论文部分内容阅读
本文将综合有关法律法规和实践情况,解读企业数据安全和隐私保护的概念、关系及侧重点,供读者参考。
数据安全与隐私保护
《中华人民共和国数据安全法(草案)》(称“数据安全法草案”)经过全国人大常委会二次审议,并于2021年4月29日发布公开征求意见。其中将“数据安全”定义为“指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及保障持续安全状态的能力”。此外,数据安全法草案在“第三章 数据安全制度”部分首要指出国家建立数据分级分类保护制度,加强对重要数据的保护。
结合企业经营及运营,本文对数据安全(Data Security)做进一步延伸解读。本文所称的“数据安全”是指企业为保护数据安全,对于数据全生命周期即数据收集或生成、使用、传输、存储、披露、流转与跟踪、销毁搭建的安全体系,该安全体系侧重数据分类分级及敏感数据全生命周期的保护。
根据数据是否涉及个人信息,我们可以把数据安全体系区分为个人数据安全与业务数据安全。在此基础上,数据安全与隐私保护之间存在交集,即个人数据安全。结合上文所述,企业数据安全的首要目标在于保护企业数据全生命周期的安全状态,其与隐私保护的交集在于对于个人数据的保护,涉及个人信息的数据(如个人敏感信息)可能被企业分类为敏感数据,拥有较高的安全等级,从而加大对此部分数据的保护力度。
企业隐私保护除前述讨论的个人数据保护部分外,因涉及数据主体的隐私(对于企业数据资产来说属于敏感数据),法规法规、企业规章制度、缔约、承诺等对此类敏感数据的全生命周期加以严格约束,要求企业对此履行合规义务。如于2018年5月生效的欧盟《通用数据保护条例》(General Data Protection Regulation, Regulation (EU) 2016/679 of the European Parliament and of the Council, the “GDPR”),且GDPR的生效对跨国业务及全球隐私保护立法产生深远影响;《中华人民共和国个人信息保护法(草案)》、数据安全法草案也于近日经人大常委会二次审议并公开征求意见,结合2017年6月1日生效的《中华人民共和国网络安全法》,国内关于隐私保护方向的立法进程持续推进。当前,企业所要承担的面向国内外的隐私保护合规义务不断加重。故企业隐私保护可被解读为“个人数据保护与合规义务履行”,对于企业来说,隐私保护侧重合规义务履行。
数据分类与分级
数据分类与分级,是国家确立的数据安全核心制度,也是数据安全体系搭建的侧重点。数据分类和分级是指将数据对象划分类别并确定相应的安全等级,实施该等级对应程度的保护措施。
数据分类
数据分类是企业数据安全基础工作之一,指企业根据持有的数据的内容、用途、业务领域等因素,对数据进行分类、归类。我们以某已搭建用户数量较大、业务类型较复杂的互联网服务平台企业为例,讲解部分数据分类过程,供读者加深理解。
第一步:结合该企业实际业务情况,我们建议企业将其数据资产划分为用户管理、市场活动管理、产品管理、服务管理、合作商管理、资源管理、企业管理七类;
第二步:结合企业实际业务场景,对场景中的涉及到的具体数据对象进行梳理、归类、细分,自下而上完成对前述每一类的细化,形成子分类。以用户管理类举例,根据用户数据采集、使用等场景的不同,用户管理类又被划分为用户信息、用户服务、用户接触、用户评价、用户问题、用户维系挽留、用户账务七个子类,详见下表:
一级分类 二级分类
名称 范围 名称 释义 范围
用户管理类
(举例) 指向企业订购产品或服务的自然人或法人(称“用户”)的信息;及用戶获取产品时的数据;及用户订购产品时同账务有关的数据 (1)用户信息 指已经购买或使用某企业及其业务合作商所提供的产品或服务的用户的社会属性资料(潜在用户也可归为此类) 个人用户基本信息、企业用户基本信息、个人用户资料企业用户资料、用户关系……
(2)用户服务 指用户与某企业及其业务合作商达成的关于购买和使用产品的权利和义务 用户服务水平协议、用户分级信息……
(3)用户接触 指通过各种渠道,与用户进行联系而产生的所有信息 通过电话营销、线下活动等与用户联系产生的所有信息
