文 | 北京雍文律師事務所 張宇

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）自2021年9月1日起施行。

《數(shù)據(jù)安全法》站在總體國家安全觀的高度，基本原則是建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力，維護數(shù)據(jù)安全以達到規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益的立法目的。在中華人民共和國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管均適用該法，此為該法的適用范圍。

《數(shù)據(jù)安全法》施行兩年來，根據(jù)信息安全國家工程研究中心公布的《數(shù)據(jù)安全法》處罰案例整理顯示，有34起根據(jù)《數(shù)據(jù)安全法》作出行政處罰的案例（時間從《數(shù)據(jù)安全法》實施至2023年8月14日）。

隨著數(shù)據(jù)安全重要性的日益凸顯，相關執(zhí)法部門執(zhí)法力度的增強和執(zhí)法頻率的不斷加快，相關組織（包括法人組織及非法人組織）在運營過程中應嚴格履行哪些法定義務，采取何種適當措施，以做到合規(guī)運營避免相關的法律風險，成為一個非常重要同時也是亟待解決的法律問題。

本文站在律師的視角，針對《數(shù)據(jù)安全法》中相關組織承擔的法律義務的重要條文進行解讀，同時對相關組織的運營行為提出相應的法律建議及應對的措施，以使相關組織能對其在運營過程中可能面臨的數(shù)據(jù)安全保護方面的法律風險進行防范、控制。

主要法條解讀

《數(shù)據(jù)安全法》第二條規(guī)定，在中華人民共和國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用該法?！稊?shù)據(jù)安全法》第三條對數(shù)據(jù)及數(shù)據(jù)處理活動、數(shù)據(jù)安全給出了定義：數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄；數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等；數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

根據(jù)《數(shù)據(jù)安全法》第二條之規(guī)定，法律主體（不論是自然人、法人還是非法人組織）只要在境內開展數(shù)據(jù)處理活動均應適用該法。本文主要站在相關組織（法人及非法人組織）的角度進行探討。相關組織在運營過程中，不可避免會對其客戶或者管理對象的信息進行收集、存儲、使用等。只要實施了數(shù)據(jù)處理活動，即成為《數(shù)據(jù)安全法》數(shù)據(jù)安全保護義務的義務承擔者，須履行相應的法定義務。

與老百姓生活聯(lián)系非常密切的比如醫(yī)院、健身房、美容院、物業(yè)公司等相關組織，在運營過程中會對其患者（會員、業(yè)主）的身份信息、年齡、身體狀況各方面的數(shù)據(jù)、家庭地址、聯(lián)系方式、職業(yè)等進行記錄和使用。這些組織，一旦取得了數(shù)據(jù)，就承擔了保護數(shù)據(jù)安全的義務。

根據(jù)信息安全國家工程研究中心整理的三十四起行政處罰案例，相關組織被行政處罰主要是涉及未適當履行《數(shù)據(jù)安全法》的二十七條、二十九條及三十二條所規(guī)定的義務。

《數(shù)據(jù)安全法》第二十七條，規(guī)定了五項義務：開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度；組織開展數(shù)據(jù)安全教育培訓；采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全；利用互聯(lián)網等信息網絡開展數(shù)據(jù)處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務；重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。

第一項義務，開展數(shù)據(jù)處理活動，應當建立全流程的數(shù)據(jù)安全管理制度。全流程，即包括但不僅限于收集、存儲、使用、加工、傳輸、提供、公開等過程。每一個流程，都應當有對應的數(shù)據(jù)安全管理制度，因為每一個流程都有數(shù)據(jù)泄露、丟失、被攻擊、被盜取的風險。相關組織應當建立全流程的安全管理制度，使得各個流程的操作有規(guī)可循，將義務落到實處。

第二項義務是應組織開展數(shù)據(jù)安全教育培訓。相關組織應圍繞數(shù)據(jù)安全保護問題，開展提高人員相關素質、能力的有計劃性、系統(tǒng)性的培養(yǎng)和訓練活動，使得相關人員具備保護數(shù)據(jù)安全的知識、技能，同時增強保護數(shù)據(jù)安全的責任意識。

第三項義務是應采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。這些技術措施主要包括：身份認證、訪問控制、數(shù)據(jù)加密、網絡隔離、安全審計、態(tài)勢感知等。

