单独立法以公权力介入数据安全保护领域,明确了数据安全是一项重要的战略工作。从对数据本身、数据活动、数据安全的定义为立足点,清晰划分了不同层面的数据安全风险,同步提出国家层面对于预防、控制、消除数据安全威胁和风险所需要落实的数据安全管理、系统制度建设等相应能力。
《数据安全法》是一部基本法律,你很难在其中找到具体问题的具体解决方案。其主要功能是为解决问题提供具体的指导思想,通过预先设置相关的接口,联接其他法律法规解决实际的问题。下文中,我将针对部分条款进行解读,与大家一起探讨如何更好的做好数据安全工作。
“第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”
解读:对标欧盟、美国等国家对于境外数据处理活动的监管。我们也明确了,数据处理活动即使发生在中华人民共和国境外,只要损害到国家安全、公共利益等情况,我们就能延伸全力进行管辖,不排除无限延生全力的可能。涉及跨国业务的企业很可能会面临一个尴尬的局面,数据活动会有多个主权国家的监管,这部分企业应该提前做好对应的准备,除非他们裁去彻底切割数据活动的方式,否则“多头管理”很可能会成为一种常态,其执法力度也将伴随着大环境的变化而产生无法预期的变化。
“第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”
解读:谁产生的数据谁负责,谁收集的数据谁负责,相应主管部门在职责范围内承担数据安全管理责任,由网信部门负责牵头,统筹安排数据安全的管理、监管等工作。这里有一个例外,就是公安、国家机关,下文中有部分涉及证书数据的内容可能与此存在关联性,将特殊机构与一般机构区分管理,也是充分考虑到了其可能产生的影响。
“第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
解读:明确了在合法合规的前提下,数据有序流动是国家鼓励的。结合《网络安全法》相关内容,明确数据的所有权、使用权、使用规定等要素后,数据是通过合法手段获得的,有凭据的情况下,是可以放心使用的;反之如果不满足合法合规的条件,使用这部分数据来源不合法的数据,就需要承担响应的法律责任。简而言之,不是所有的数据都能够使用,即使它存在较大的潜在经济价值。
“第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。”
解读:数据安全不只是专业人士的事情了。以往很多人认为,数据安全只要数据使用方配备专业的力量来确保数据安全即可,现在国家很明确的说明了,数据安全是全民都需要参与的共同责任,在这个大前提下我们可以预期未来各类数据安全相关的宣导、科普、培训工作将会获得大力推进。现在的大妈们不仅是要会跳广场舞,也要知道基础的数据安全知识了。
“第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”
解读:国家层面鼓励针对数据进行安全评估检测,后续很可能会参考等级保护评测制度这样的手段,分行业、分属性的阶段性推进。作为数据承载的主体,各类APP、H5、系统等等可能都会有响应的数据安全评测标准,参考其行业或者特定属性划分至不同的部门进行分类分级管理。对于企业而言,未来这部分的合法合规要求将会逐年提高,当到达一定程度后我国整体数据安全水平将会被提升至一个较高的水平。
“第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”
解读:最近几年我们发现部分发达国家对于我们采取了相当不友好的态度,特别是带有“高科技“属性的行业被严重打压,而且是全方位毫不讲理的全面打压。针对这样的情况,我们也需要有相关的法律予以反制,本条内容明确提出我们可以根据实际情况进行反制措施。
“第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
解读:对于数据出境的管理再次被提及。对于重要数据出境的管理,需要根据《中华人民共和国网络安全法》中的定义进行处理,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。“其他数据的出境也一样有对应的制度匹配,《个人信息和重要数据出境安全评估办法》对其他类型的数据出境提出了管理要求。最后,所有的数据出境,都需要有网信部门进行牵头管理,即明确了管理机构。
“第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。”
解读:数据处理相关服务是可以进行的,但需要提前取得相关的资质。企业征信、个人征信是目前我们接触最多的数据服务市场,他们都是在获取了个人征信牌照和企业征信牌照后才能提供对应数据服务的。随着数据成为生产要素,日后的数据处理服务将会快速扩大,要求他们必须以持牌的方式进入市场无疑是为规范数据服务市场、提升数据服务规范的一项重要举措。
“第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”
解读:明确了处罚措施。违法向境外提供重要数据的情况下,参与人或者公司主体将会面临罚款的处罚,严重者将同步责令停业、吊销相关业务许可或者营业执照。过去,很多企业对于能罚款解决的事情都不是很上心,以为花钱能解决的问题都不是问题,但现在的法律条款将通过吊销执照的方式给与企业致命的打击,这让每一个企业经营者都不会轻易的去触碰这条红线。这里要特别提醒具有跨国业务的公司,其国外机构很可能会面临境外机构的数据审计活动,该行为很可能会导致重要数据的泄露从而触犯本法本条例。对于这类情况,很可能企业需要进行权衡利弊的调整,比如将数据进行切割等,也有部分企业会选择关闭其在不友好国家的业务专心国内业务的发展。
“第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。”
解读:这是一条非常“钢“的法条。在这么多话中隐藏了这么一句话”未经主管机关批准向外国司法或者执法机构提供数据的“,意思就是,境内任何企业,遇到某某国的某某执法机构,想要这部分数据,必须有我国的主管机构同意,企业,才能将这部分数据给出去,否则就是违法。本发条将来很可能会有真实的实际执行案例,我本人非常期待,毕竟这是对于我们依法治国、依法维护自身权利的真实案例。
“第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。”
解读:将第51、52、53条合并在一起解读,其实是想说明我们对于保证数据安全是认真的。讲了那么多红线,惩戒措施是不可缺少的。窃取或以非法方式获取数据的行为,触犯《刑法》相关的条款,大白话就是要坐牢的。《民法典》、《网络安全法》、《个人信息保护条例》等法律法规在这里和《数据安全法》建立了链接,为具体落地的执行提供了有力支持。关于涉及国家秘密的情况,直接匹配《中华人民共和国国家秘密法》,该抓的抓,该罚的罚,这就是我们对于保证数据安全应有的态度。
本次解读对于政务数据安全开放这块并未做解读,主要是因为政府数据管理已经有了较为明确的从收集、使用、存储、处理、维护等过程的具体管理要求,而且一般企业也很难完全依据政务数据安全管理的要求去进行适配。
对于从事安全行业的我们,未来将要花费大量的时间去学习法律法规,主动适配,提升合法合规管理能力。我们必须努力去打破原有的安全工作范围,在理解安全管理的基础上以全方位的视角去践行安全工作,这才能更好的为企业服务,为社会创造价值。
「推荐阅读」
2021百家专栏文章
百家 | 《数据安全法》合规“疑云”,等保2.0或是“解药”
2018~2020百家专栏全集请戳“阅读原文”
齐心抗疫 与你同在 
本文始发于微信公众号(安在):百家|一个企业安全负责人的《数据安全法》解读
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论