文 | 北京雍文律師事務所 張宇
《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)自2021年9月1日起施行。
《數(shù)據(jù)安全法》站在總體國家安全觀的高度,基本原則是建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力,維護數(shù)據(jù)安全以達到規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權益,維護國家主權、安全和發(fā)展利益的立法目的。在中華人民共和國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管均適用該法,此為該法的適用范圍。
《數(shù)據(jù)安全法》施行兩年來,根據(jù)信息安全國家工程研究中心公布的《數(shù)據(jù)安全法》處罰案例整理顯示,有34起根據(jù)《數(shù)據(jù)安全法》作出行政處罰的案例(時間從《數(shù)據(jù)安全法》實施至2023年8月14日)。
隨著數(shù)據(jù)安全重要性的日益凸顯,相關執(zhí)法部門執(zhí)法力度的增強和執(zhí)法頻率的不斷加快,相關組織(包括法人組織及非法人組織)在運營過程中應嚴格履行哪些法定義務,采取何種適當措施,以做到合規(guī)運營避免相關的法律風險,成為一個非常重要同時也是亟待解決的法律問題。
本文站在律師的視角,針對《數(shù)據(jù)安全法》中相關組織承擔的法律義務的重要條文進行解讀,同時對相關組織的運營行為提出相應的法律建議及應對的措施,以使相關組織能對其在運營過程中可能面臨的數(shù)據(jù)安全保護方面的法律風險進行防范、控制。
《數(shù)據(jù)安全法》第二條規(guī)定,在中華人民共和國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管,適用該法?!稊?shù)據(jù)安全法》第三條對數(shù)據(jù)及數(shù)據(jù)處理活動、數(shù)據(jù)安全給出了定義:數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄;數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等;數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
根據(jù)《數(shù)據(jù)安全法》第二條之規(guī)定,法律主體(不論是自然人、法人還是非法人組織)只要在境內開展數(shù)據(jù)處理活動均應適用該法。本文主要站在相關組織(法人及非法人組織)的角度進行探討。相關組織在運營過程中,不可避免會對其客戶或者管理對象的信息進行收集、存儲、使用等。只要實施了數(shù)據(jù)處理活動,即成為《數(shù)據(jù)安全法》數(shù)據(jù)安全保護義務的義務承擔者,須履行相應的法定義務。
與老百姓生活聯(lián)系非常密切的比如醫(yī)院、健身房、美容院、物業(yè)公司等相關組織,在運營過程中會對其患者(會員、業(yè)主)的身份信息、年齡、身體狀況各方面的數(shù)據(jù)、家庭地址、聯(lián)系方式、職業(yè)等進行記錄和使用。這些組織,一旦取得了數(shù)據(jù),就承擔了保護數(shù)據(jù)安全的義務。
根據(jù)信息安全國家工程研究中心整理的三十四起行政處罰案例,相關組織被行政處罰主要是涉及未適當履行《數(shù)據(jù)安全法》的二十七條、二十九條及三十二條所規(guī)定的義務。
《數(shù)據(jù)安全法》第二十七條,規(guī)定了五項義務:開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度;組織開展數(shù)據(jù)安全教育培訓;采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全;利用互聯(lián)網等信息網絡開展數(shù)據(jù)處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數(shù)據(jù)安全保護義務;重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。
第一項義務,開展數(shù)據(jù)處理活動,應當建立全流程的數(shù)據(jù)安全管理制度。全流程,即包括但不僅限于收集、存儲、使用、加工、傳輸、提供、公開等過程。每一個流程,都應當有對應的數(shù)據(jù)安全管理制度,因為每一個流程都有數(shù)據(jù)泄露、丟失、被攻擊、被盜取的風險。相關組織應當建立全流程的安全管理制度,使得各個流程的操作有規(guī)可循,將義務落到實處。
第二項義務是應組織開展數(shù)據(jù)安全教育培訓。相關組織應圍繞數(shù)據(jù)安全保護問題,開展提高人員相關素質、能力的有計劃性、系統(tǒng)性的培養(yǎng)和訓練活動,使得相關人員具備保護數(shù)據(jù)安全的知識、技能,同時增強保護數(shù)據(jù)安全的責任意識。
