《數(shù)據(jù)安全法》中規(guī)定的法律義務(wù)

文 | 北京雍文律師事務(wù)所 張宇

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）自2021年9月1日起施行。

《數(shù)據(jù)安全法》站在總體國家安全觀的高度，基本原則是建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力，維護(hù)數(shù)據(jù)安全以達(dá)到規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益的立法目的。在中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管均適用該法，此為該法的適用范圍。

《數(shù)據(jù)安全法》施行兩年來，根據(jù)信息安全國家工程研究中心公布的《數(shù)據(jù)安全法》處罰案例整理顯示，有34起根據(jù)《數(shù)據(jù)安全法》作出行政處罰的案例（時(shí)間從《數(shù)據(jù)安全法》實(shí)施至2023年8月14日）。

隨著數(shù)據(jù)安全重要性的日益凸顯，相關(guān)執(zhí)法部門執(zhí)法力度的增強(qiáng)和執(zhí)法頻率的不斷加快，相關(guān)組織（包括法人組織及非法人組織）在運(yùn)營過程中應(yīng)嚴(yán)格履行哪些法定義務(wù)，采取何種適當(dāng)措施，以做到合規(guī)運(yùn)營避免相關(guān)的法律風(fēng)險(xiǎn)，成為一個(gè)非常重要同時(shí)也是亟待解決的法律問題。

本文站在律師的視角，針對《數(shù)據(jù)安全法》中相關(guān)組織承擔(dān)的法律義務(wù)的重要條文進(jìn)行解讀，同時(shí)對相關(guān)組織的運(yùn)營行為提出相應(yīng)的法律建議及應(yīng)對的措施，以使相關(guān)組織能對其在運(yùn)營過程中可能面臨的數(shù)據(jù)安全保護(hù)方面的法律風(fēng)險(xiǎn)進(jìn)行防范、控制。

主要法條解讀

《數(shù)據(jù)安全法》第二條規(guī)定，在中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管，適用該法。《數(shù)據(jù)安全法》第三條對數(shù)據(jù)及數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全給出了定義：數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄；數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等；數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

根據(jù)《數(shù)據(jù)安全法》第二條之規(guī)定，法律主體（不論是自然人、法人還是非法人組織）只要在境內(nèi)開展數(shù)據(jù)處理活動(dòng)均應(yīng)適用該法。本文主要站在相關(guān)組織（法人及非法人組織）的角度進(jìn)行探討。相關(guān)組織在運(yùn)營過程中，不可避免會(huì)對其客戶或者管理對象的信息進(jìn)行收集、存儲、使用等。只要實(shí)施了數(shù)據(jù)處理活動(dòng)，即成為《數(shù)據(jù)安全法》數(shù)據(jù)安全保護(hù)義務(wù)的義務(wù)承擔(dān)者，須履行相應(yīng)的法定義務(wù)。

與老百姓生活聯(lián)系非常密切的比如醫(yī)院、健身房、美容院、物業(yè)公司等相關(guān)組織，在運(yùn)營過程中會(huì)對其患者（會(huì)員、業(yè)主）的身份信息、年齡、身體狀況各方面的數(shù)據(jù)、家庭地址、聯(lián)系方式、職業(yè)等進(jìn)行記錄和使用。這些組織，一旦取得了數(shù)據(jù)，就承擔(dān)了保護(hù)數(shù)據(jù)安全的義務(wù)。

根據(jù)信息安全國家工程研究中心整理的三十四起行政處罰案例，相關(guān)組織被行政處罰主要是涉及未適當(dāng)履行《數(shù)據(jù)安全法》的二十七條、二十九條及三十二條所規(guī)定的義務(wù)。

《數(shù)據(jù)安全法》第二十七條，規(guī)定了五項(xiàng)義務(wù)：開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度；組織開展數(shù)據(jù)安全教育培訓(xùn)；采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全；利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)；重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

第一項(xiàng)義務(wù)，開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)建立全流程的數(shù)據(jù)安全管理制度。全流程，即包括但不僅限于收集、存儲、使用、加工、傳輸、提供、公開等過程。每一個(gè)流程，都應(yīng)當(dāng)有對應(yīng)的數(shù)據(jù)安全管理制度，因?yàn)槊恳粋€(gè)流程都有數(shù)據(jù)泄露、丟失、被攻擊、被盜取的風(fēng)險(xiǎn)。相關(guān)組織應(yīng)當(dāng)建立全流程的安全管理制度，使得各個(gè)流程的操作有規(guī)可循，將義務(wù)落到實(shí)處。

第二項(xiàng)義務(wù)是應(yīng)組織開展數(shù)據(jù)安全教育培訓(xùn)。相關(guān)組織應(yīng)圍繞數(shù)據(jù)安全保護(hù)問題，開展提高人員相關(guān)素質(zhì)、能力的有計(jì)劃性、系統(tǒng)性的培養(yǎng)和訓(xùn)練活動(dòng)，使得相關(guān)人員具備保護(hù)數(shù)據(jù)安全的知識、技能，同時(shí)增強(qiáng)保護(hù)數(shù)據(jù)安全的責(zé)任意識。

第三項(xiàng)義務(wù)是應(yīng)采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。這些技術(shù)措施主要包括：身份認(rèn)證、訪問控制、數(shù)據(jù)加密、網(wǎng)絡(luò)隔離、安全審計(jì)、態(tài)勢感知等。

