首页
□上海瀛东律师事务所 张楠 田春桃
《中华人民共和国数据安全法》 (以下简称《数据安全法》)已于2021年6月10日发布,并于2021年9月1日生效。
《数据安全法》所称的数据,是指任何以电子或者其他方式对信息的记录。开展数据处理活动的组织或个人要在数据的收集、存储、使用、加工、传输、提供、公开等过程中采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
以下,笔者就相关主体在开展数据处理活动过程中维护数据安全应当注意的义务,作简要的分析和介绍。
主管部门的责任
《数据安全法》第四十四条规定:有关主管部门在履行数据安全监管职责中,发现数据处理存在大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改、消除隐患。
首先需要明确的是“有关主管部门”。在《数据安全法》中,有12次提到了“有关主管部门”。
本法提出以中央国家安全领导机构统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
国家数据安全工作协调机制统筹协调有关部门制定重要数据目录、加强对重要数据的保护,加强数据安全风险信息的获取、分析、研判、预警工作。
本法第十二条还规定,任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。将来也许会出现相关的民间组织,对数据的处理予以监督。
其次,是如何界定数据处理存在较大安全风险。
对于何为“较大安全风险”,《数据安全法》并未明确规定,但是依据《数据安全管理办法(征求意见稿)》第三十三条, “网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要责任人,督促整改”。
我们认为,开展数据处理活动的组织、个人应当履行数据安全保护义务,有关部门认定有关组织、个人未按照法律规定履行该义务的,可能会被认定为“数据处理存在较大安全风险”。
活动主体的义务
1.对于开展数据活动的组织和个人来说,在开展数据处理活动中需要履行以下义务来保障数据安全:
(1)建立健全全流程数据安全管理制度,包括对数据的收集、存储、使用、加工、传输、提供、公开等全流程制定规范制度,加强各个环节的管理措施,从管理上有效保护数据,使数据的风险安全可控;
(2)组织开展数据安全教育培训;
(3)采取相应的技术措施和其他必要措施,包括对数据实行分类分级保护,利用信息网络开展数据处理活动的还应当采取网络安全等级保护的技术措施。
除了上述措施之外,开展数据处理活动应当加强风险监测,及时发现数据安全缺陷、漏洞等风险并采取补救措施;发生数据安全事件时,需要(1)立即采取处置措施。(2)按照规定及时告知用户。 (3)向有关主管部门报告。
2.对于重要数据, 《数据安全管理办法(征求意见稿)》的定义是“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息、大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。
《个人信息和重要数据处境安全评估办法(征求意见稿)》中明确重要数据是指“与国家安全、经济发展以及社会公共利益密切相关的数据”。
《汽车数据安全管理若干规定(试行)》也罗列了汽车数据中的重要数据,包括: (一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据; (三)汽车充电网的运行数据; (四)包含人脸信息、车牌信息等的车外视频、图像数据; (五)涉及个人信息主体超过10万人的个人信息; (六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
重要数据处理者首先应当明确数据安全负责人和管理机构,其次应当对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
数据交易机构的义务
《数据安全法》第十九条明确国家要建立健全数据交易管理制度,规范数据交易行为,培养数据交易市场;
《中共中央、国务院关于构建更加完善的要素市场化配置体制的意见》第六条指出要“加快培育数据要素市场”,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。各地政府也出台政策积极推动大数据交易机制,目前我国已成立多家数据交易平台,包括政府类平台和商业类平台。
本法对从事数据交易中介服务的机构规定了以下义务: (1)要求数据提供方说明数据来源; (2)审核交易双方的身份; (3)留存审核、交易记录。
实际上,国内外都出现过数据交易违规以及泄露事件。
我们认为,数据交易机构在处理数据时应该注意的义务远不止《数据安全法》规定的内容,以个人信息为例,不论是《网络安全法》还是《个人信息保护法》抑或是其他相关规范都明确了“告知+同意”原则。数据交易机构在从事个人数据交易时可能面临两个问题:
(1)数据交易机构是否对数据负有存储义务?
数据交易机构的数据大致来源于以下渠道:一、政府公开数据;二、数据提供者发布数据,包括企业、科研机构及个人;三、互联网采集、抓取的数据;四、基于业务范围内平台沉淀、产生的数据。
部分数据交易机构为了加快交易、避免跳单,往往将交易数据存储在自身服务器中,这意味着数据交易机构的存储服务也要遵从法律法规的规定采用数据分类、备份、加密等措施,加强数据的保护。
(2)在个人数据交易过程中是否需要“告知+同意”?
