毋庸置疑,合规建设是一家企业经营健康度的重要参考指标,更是企业走可持续发展战略的护身盾牌。
9月1日,《中华人民共和国数据安全法》正式施行(后文简称为“数据安全法”),这一国家安全战略体系的里程碑事件,意味着“企业数据合规建设”即刻成为“企业合规建设”任务榜单上的常客。
数据合规建设,作为企业谋划长远发展的关键,将赋予其治理能力的提升与更高效的生产运维环境,驱动企业迈入全新的发展高度。
因此,提升企业对数据安全相关法律法规的知识储备就显得尤为关键。这将成为企业顺应数字经济浪潮变革、规避内外恶性竞争的有效抓手。
《数据安全法》是我国数据领域的第一部基础性法律,聚焦了数据安全领域的众多突出问题,共计7章55条内容。从企业合规建设需求角度,梳理以下10个法定义务:
数据:任何以电子或其他方式对信息的记录。
数据处理:数据的收集、存储、使用、加工、传输、提供、公开等行为。
数据安全:通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
一是按照数据在经济社会发展中的重要程度;二是依据遭到篡改、破坏、泄露或非法获取、非法利用对国家安全、公共利益或个人、组织合法权益造成的危害程度。
涉及国家安全、国民经济命脉、重要民生、重大公共利益的数据,均属于国家核心数据,需要严格保护。
可参考本地区及本部门及相关行业、领域的重要数据具体目录,筛选、明确自行需要保护的重要数据的具体对象。
对重要数据的处理者,企业要明确其数据安全负责人和管理机构。
可通过组织培训、采取技术措施和其他必要措施,加强数据安全意识的上传下达及防御。
利用互联网等信息网络开展数据处理活动,要以网络安全等级保护制度为基础。
企业要履行风险监测、风险补救义务与安全事件及时处置、告知、报告义务。
企业重要数据的处理者,要定期进行风险评估,风险评估报告报送义务。
企业风险评估报告内容包括:处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
关键信息基础设施的运营企业,重要数据出境,要主动“审视是否报备”,是否符合国家安全观及相关规定,并积极开展业务风险管控与技术风险分析,配合评估与审查。
其他数据处理者涉及重要数据出境,需要主动关注国家网信部门与国务院有关部门制定办法。
从事数据交易中介服务的企业,需要数据提供方说明数据来源,严格审核交易双方的身份,留存审核、交易记录等,做到“主动留底”义务。
数据处理相关服务的企业,需要完成自查自审,应当取得行政许可的,要依法取得许可。
数据犯罪的法律代价不再低,罚款数额少则几十、上至千万元;拒不配合有关部门针对企业调取数据等审查需求的,同样也属于违规行为。
当前,大多数企业都面临着数字化转型的时代挑战,更需要尽早对过程中的各种数据风险有所预见与充分防控,尤其是本身数据合规建设基础薄弱的企业。
通过《数据安全法》的深入学习,在实践中不断自查、完善,将大力促进企业数据安全预警和溯源能力的建立健全,加速推动企业数据合规建设的成功实现。