第四項(xiàng)義務(wù)，相關(guān)組織若要利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。網(wǎng)絡(luò)安全等級保護(hù)制度是指規(guī)范計(jì)算機(jī)系統(tǒng)安全建設(shè)和使用的標(biāo)準(zhǔn)以及管理辦法。安全工作的整個(gè)流程分為五個(gè)環(huán)節(jié)，包括定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查。

第五項(xiàng)義務(wù)，是要明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。避免責(zé)任人的泛化，可能導(dǎo)致最終無人負(fù)責(zé)，無法將保護(hù)責(zé)任落到實(shí)處。

《數(shù)據(jù)安全法》第二十九條規(guī)定了兩項(xiàng)義務(wù)：第一項(xiàng)是開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；第二項(xiàng)是當(dāng)發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

風(fēng)險(xiǎn)監(jiān)測是指：通過對信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，識別潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

可采取補(bǔ)救措施一般有：關(guān)閉服務(wù)、安裝補(bǔ)丁、升級軟件、數(shù)據(jù)備份恢復(fù)等。

數(shù)據(jù)安全事件是指：指由于人為因素、技術(shù)故障、自然災(zāi)害等原因?qū)е碌臄?shù)據(jù)泄露、損壞、丟失等事件。

可采取處置措施一般分為：檢測和分析、遏制、根除、恢復(fù)、事后總結(jié)等環(huán)節(jié)。

當(dāng)相關(guān)組織在數(shù)據(jù)處理中發(fā)生上述情況，應(yīng)嚴(yán)格按照法律的規(guī)定，實(shí)施相應(yīng)的處理行為，否則就面臨承擔(dān)法律責(zé)任的風(fēng)險(xiǎn)。

《數(shù)據(jù)安全法》第三十二條是對數(shù)據(jù)獲取應(yīng)遵循的原則的規(guī)定。任何組織、個(gè)人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。若法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。

例如，相關(guān)組織在處理數(shù)據(jù)信息時(shí)，應(yīng)就信息的收集、使用、處理等取得信息所有者的同意。所有的通過不正當(dāng)?shù)母`密手段（包括但不僅限于黑客入侵、秘密竊取等）獲取數(shù)據(jù)的方式均為不合法、不正當(dāng)。

律師建議

針對相關(guān)組織在數(shù)據(jù)安全保護(hù)中承擔(dān)的義務(wù)，律師提出如下幾項(xiàng)法律建議。

（一）建立健全全流程數(shù)據(jù)安全管理制度，積極組織開展數(shù)據(jù)安全教育培訓(xùn)

相關(guān)組織應(yīng)對全體人員，特別是在工作中接觸、運(yùn)用、處理數(shù)據(jù)的相關(guān)人員，增強(qiáng)其數(shù)據(jù)安全保護(hù)意識，讓其認(rèn)識到保護(hù)數(shù)據(jù)安全是一項(xiàng)法定的義務(wù)，是應(yīng)當(dāng)履行的職責(zé)。同時(shí)，相關(guān)人員需要切實(shí)掌握數(shù)據(jù)安全保護(hù)的技能。相關(guān)組織應(yīng)定期進(jìn)行考核，并將考核結(jié)果計(jì)入相關(guān)人員的評價(jià)指標(biāo)中。最后，相關(guān)組織可定期組織行之有效的數(shù)據(jù)安全教育培訓(xùn)活動(dòng)，聘請專業(yè)人員，就數(shù)據(jù)安全保護(hù)專業(yè)層面的技能進(jìn)行講授。

（二）采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全

承擔(dān)數(shù)據(jù)安全保護(hù)責(zé)任的相關(guān)組織自身可能并不具備數(shù)據(jù)安全保護(hù)的技能，不知道在技術(shù)層面應(yīng)該采取什么措施對數(shù)據(jù)進(jìn)行保護(hù)。在這個(gè)情形下，可以采取向?qū)I(yè)機(jī)構(gòu)購買相關(guān)的服務(wù)或者聘用專門的技術(shù)處理人員，對數(shù)據(jù)處理進(jìn)行全流程的安全保護(hù)，加強(qiáng)風(fēng)險(xiǎn)監(jiān)測，倘若發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)或發(fā)生數(shù)據(jù)安全事件時(shí)，能及時(shí)進(jìn)行補(bǔ)救，采取相應(yīng)的處置措施，按照規(guī)定及時(shí)告知信息所有者并向有關(guān)主管部門報(bào)告。

目前，常實(shí)施的數(shù)據(jù)保護(hù)措施有：訪問控制、數(shù)據(jù)加密、安全審計(jì)、網(wǎng)絡(luò)安全、數(shù)據(jù)完整性保護(hù)。相關(guān)組織不得以其不懂、不了解相關(guān)技術(shù)措施為理由推卸責(zé)任。

（三）相關(guān)組織應(yīng)以合法、正當(dāng)?shù)姆绞将@取、處理數(shù)據(jù)

如相關(guān)組織需要記錄、使用、加工、提供、公開信息所有者的信息、指紋、人臉等需要經(jīng)過其同意。絕不能以不正當(dāng)手段諸如購買、竊取等手段獲得數(shù)據(jù)信息，同時(shí)也不得未經(jīng)許可將掌握的數(shù)據(jù)信息提供給他人。

綜上，相關(guān)組織應(yīng)嚴(yán)格按照《數(shù)據(jù)安全法》的規(guī)定，履行法定義務(wù)，才能避免在運(yùn)營過程中遭遇不必要的法律風(fēng)險(xiǎn)。