我们认为,在个人数据的采集、共享、交易、转移前,应当明确告知用户,并经用户同意或取得其他合法授权。
涉及特定个人权益的数据应当禁止进行制作、复制、发布和传播,包括未经个人授权的可直接识别到特定个人的身份数据、敏感数据和财产数据。
应当确保在进行共享和流通的过程中对个人数据已经去除可直接识别个人身份的标识,禁止在任何情况下擅自公开或向第三人提供带有识别特定个人身份的个人数据。当然,即使是脱敏信息,也应当保障个人在数据流通中享有的选择、获取、更正、退出、删除等权利。
数据出境的安全义务
1.按照数据类型划分
《数据安全法》中对数据出境的问题按照数据类型划分为两种情况:
(1)关键信息基础设施运营者在境内收集和产生的重要数据的出境遵循《网络安全法》的规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
(2)非关键信息基础设施的数据处理者在境内运营中收集和产生的重要数据的出境,由国家网信部会同国务院有关部门制定。
因此,关键信息基础设施相关的个人信息和重要数据一般要在境内储存;关键信息基础设施的数据确需向境外提供或者其他数据处理者收集产生的重要数据需要出境的,由国家网信部会同国务院有关部门制定。
目前尚在征求意见稿阶段《个人信息出境安全评估办法(征求意见稿)》和《个人信息和重要数据处境安全评估办法(征求意见稿)》对个人信息和重要数据的出境制定了具体的评估办法,但是均未正式发布实施,目前没有明确的具体细则,也无法预知数据出境带来的风险,我们建议企业当前仍应采取审慎的态度。
2.司法执法活动涉及的数据
(1)中华人民共和国主管机关处理外国司法或者执法机构提供数据的请求,应当根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠的原则处理。
(2)境内的组织、个人向外国司法或者执法机构提供存储于中华人民共和国境内的数据必须要经过中华人民共和国主管机关的批准。
其他数据安全保护义务
大数据时代,通过“网络爬虫”从其他数据来源处获取数据,并进一步进行挖掘、分析、利用等操作成为许多企业弥补自身数据不足的有效方式,比如很多企业信息查询平台就会从海量的互联网信息中“抓取”企业的基本信息、涉诉信息、风险信息等内容,并向自己的用户提供查询服务。
行为人需要对利用爬虫造成的法律后果承担不同的责任。
合法使用爬虫技术能够大大提高数据收集的效力,促进互联网经济的发展,但恶意的网络爬虫攻击则可能带来诸多危害。对于被爬取的网站来说,恶意的网络爬虫攻击可能导致网站信息系统受损,甚至出现网站无法正常访问等情况。同时,恶意爬虫掠夺了被爬取网站运营者对于网站内容的控制。
行为人通过爬虫技术,绕开网站设置的身份验证、访问频率限制等防爬措施,接入被爬网站的计算机信息系统,抓取被爬网站服务器中存储的非公开数据,可能构成非法侵入计算机信息系统罪。其他可能涉嫌的罪名还包括提供侵入、非法控制计算机信息系统的程序、工具罪;侵犯公民个人信息罪等。
除了上述义务之外, 《数据安全法》还要求有关组织、个人对公安机关、国家安全机关出于维护国家安全或侦察犯罪的需要,按照国家有关规定、经过严格的批准手续、依法进行的调取数据予以配合。
法律责任
1.对于开展数据处理活动的组织,可以采取包括以下处罚措施:
(1)对直接负责的主管人员和其他直接责任人员处以罚款,幅度为1-10万元、5-20万元、5-50万元、10-100万元;
(2)对开展处理活动的组织,可能采取责令改正、给予警告,责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照以及处以罚款,罚款幅度为5-50万元、50-200万元、200-1000万元;
(3)构成犯罪的,依法追究刑事责任。
2.对数据交易机构,可以采取包括以下处罚措施:
(1)对直接负责的主管人员和其他直接责任人员处以罚款,幅度为1-10万元;
(2)对数据交易机构,采取责令改正、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等方式;
(3)有违法所得的,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足10万元的,处10万元以上100万元以下罚款。
3.其他组织或个人违反数据安全保护义务的,可以承担民事责任、给予治安管理处罚甚至追究刑事责任。
SourcePh" style="display:none">
放大
上一版
