數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

2021年6月10日，經第十三屆全國人(rén)民代表大(dà)會(huì)常務委員會(huì)第二十九次會(huì)議審議，通(tōng)過了《中華人(rén)民共和(hé)國數(shù)據安全法》（簡稱《數(shù)據安全法》），該法将于2021年9月1日起施行(xíng)。

一、概述

作(zuò)為(wèi)我國網絡空(kōng)間(jiān)規制(zhì)的重要法律，《數(shù)據安全法》規制(zhì)的是數(shù)據處理(lǐ)活動，通(tōng)過保障數(shù)據安全，來(lái)促進數(shù)據開(kāi)發利用，保護個(gè)人(rén)、組織的合法權益，維護國家(jiā)主-權、安全和(hé)發展利益。

《數(shù)據安全法》一共分為(wèi)七章，五十五條。體(tǐ)系結構包括：總則、數(shù)據安全與發展、數(shù)據安全制(zhì)度、數(shù)據安全保護義務、政務數(shù)據安全與開(kāi)放、法律責任、附則。

其中第二章「數(shù)據安全與發展」，對于數(shù)據安全與發展的關系、大(dà)數(shù)據戰略、數(shù)據基礎設施建設、數(shù)據創新應用、數(shù)字經濟發展規劃、公共服務智能化、數(shù)據開(kāi)發利用的商業創新、數(shù)據安全産業體(tǐ)系建設、數(shù)據安全标準體(tǐ)系建設、數(shù)據安全檢測評估與認證服務的發展、數(shù)據交易管理(lǐ)制(zhì)度建設、培育數(shù)據交易市場(chǎng)等宏觀制(zhì)度建設的方向做(zuò)出了規定。

而第三章、第四章、第五章，則從具體(tǐ)的法律技(jì)術(shù)性條款出發，對于數(shù)據安全制(zhì)度、數(shù)據安全保護義務、政務數(shù)據安全與開(kāi)放進行(xíng)了規定。

最後第六章，則再次強調核心敏感數(shù)據保護，以及加大(dà)數(shù)據安全違法行(xíng)為(wèi)的打擊力度。

本文主要基于上(shàng)述幾個(gè)章節進行(xíng)歸納和(hé)解讀，特别是在産品數(shù)據糾紛、大(dà)數(shù)據殺熟、消費者隐私洩露、小(xiǎo)程序信息收集等全渠道(dào)數(shù)據合規等問題日漸頻發的當下，通(tōng)過立法對于數(shù)據處理(lǐ)進行(xíng)全面規範，具有(yǒu)積極的社會(huì)價值。

二、對「數(shù)據」及「數(shù)據處理(lǐ)」做(zuò)出界定

2.1 信息記載形式的全覆蓋

對于什麽是「數(shù)據」，理(lǐ)論與實際業務間(jiān)一直沒有(yǒu)明(míng)确的定義。《數(shù)據安全法》對于「數(shù)據」采取了全面的界定。該法第三條規定：

本法所稱數(shù)據，是指任何以電(diàn)子或者非電(diàn)子形式對信息的記錄。即，除了《網絡安全法》所界定的「網絡數(shù)據」外，還(hái)将「其他方式對信息的記錄」納入了數(shù)據範疇。

按照這一界定，紙質的檔案信息以及其他書(shū)面形式對信息所作(zuò)的記錄，也屬于數(shù)據。而将電(diàn)子及其他記錄信息的形式，統一納入數(shù)據安全法的規制(zhì)，具有(yǒu)非常重要的現實意義。

一方面，随着數(shù)據分析技(jì)術(shù)的發展，數(shù)據記載形式之間(jiān)的打通(tōng)成本大(dà)幅度降低(dī)，這意味着并非隻有(yǒu)電(diàn)子化記錄的信息可(kě)以用于大(dà)數(shù)據分析，其他形式的信息也可(kě)以低(dī)成本轉化為(wèi)電(diàn)子形态，并進行(xíng)大(dà)數(shù)據分析，因此，将數(shù)據僅僅界定為(wèi)「電(diàn)子化」或「網絡數(shù)據」，不能充分覆蓋數(shù)據的外延；

另一方面，其他方式記載的信息同樣具有(yǒu)個(gè)人(rén)信息保護價值、經濟價值、社會(huì)及國家(jiā)安全價值，将其統一納入數(shù)據安全法的規制(zhì)，有(yǒu)利于法律執行(xíng)的統一性，也符合數(shù)字化時(shí)代的信息安全要求。