第四項義務，相關組織若要利用互聯(lián)網等信息網絡開展數(shù)據(jù)處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務。網絡安全等級保護制度是指規(guī)范計算機系統(tǒng)安全建設和使用的標準以及管理辦法。安全工作的整個流程分為五個環(huán)節(jié)，包括定級、備案、建設整改、等級測評、監(jiān)督檢查。

第五項義務，是要明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。避免責任人的泛化，可能導致最終無人負責，無法將保護責任落到實處。

《數(shù)據(jù)安全法》第二十九條規(guī)定了兩項義務：第一項是開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施；第二項是當發(fā)生數(shù)據(jù)安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

風險監(jiān)測是指：通過對信息系統(tǒng)的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，識別潛在的網絡風險。

可采取補救措施一般有：關閉服務、安裝補丁、升級軟件、數(shù)據(jù)備份恢復等。

數(shù)據(jù)安全事件是指：指由于人為因素、技術故障、自然災害等原因導致的數(shù)據(jù)泄露、損壞、丟失等事件。

可采取處置措施一般分為：檢測和分析、遏制、根除、恢復、事后總結等環(huán)節(jié)。

當相關組織在數(shù)據(jù)處理中發(fā)生上述情況，應嚴格按照法律的規(guī)定，實施相應的處理行為，否則就面臨承擔法律責任的風險。

《數(shù)據(jù)安全法》第三十二條是對數(shù)據(jù)獲取應遵循的原則的規(guī)定。任何組織、個人收集數(shù)據(jù)，應當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。若法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應當在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數(shù)據(jù)。

例如，相關組織在處理數(shù)據(jù)信息時，應就信息的收集、使用、處理等取得信息所有者的同意。所有的通過不正當?shù)母`密手段（包括但不僅限于黑客入侵、秘密竊取等）獲取數(shù)據(jù)的方式均為不合法、不正當。

律師建議

針對相關組織在數(shù)據(jù)安全保護中承擔的義務，律師提出如下幾項法律建議。

（一）建立健全全流程數(shù)據(jù)安全管理制度，積極組織開展數(shù)據(jù)安全教育培訓

相關組織應對全體人員，特別是在工作中接觸、運用、處理數(shù)據(jù)的相關人員，增強其數(shù)據(jù)安全保護意識，讓其認識到保護數(shù)據(jù)安全是一項法定的義務，是應當履行的職責。同時，相關人員需要切實掌握數(shù)據(jù)安全保護的技能。相關組織應定期進行考核，并將考核結果計入相關人員的評價指標中。最后，相關組織可定期組織行之有效的數(shù)據(jù)安全教育培訓活動，聘請專業(yè)人員，就數(shù)據(jù)安全保護專業(yè)層面的技能進行講授。

（二）采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全

承擔數(shù)據(jù)安全保護責任的相關組織自身可能并不具備數(shù)據(jù)安全保護的技能，不知道在技術層面應該采取什么措施對數(shù)據(jù)進行保護。在這個情形下，可以采取向專業(yè)機構購買相關的服務或者聘用專門的技術處理人員，對數(shù)據(jù)處理進行全流程的安全保護，加強風險監(jiān)測，倘若發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險或發(fā)生數(shù)據(jù)安全事件時，能及時進行補救，采取相應的處置措施，按照規(guī)定及時告知信息所有者并向有關主管部門報告。

目前，常實施的數(shù)據(jù)保護措施有：訪問控制、數(shù)據(jù)加密、安全審計、網絡安全、數(shù)據(jù)完整性保護。相關組織不得以其不懂、不了解相關技術措施為理由推卸責任。

（三）相關組織應以合法、正當?shù)姆绞将@取、處理數(shù)據(jù)

如相關組織需要記錄、使用、加工、提供、公開信息所有者的信息、指紋、人臉等需要經過其同意。絕不能以不正當手段諸如購買、竊取等手段獲得數(shù)據(jù)信息，同時也不得未經許可將掌握的數(shù)據(jù)信息提供給他人。

綜上，相關組織應嚴格按照《數(shù)據(jù)安全法》的規(guī)定，履行法定義務，才能避免在運營過程中遭遇不必要的法律風險。