重视网络数据安全 迈上数据大合规的战略风控新高度

时间:2021-11-17
来源:新京报
作者: 吴沈括

11.jpeg

图/IC photo

2021年11月14日,为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,国家互联网信息办公室会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见,迅速引发了热烈讨论。

《征求意见稿》共计9章75条,以前述三大上位法为依据,其包含的条文规范涉及一般数据、重要数据以及核心数据等法律治理规则,特别是有关个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等重要方面的细则规定及其价值逻辑,对于各方主体的合规风控工作能够产生重大影响。

整体来看,《征求意见稿》的制度思路已不是网络安全合规、数据安全合规或者个人信息保护合规的单维方案,其可以广泛重塑数字经济下的数据处理与流转利用规则,在技术基础、组织管理、价值生态等诸多层面深度改造产业发展模式和企业治理架构,全面催生企业数据大合规的崭新需求。

其一,在技术基础层面,《征求意见稿》强调各类数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善技术保护机制,通过采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性,并应当按照网络安全等级保护的要求,采用各种技术手段加强数据处理系统、数据传输网络、数据存储环境等安全防护,包括应当使用密码对重要数据和核心数据进行保护。这些明示技术要求,连同匹配数据收集、提供、委托处理和交易等各种业务场景的其他技术需求(例如匿名化处理、身份验证、个人信息转移以及数据删除等),都将共同决定企业未来数据大合规的技术新面貌。

其二,在组织管理层面,《征求意见稿》要求各类数据处理者应当遵从数据分类分级保护制度,建立完善数据安全管理制度,包括建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。《征求意见稿》还要求各类数据处理者处理个人信息时应当制定个人信息处理规则并严格遵守,涉及重要数据业务时应当明确数据安全负责人,成立数据安全管理机构,并履行相关备案手续。凡此种种,在延展企业内部管理体系的同时,都将共同塑造企业未来数据大合规的业务新流程。

其三,在价值生态层面,《征求意见稿》规定各类数据处理者应当接受政府和社会监督,承担社会责任,还应当对境内外第三方数据合作中的数据处理活动进行监督,在数据跨境的情形下履行数据出境安全评估、数据出境安全报告等义务,并且非经中华人民共和国主管机关批准,不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。此外,《征求意见稿》还要求互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正,并应当充分采纳公众意见,接受社会监督。此类指向突破传统闭合型企业治理架构,关注全球化时代背景下数据供应链、产业链的国内国际安全的诸多规则设计,都将共同重构企业未来数据大合规的生态新格局。

在此意义上而言,《征求意见稿》所喻示的重要讯息是,企业欲求面向未来的数据合规之道,需要全面搭建一体适用于各种数据类型、融汇技术治理、组织治理与生态治理的多维体系,进而迈上数据大合规的战略风控新高度。

文/北京师范大学法学院网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任吴沈括编辑孙晓校对危卓