2.2 數(shù)據全生(shēng)命周期的覆蓋

《數(shù)據安全法》對于「數(shù)據處理(lǐ)」的界定，則包括數(shù)據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等，形成了對數(shù)據全生(shēng)命周期的覆蓋。

雖然《數(shù)據安全法》對于上(shàng)述全生(shēng)命周期的規則并未全面展開(kāi)，但(dàn)可(kě)以預期的是，後續立法及《個(gè)人(rén)信息保護法》等相關立法将會(huì)對于數(shù)據全生(shēng)命周期的處理(lǐ)規則做(zuò)出進一步的規定與完善。

三、《數(shù)據安全法》的主要制(zhì)度框架

3.1 數(shù)據分級分類與重要數(shù)據保護制(zhì)度

數(shù)據分級分類

《數(shù)據安全法》中明(míng)确規定，由國家(jiā)建立數(shù)據分類分級保護制(zhì)度，國家(jiā)建立數(shù)據分類分級保護制(zhì)度，根據數(shù)據在經濟社會(huì)發展中的重要程度，以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用，對國家(jiā)安全、公共利益或者個(gè)人(rén)、組織合法權益造成的危害程度，對數(shù)據實行(xíng)分類分級保護。

重要數(shù)據保護

《數(shù)據安全法》規定，國家(jiā)數(shù)據安全工作(zuò)協調機制(zhì)統籌協調有(yǒu)關部門(mén)制(zhì)定重要數(shù)據目錄，加強對重要數(shù)據的保護。将關系國家(jiā)安全、國民經濟命脈、重要民生(shēng)、重大(dà)公共利益等數(shù)據列入國家(jiā)核心數(shù)據，實行(xíng)更加嚴格的管理(lǐ)制(zhì)度。

同時(shí)，《數(shù)據安全法》将數(shù)據分類分級保護制(zhì)度與重要數(shù)據目錄直接對應，并要求各地區(qū)、各部門(mén)按照數(shù)據分類分級保護制(zhì)度，确定本地區(qū)、本部門(mén)以及相關行(xíng)業、領域的重要數(shù)據具體(tǐ)目錄，更具參考性和(hé)實操性，深化加強對重要數(shù)據的保護。

重要數(shù)據的界定

《數(shù)據安全法》規定了分級分類的大(dà)原則，但(dàn)是，對于什麽是「重要數(shù)據」，并未明(míng)确界定。個(gè)人(rén)認為(wèi)，後續将做(zuò)出進一步的清晰的界定。

3.2 數(shù)據安全審查制(zhì)度

《數(shù)據安全法》第二十四條規定了數(shù)據安全審查制(zhì)度，國家(jiā)建立數(shù)據安全審查制(zhì)度，對影(yǐng)響或者可(kě)能影(yǐng)響國家(jiā)安全的數(shù)據活動進行(xíng)國家(jiā)安全審查。其中還(hái)包括線上(shàng)的數(shù)據活動，也包括線下的數(shù)據活動。

當前，并未對數(shù)據活動主體(tǐ)做(zuò)出限制(zhì)，這也意味着，企業或其他社會(huì)主體(tǐ)，在從事數(shù)據活動時(shí)，應首先進行(xíng)國家(jiā)全判斷。當然，《數(shù)據安全法》對于審查的程序并未做(zuò)進一步規定，有(yǒu)待相關細則加以界定。

3.3 重要數(shù)據風險評估制(zhì)度

基本規則

《數(shù)據安全法》第三十規定：「重要數(shù)據的處理(lǐ)者應當按照規定對其數(shù)據處理(lǐ)活動定期開(kāi)展風險評估，并向有(yǒu)關主管部門(mén)報送風險評估報告。」

即，無論重要數(shù)據處于收集、存儲、使用、加工、傳輸、提供、公開(kāi)等各個(gè)處理(lǐ)環節的哪個(gè)環節，隻要其數(shù)據處理(lǐ)活動可(kě)能涉及重要數(shù)據，都需要進行(xíng)定期的風險評估，并将評估報告報送給主管部門(mén)。

評估對象

風險評估報告應當包括處理(lǐ)的重要數(shù)據的種類、數(shù)量，開(kāi)展數(shù)據處理(lǐ)活動的情況，面臨的數(shù)據安全風險及其應對措施等。

