企业合规“待办清单”

佟日

数据安全要素具有多重属性。《数据安全法》的颁布实施，既从宏观上对保障国家安全、维护国家主权提出了制度性的管理要求，又对组织与个人落实数据安全保护义务进行了原则性规定，明确了相应的法律责任。对企业而言，“《数据安全法》监管时代”已经到来。

企业迎来“数安法”监管时代

《数据安全法》被视为我国网络空间与信息安全治理的三部基础性法律之一。其着力于从保障数字经济发展角度，强调数据安全与经济发展的辩证关系，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。企业应明确《数据安全法》下的合规应对措施，梳理出一张“待办清单”，以尽快落实合规措施，加强数据安全管理。

《数据安全法》的适用范围可以用“三个覆盖”来概括：一是监管对象、信息形式全覆盖。该法中所称的数据，是指任何以电子或者其他方式对信息的记录;二是监管活动、数据生命周期全覆盖。《数据安全法》囊括了对数据的收集、存储、使用、加工、传输、提供、公开等活动（统称为“数据处理活动”）的安全管理要求;三是适用地域范围、域内外效力全覆盖。不仅在中华人民共和国境内开展数据处理活动及其安全监管时适用本法，还创设了具有中国特色的长臂管辖条款，即在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，也适用本法。

综上，《数据安全法》辐射范围广，只要在华企业的日常经营、业务活动涉及数据生命周期的任何一个环节，或者境外企业涉及与中国有关的数据处理活动的，皆受到该法的规制。

《数据安全法》作为我国第一部针对数据安全领域的专门立法，明确了一系列制度性框架和管理义务要求。除了对各类企业的一般性要求外，《数据安全法》特别就两类企业提出了特殊要求。一是要求可能涉及重要数据的金融、电信、交通、自然资源等关键行业的企业，紧密关注数据分类及重要数据保护制度，明确数据安全负责人和管理机构，落实数据安全保护责任;二是对数据交易平台提出了审核数据来源及交易双方的要求，并将未尽到该义务的法律责任与违法所得挂钩，突破了以往定额罚款的限制。

《数据安全法》定义的数据安全，是指通过采取必要措施，确保数据处于被有效保护和合法利用的状态。从这一定义来看，《数据安全法》要求企业落实数据安全保护义务，须达到两个标准：一是企业自身的管理能力，足以保障数据安全;二是从结果出发，保障数据处于被有效保护和合法利用的状态。

基于这两个重点，依据《数据安全法》明确义务，可梳理出企业现阶段的待办事项，以及内部应制定并执行的管理制度。一方面，建议企业把握《数据安全法》开始生效后的过渡期，及时完成自查自纠、合规整改;另一方面，管理制度的构建和严格执行，也有助于企业在不慎发生数据安全事件时，提供依法管理、审慎经营的证明。

一是建议企业内部成立个人信息保护委员会工作小组（可由法务、技术、业务人员协同组建），专项负责个人信息保护事宜，包括个人信息的收集、使用、存储，以及响应个人信息主体的权利要求，制定工作规章，明确分工及合作流程。

二是如果企业需要面向个人信息主体直接收集信息，建议制定独立的隐私政策，明確收集的对象、类型、目的、处理方式等，并严格按照隐私政策中说明的内容处理。建议企业定期根据业务发展审阅、更新隐私政策，确保其与业务实践一致。企业内部还应制定有关隐私政策起草、更新和审核的制度。

三是如果企业因业务需要向第三方间接收集个人信息，建议加强对第三方数据来源的审核工作，制定企业内部间接收集个人信息的制度规范。

四是如果企业需要利用诸如网络“爬虫”等技术获取数据，或通过人脸识别设备采集数据，建议充分评估信息安全风险，制定企业内部针对专项个人信息处理的安全影响评估方案。

五是要明确，落实网络安全保护义务，是企业在不慎发生数据泄露时可以进行合理抗辩和自我保护的基础。

六是建议企业组织员工培训，规范业务部门、技术部门处理数据的操作。企业内部应制定员工数据处理安全规范。

七是明确企业不同数据的存储形式、加密手段和存储期限等。

八是建议企业建立数据事件响应机制，包括响应时间、内部报告主体及流程、告知涉事信息主体的时间及方式、关于报告的内部审批流程、统一管理对外信息发布等。

九是采用机器人与人工双重审阅的方式，审查数据来源的合法性，并要求数据提供方提交书面承诺。

十是建议企业内部制定向政府、司法部门提供数据的工作流程及管理规范，明确企业与政府、司法部门对接的人员，记录提供数据的原因，数据的类型、数量，所涉主体的类型，并确保数据在传输过程中的安全。

除前述列明的义务或制度要求外，《数据安全法》中还有一些重点内容需要提醒企业注意。虽然囿于当前配套立法尚未完善，企业尚无法落地具体制度，但仍建议未雨绸缪，重点关注几个方面。待配套法律法规施行后，企业在应对新的“强监管”的过程中能够平稳过渡。

一是重要数据与核心数据的保护。《数据安全法》第二十一条规定了国家数据安全工作协调机制，统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据，属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类、分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据目录。

《数据安全法》针对重要数据的保护明确了相关的配套规则：一方面要求中央指导地方，细化重要数据目录，明确重要数据的范围;另一方面对重要数据的保护提出了多方位的要求，例如明确数据安全负责人和管理机构、定期开展风险评估并发送风险评估报告、重要数据出境安全管理等。建议企业持续跟踪重要数据目录发布情况，以及核心数据的界定标准。一旦企业控制的数据进入重要数据、核心数据的范畴，那么企业当前的合规管理工作就应及时予以跟进。

二是数据的跨境流动。随着近年来中国企业实施“走出去”战略，数据跨境流动一直是企业实践的热切诉求，也是国家立法、执法所关注的重点。

目前我国对数据跨境传输的规定尚停留在原则性范围内，未发布对数据跨境流动实操有指导意义的法律文件。《数据安全法》虽然表明了国家对数据跨境流动的积极态度，指出国家要积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动，但不难发现，数据自由流动的前提是确保数据安全。特别是《数据安全法》强调，国家对于与维护国家安全和利益、履行国际义务相关的，属于管制物项的数据，依法实施出口管制。由此可见，重要数据的流动仍适用“严监管”原则。