(4)用户评价 指对用户相关信息收集、处理、分析生成的结果 用户白名单、用户黑名单、用户积分信息、用户信用等级信息、用户价值、用户流失倾向……
(5)用户问题 指用户由于所购买或使用的产品或服务出现问题而进行反映所产生的信息 用户问题单信息、问题回复工单信息、问题答复单信息、问题工单信息…… (6)用户维系挽留 指用户生命周期的稳定阶段开展的工作,其主要的目的是通过用户维系的各种活动,规范服务,进行用户价值挖掘,从而提升用户的价值 维系对象信息、维系活动信息、挽留对象信息、挽留活动信息、挽留效果评估信息……
(7)用户账务 指用户因购买或使用某企业及其合作伙伴提供的产品或服务而产生或关联的财务信息 帐单、详单、发票、帐务滞纳金、调帐信息、帐本信息……
因篇幅限制,本文不再举例数据分类的其他内容,结合企业业务需要,企业数据分类可随着业务变化而变化,不断改进、细化和完善分类标准。
数据分级
企业数据分级是指企业按照所持有的数据的价值、敏感程度、泄露、非法提供或滥用之后的影响对象/程度等因素进行评估并确定等级。例如较为复杂的可分为“公开”“内部使用”“秘密”“机密”“绝密”五级。通常企业在有数据分级需求时,综合成本考量,我们建议企业在满足合法合规的基础上,尽量使用简单的分级(分类)规则,推荐使用三级如“公开”“普通”“敏感”;部分企业也采取较为简单的如“普通”“敏感”二级分级。
与数据分类性质不同,为保护数据安全,维持数据保密性、完整性和可用性,对于企业来说,有效的分级一旦设定,原则上不再变更。每一个数据分级可对应多个数据分类。在此需要强调的是,“分级原则上不变更”指的是企业根据自身需要而设定的级别通常不发生变更,但该级别下的数据在采用如数据脱敏、删除关键字段、汇聚融合等技术手段后可导致升降级,从而采用升级或降级后对应的保护措施予以保护,二者不可混淆。
补充说明一点,遇例外情况,企业也存在分级变更的可能性。中国人民银行发布的《金融数据安全 数据安全分级指南》(JR/T 0197—2020),其中列举了四种确定的级别变更情形,如下:数据内容发生变化,导致原有数据的安全级别不适用变化后的数据;数据内容未发生变化,但因数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用;不同数据类型经汇聚融合形成新的数据类别,使得原有的数据级别不适用,应重新進行级别判定;因国家或行业主管部门要求,导致原定的数据级别不再适用。上述变更情形,供在实践过程中参考。
国家通过立法明确建立数据分级分类保护制度,意在加强对于重要数据的保护。对于企业来说,将重要性不同的数据采用同样等级的保护措施,实施无差别的保护,可能导致对敏感数据保护力度不足,对普通数据保护力度过剩。此外,数据分类和分级的设定也并非越复杂越好,对于企业来说,分类越细化、分级数量越多,管理成本就越高。“零损失”是一个理想目标,不仅实现成本高昂且难以达成,甚至负面影响业务发展。实施有差别的分类和分级保护,区别对待不同业务和数据,综合业务发展与成本考量,实现业务发展与数据安全的双赢,是企业应当追求的目标,也是数据分类和分级的意义所在。
综上所述,企业数据安全与隐私保护是个复杂命题,在当前的时代背景下,企业要做的是把保护重要的业务和数据放在首位,把合法合规作为底线,使数据成为新的生产力,用合规促进业务发展与企业繁荣。
链接:
北京市炜衡律师事务所于1995年由原司法部法律服务中心部分骨干律师设立,以“洞察、沟通、解决、良知”为执业理念,经过二十五余年的奋斗,如今已成为中国著名大型综合性律师事务所,总部设立于北京,在上海、深圳等近四十个国内外城市设立分所。炜衡律师事务所多次被授予“全国优秀律师事务所”、“北京市优秀律师事务所”等荣誉称号,先后入选钱伯斯、ALB《亚洲法律杂志》、《商法》杂志等排名。
北京市炜衡律师事务所执业律师400名,全平台执业律师3500名,设有专业部门20余个。为致力公益事业,履行社会责任,特设公益法律服务部。北京市炜衡律师事务所竭诚为国内外广大客户、社会弱势群体提供专业、全面、优质、高效的法律服务。