這意味着，企業內(nèi)部的重要數(shù)據風險評估将成為(wèi)一種常态化的合規要求，企業應建立自身的重要數(shù)據「風險全景圖」。

報送對象

鑒于法律規定“各地區(qū)、各部門(mén)應當按照數(shù)據分類分級保護制(zhì)度，确定本地區(qū)、本部門(mén)以及相關行(xíng)業、領域的重要數(shù)據具體(tǐ)目錄，對列入目錄的數(shù)據進行(xíng)重點保護。并且「國家(jiā)數(shù)據安全工作(zuò)協調機制(zhì)統籌協調有(yǒu)關部門(mén)加強數(shù)據安全風險信息的獲取、分析、研判、預警工作(zuò)。」

當前來(lái)看，評估報告應報送給相關重要數(shù)據目錄的制(zhì)定部門(mén)，當然，對于報送對象和(hé)審核流程，最終仍需相關規則進一步明(míng)确與細化。

3.4 數(shù)據出境管理(lǐ)制(zhì)度

重要數(shù)據出境評估制(zhì)度

《數(shù)據安全法》确立了重要數(shù)據出境評估制(zhì)度，該法第三十一條規定：「關鍵信息基礎設施的運營者在中華人(rén)民共和(hé)國境內(nèi)運營中收集和(hé)産生(shēng)的重要數(shù)據的出境安全管理(lǐ)，适用《中華人(rén)民共和(hé)國網絡安全法》的規定；其他數(shù)據處理(lǐ)者在中華人(rén)民共和(hé)國境內(nèi)運營中收集和(hé)産生(shēng)的重要數(shù)據的出境安全管理(lǐ)辦法，由國家(jiā)網信部門(mén)會(huì)同國務院有(yǒu)關部門(mén)制(zhì)定。」

與此前出台的關于數(shù)據出境相關規定相比，《數(shù)據安全法》更針對網絡運營者的重要數(shù)據出境。

數(shù)據出口管制(zhì)措施

《數(shù)據安全法》第二十五條規定了數(shù)據出口管制(zhì)制(zhì)度。該制(zhì)度不僅針對重要數(shù)據，而是可(kě)以針對任何數(shù)據類型。該條規定：「國家(jiā)對與維護國家(jiā)安全和(hé)利益、履行(xíng)國際義務相關的屬于管制(zhì)物項的數(shù)據依法實施出口管制(zhì)。」即，隻要按照出口管制(zhì)的規則判定該數(shù)據屬于管制(zhì)物項，均可(kě)實施出口管制(zhì)。

司法執法活動涉及的數(shù)據出境管理(lǐ)制(zhì)度

《數(shù)據安全法》第三十六條規定，「中華人(rén)民共和(hé)國主管機關根據有(yǒu)關法律和(hé)中華人(rén)民共和(hé)國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理(lǐ)外國司法或者執法機構關于提供數(shù)據的請(qǐng)求。非經中華人(rén)民共和(hé)國主管機關批準，境內(nèi)的組織、個(gè)人(rén)不得(de)向外國司法或者執法機構提供存儲于中華人(rén)民共和(hé)國境內(nèi)的數(shù)據。」

這一規定涉及兩個(gè)方面：

其一，在向境外司法與執法機構提供境內(nèi)存儲數(shù)據的，均須經過主管機關批準；

其二，主管機關根據有(yǒu)關法律和(hé)國際條約、協定，或者按照平等互惠原則，處理(lǐ)外國司法或者執法機構關于提供數(shù)據的請(qǐng)求。即，如果境外法律對于中國執法機關、司法機關獲取數(shù)據存在限制(zhì)的，我國主管機關将基于平等互惠原則處理(lǐ)。

3.5 數(shù)據歧視(shì)的對等措施

《數(shù)據安全法》還(hái)有(yǒu)一個(gè)值得(de)關注的新制(zhì)度，即：針對數(shù)據歧視(shì)的對等措施。該法第二十六規定：「任何國家(jiā)或者地區(qū)在與數(shù)據和(hé)數(shù)據開(kāi)發利用技(jì)術(shù)等有(yǒu)關的投資、貿易等方面對中華人(rén)民共和(hé)國采取歧視(shì)性的禁止、限制(zhì)或者其他類似措施的，中華人(rén)民共和(hé)國可(kě)以根據實際情況對該國家(jiā)或者地區(qū)對等采取措施。」