第三項義務是應采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。這些技術措施主要包括:身份認證、訪問控制、數(shù)據(jù)加密、網絡隔離、安全審計、態(tài)勢感知等。
第四項義務,相關組織若要利用互聯(lián)網等信息網絡開展數(shù)據(jù)處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數(shù)據(jù)安全保護義務。網絡安全等級保護制度是指規(guī)范計算機系統(tǒng)安全建設和使用的標準以及管理辦法。安全工作的整個流程分為五個環(huán)節(jié),包括定級、備案、建設整改、等級測評、監(jiān)督檢查。
第五項義務,是要明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。避免責任人的泛化,可能導致最終無人負責,無法將保護責任落到實處。
《數(shù)據(jù)安全法》第二十九條規(guī)定了兩項義務:第一項是開展數(shù)據(jù)處理活動應當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應當立即采取補救措施;第二項是當發(fā)生數(shù)據(jù)安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關主管部門報告。
風險監(jiān)測是指:通過對信息系統(tǒng)的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析,判斷安全事件發(fā)生的概率以及可能造成的損失,識別潛在的網絡風險。
可采取補救措施一般有:關閉服務、安裝補丁、升級軟件、數(shù)據(jù)備份恢復等。
數(shù)據(jù)安全事件是指:指由于人為因素、技術故障、自然災害等原因導致的數(shù)據(jù)泄露、損壞、丟失等事件。
可采取處置措施一般分為:檢測和分析、遏制、根除、恢復、事后總結等環(huán)節(jié)。
當相關組織在數(shù)據(jù)處理中發(fā)生上述情況,應嚴格按照法律的規(guī)定,實施相應的處理行為,否則就面臨承擔法律責任的風險。
《數(shù)據(jù)安全法》第三十二條是對數(shù)據(jù)獲取應遵循的原則的規(guī)定。任何組織、個人收集數(shù)據(jù),應當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。若法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,應當在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數(shù)據(jù)。
例如,相關組織在處理數(shù)據(jù)信息時,應就信息的收集、使用、處理等取得信息所有者的同意。所有的通過不正當?shù)母`密手段(包括但不僅限于黑客入侵、秘密竊取等)獲取數(shù)據(jù)的方式均為不合法、不正當。
針對相關組織在數(shù)據(jù)安全保護中承擔的義務,律師提出如下幾項法律建議。
相關組織應對全體人員,特別是在工作中接觸、運用、處理數(shù)據(jù)的相關人員,增強其數(shù)據(jù)安全保護意識,讓其認識到保護數(shù)據(jù)安全是一項法定的義務,是應當履行的職責。同時,相關人員需要切實掌握數(shù)據(jù)安全保護的技能。相關組織應定期進行考核,并將考核結果計入相關人員的評價指標中。最后,相關組織可定期組織行之有效的數(shù)據(jù)安全教育培訓活動,聘請專業(yè)人員,就數(shù)據(jù)安全保護專業(yè)層面的技能進行講授。
承擔數(shù)據(jù)安全保護責任的相關組織自身可能并不具備數(shù)據(jù)安全保護的技能,不知道在技術層面應該采取什么措施對數(shù)據(jù)進行保護。在這個情形下,可以采取向專業(yè)機構購買相關的服務或者聘用專門的技術處理人員,對數(shù)據(jù)處理進行全流程的安全保護,加強風險監(jiān)測,倘若發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險或發(fā)生數(shù)據(jù)安全事件時,能及時進行補救,采取相應的處置措施,按照規(guī)定及時告知信息所有者并向有關主管部門報告。
目前,常實施的數(shù)據(jù)保護措施有:訪問控制、數(shù)據(jù)加密、安全審計、網絡安全、數(shù)據(jù)完整性保護。相關組織不得以其不懂、不了解相關技術措施為理由推卸責任。
如相關組織需要記錄、使用、加工、提供、公開信息所有者的信息、指紋、人臉等需要經過其同意。絕不能以不正當手段諸如購買、竊取等手段獲得數(shù)據(jù)信息,同時也不得未經許可將掌握的數(shù)據(jù)信息提供給他人。
綜上,相關組織應嚴格按照《數(shù)據(jù)安全法》的規(guī)定,履行法定義務,才能避免在運營過程中遭遇不必要的法律風險。