记者 宋笛 一系列的事件让数据安全正前所未有的被商业主体关注。
其原因一方面在于疫情中数字化的推进所带来创造了更多的“风险敞口”,另一方面也在于政策监管的不断发力,以《数据安全法》的出台为重要标志
北京恒都(上海)律师事务所律师曾磊对表示,《数据安全法》为今后的数据安全立法、司法和执法搭建了更加开放和灵活的制度框架。这是《数据安全法》带来的最大也是最深远的变化。
对于市场主体,数据安全监管和风险的增加必然会增加数字经济的建设成本,但影响并不仅限于此。
在曾磊看来,数据安全合规对企业成本的影响不仅限于日常运营的支出增加,而是对企业整个生命周期的成本都将带来影响。
:从司法实践上,目前企业面临的数据隐私、数据安全方面的法律风险主要来自于哪些方面?疫情后的数字化推进对于风险的种类、程度带来了什么影响?
曾磊:从目前披露的案例看,常见的违规事件主要集中在敏感信息的不当采集、泄露和利用,例如滴滴APP被下架事件、携程“大数据杀熟”争议等。随着立法和执法的成熟,预计被查处的违规类型将更加丰富。
新冠疫情给经济的数字化和数字化经济都添了一把燃料,数据在经济生活中的参与度更高,产生的价值更多,同时给信息安全带来的潜在威胁也更大。具体来说,疫情期间产生的数字经济新业态或新业务给信息安全创造了更多的风险敞口,可能导致信息安全大堤发生泄露甚至崩塌的“蚁穴”变多了。另一方面,原有的从事数字类业务的企业,由于疫情而扩大了市场份额、获得了更多用户或者推出了新产品或新服务,这些都会使数据安全事故的危害范围更广、表现形式更多样、查处认定难度也更大。
:在《数据安全法》实施前后,企业在数据保护方面的义务和责任是否有变化?有哪些变化?
曾磊:我国的数据安全立法仍处在较初级的阶段,相关理论和方法还在探索完善中。《数据安全法》也体现了立法思路和技术的迭代进化。在《数据安全法》出台之前,我国关于数据安全的专门性法律是《网络安全法》。在数据保护的对象方面,《网络安全法》侧重于“网络数据”,即网络收集、存储、传输、处理和产生的各种电子数据。显然,这一概念不足以覆盖真实世界的所有数据,也就是说,这部法律对数据的保护是不周全的。《数据安全法》最大的进步是完善了关于“数据”的定义,将其外延扩大到“任何以电子或者非电子形式对信息的记录”。在这个前提下,数据的分级管理、安全审查、风险评估、出境管制等制度都获得充分的法律基础去覆盖到经济生活可能涉及的各种形式的数据。《数据安全法》为今后的数据安全立法、司法和执法搭建了更加开放和灵活的制度框架。这是《数据安全法》带来的最大也是最深远的变化。
:上述义务的变化,需要企业在数据合规方面进行什么工作?从目前的企业实践,哪些方面是薄弱环节?
曾磊:在数据安全强监管的趋势下,企业应至少在四个方面提升数据管理水平:
第一,加强制度建设,制订和完善数据安全的规章制度、操作流程、格式文本等,使数据安全有据可依;
第二,建立和优化数据安全的组织架构,使数据安全的职责落实到人;
第三,配置和提升数据保护的硬件、软件和网络设施,为数据安全提供物质和技术保障;
第四,检查数据安全的落实情况,一旦发现违法违规违章的情形、漏洞或事故,应及时予以纠正和补救,对于与外部机构或个人的纠纷、争议、诉讼等应尽快予以解决和平息。
可能在采取了以上措施后,企业还是不能确定自己的数据安全管理水平是否达到合规的要求。企业可以考虑申请数据安全合规方面的权威认证,例如ISO27001、ISO27040或ISO27701认证。尽管这些认证不是豁免企业违规责任的“免死牌”,但可以帮助企业明晰合规要求,提升合规管理水平,增强社会公信力。
建立规章制度、配备合格团队、完善软硬件设施等,看起来耗时耗资,但并不是最难,只要投入足够的资金,都可以做到不错的程度。最薄弱也是最难改进的环节是执行。绝大部分的违规处罚都源于企业的某个产品、某项服务或某个行为造成了具体的数据安全危害,从而招致监管部门的调查,而这些违规事件都是具体员工在日常工作中的具体不当行为或不作为所造成的。唯有每个员工都树立了正确的数据安全意识,正确理解法律和公司的规章制度并在运营的每个环节予以严格执行,才能有效降低企业的合规风险。
:上述义务的变动是否会影响数字化投入的决策模型,比如是否会提高企业在数字化方面的支出成本?又将怎么影响商业活动?
曾磊:从立法的精神看,数据保护不分行业、不分组织、不分岗位,人人平等,人人有责。任何一家企业,只要在运营过程中有机会接触到个人信息等数据,就要遵守关于数据安全的规定。因此,每家企业都需要对数据安全进行资金投入。当然,某些行业由于其业务的特性,特别容易发生数据安全事故,属于数据安全的高危行业,这些行业的企业在数据安全方面的投入应更多。这些行业包括:以数据作为核心生产要素或资产的行业,如人工智能、自动驾驶、大数据分析、云服务、智能安防等;依托大量个人信息开展运营的行业,如电子商务、零售、旅游、快递、酒店、航空、教育、医疗、共享出行等;关键信息基础设施运营行业,如能源、交通、金融、市政服务、电子政务等。
数据安全合规对企业成本的影响不仅限于日常运营的支出增加,对企业整个生命周期的成本都有影响。例如,企业希望通过收购其他企业实现扩张,不仅需要关注传统的风险如标的的权属合法性、债权债务重大性、财务报表真实性等,还必须考虑数据安全的合规风险,在尽职调查、交易架构设计、合同条款设置、收购后整合方面都要有特殊的安排,这无疑增加了投资的成本。还有,如果企业的投资者计划通过出售股权或整体清算退出市场,也必须采取必要的措施以确保敏感数据的安全性,退出的成本相应增加。此外,由于各国对数据的保护采取本地化的原则,可能影响资本的跨境流动,例如涉及大量敏感数据的企业可能被禁止到他国证券市场上市融资等,这也将提高这类企业的融资成本。
:在数字化已经渗透进商业行动的方方面面的今天,树立数字安全保护的红线,会对整个数字经济带来什么影响?从企业个体的风险保护出发,您会给出什么建议?
曾磊:数据安全的监管是双刃剑。一方面,它使数据在经济生活中的运用更加规范有序,合规的企业将获得更高的公信力,赢得更多的业务机会,享受“合规红利”;另一方面,也会有一些企业惮于相对高昂的合规成本,选择放弃“数据密集型”的业务,或者调整业务的具体实施模式,弱化敏感数据的参与度,从而降低合规的要求以及相应的风险。总之,数据已经成为与资本、劳动力、自然资源等并列的生产要素,数据安全合规的加强将引导行业和企业走向分化,出现“重数据型”和“轻数据型”行业和企业,两者适用的游戏规则也会出现明显的差异,一刀切的红线可能会发生改变,但这种分化和差异还需要时间去验证。
从企业个体的风险防范角度,我认为企业应该采取主动的态度,密切跟踪立法、司法、执法的最新动态和趋势,积极完善并不断提升自身的数据安全合规水平,同时要适时对主营业务进行评估,在权衡合规成本和收益的基础上,对业务的类型和实施模式进行再确认或调整,以最大的主观能动性去应对不确定的客观变化。
(注:本次采访系作者个人观点,与所任职单位无关)
京公网安备 11010802028547号