四、企業合規建議

随着《數(shù)據安全法》的生(shēng)效，可(kě)以預見的是，《個(gè)人(rén)信息保護法》以及其他與網絡安全、信息安全、數(shù)據安全、數(shù)據合規、個(gè)人(rén)信息保護相關的規章、監管規則也會(huì)陸續生(shēng)效。與此同時(shí)，對違反核心數(shù)據以及敏感數(shù)據管理(lǐ)制(zhì)度的行(xíng)為(wèi)，也将加大(dà)違法處罰力度。例如：二百萬元以上(shàng)一千萬元以下罰款，根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可(kě)證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。

如果企業中存在大(dà)量數(shù)據，相關人(rén)員必須認真對待這些(xiē)法律法規，因為(wèi)一旦發生(shēng)數(shù)據洩露事件，受處罰的不光是企業，還(hái)有(yǒu)直接責任人(rén)。

在國家(jiā)相關法規與規則日漸完善的背景上(shàng)，相應的對企業數(shù)據合規治理(lǐ)工作(zuò)提出了更高(gāo)的要求。針對《數(shù)據安全法》及相關的規則體(tǐ)系，企業可(kě)以從以下幾個(gè)方面構建自己的合規體(tǐ)系：

全面數(shù)據合規理(lǐ)念的樹(shù)立

通(tōng)過樹(shù)立全面數(shù)據合規理(lǐ)念，構建自身數(shù)據治理(lǐ)的宏觀策略，并根據各項法律制(zhì)度，結合行(xíng)業監管規則、業務流程與場(chǎng)景，構建相應的管理(lǐ)制(zhì)度。在制(zhì)度的基礎上(shàng)，通(tōng)過流程管理(lǐ)、崗位職責管理(lǐ)、激勵約束機制(zhì)，達到數(shù)據合規治理(lǐ)的目标。

數(shù)據合規風險的再梳理(lǐ)

針對《數(shù)據安全法》的具體(tǐ)制(zhì)度，對潛在的數(shù)據合規風險進行(xíng)全面梳理(lǐ)，并進行(xíng)分類處置：

對于《數(shù)據安全法》及其他法律法規已經明(míng)确界定的內(nèi)容，發現問題後，應及時(shí)進行(xíng)整改；

對于有(yǒu)關法律草案有(yǒu)界定，但(dàn)尚未生(shēng)效，且通(tōng)過其他法律法規、規則無法進行(xíng)合規風險判斷的內(nèi)容，做(zuò)出有(yǒu)前瞻性的整改進程安排。

企業自身數(shù)據保護

現如今随着互聯網人(rén)口紅利的消失，競争變得(de)愈加激烈，很(hěn)多(duō)企業的網站(zhàn)與APP等會(huì)受到網絡黑(hēi)灰産甚至行(xíng)業競争對手的攻擊，惡意爬蟲、社工庫、撞庫攻擊、賬戶洩露、盜刷等問題層出不窮，而這些(xiē)問題将給企業的數(shù)據安全帶來(lái)非常直接的風險隐患。總之，導緻這些(xiē)問題的惡意機器(qì)流量早已滲透至企業核心業務場(chǎng)景之中，企業必須提前發現并處理(lǐ)惡意機器(qì)流量，做(zuò)好保障好自身數(shù)據安全的關鍵一環。

盡管《數(shù)據安全法》各項細則尚在探討(tǎo)和(hé)設計(jì)階段，但(dàn)從立法本身而言，已經釋放非常明(míng)确的信号。以「數(shù)據」為(wèi)競争資源甚至是國家(jiā)戰略資源的高(gāo)度來(lái)管理(lǐ)數(shù)據安全，以數(shù)據資産的标準來(lái)加強數(shù)據安全将成為(wèi)時(shí)下企業的重要工作(zuò)事項。牽一發而動千鈞，《數(shù)據安全法》帶來(lái)的影(yǐng)響必然會(huì)加速數(shù)字新經濟的競争規則和(hé)合規方式的轉變，而極驗也将與企業一同，積極響應新規下各項政策的展開(kāi)，并通(tōng)過新規則盡早實現華麗(lì)轉身，在新經濟浪潮下，踏浪前行(xíng)。

本文轉自FreeBuf/GEETEST極驗