深度分享 |《数据安全法》下的企业合规义务

近年来，随着信息科技和人类生产生活的深度融合，，政府数据、企业数据、个人数据等各类数据的迅猛增长及积聚，都产生了重大而深刻的影响。

已成为事关国家安全与经济社会发展的重大问题。

（以下简称“《数安法》”）并公开征求意见。《数安法》与2019年5月28日国家网信办公布的《数据安全管理办法（征求意见稿）》（以下简称“《办法》”）互为补充和支撑，搭建了一个更为全面的数据安全保护体系。同时，在《国家安全法》的基础上，，体现了国家立法层面对数据安全的高度重视。

为此，小能手特邀，为大家解读《数安法》下的企业数据合规义务。

【一】

规范主体范围

针对企业而言，目前蓬勃发展的《数安法》。

。例如：电商平台、社交软件、数据交易中介等这类企业会从事数据的收集、储存、提供等业务；甚至企业APP或公众号，在运营中也会收集、储存用户的数据等。

整体上，《数安法》规范对象所涵盖范围很广，

需要注意的是，《数安法》第2条采用了具有域外适用效力的条款，将违反或损害中国数据安全的也一并纳入管辖对象的范围。

【二】

企业数据安全保护义务

《数安法》在第四章集中列明了在中国境内从事数据处理活动的企业应当承担的数据合规义务。

（一）明确企业数据范围

《数安法》界定的数据范围极为广泛，包括电子和非电子形式的数据。企业首先需要明确业务所涉及数据在《数安法》的范围，同时还应当关注《网络安全法》及《个人信息保护法（草案）》的相关规定。

（二）严格遵循合法、正当、必要原则

企业在直接收集数据过程中，应严格遵守合法、正当、必要原则。《数安法》第29条规定“任何组织、个人收集数据，都必须采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的, 应当在法律、行政法规规定的目的和范围内收集、使用数据，不得超过必要的限度。”比如，企业通过刷脸签到收集员工的面部生物数据，可能被认定为不符合必要性原则。

此外，企业在从第三方获得间接数据时，应当做好必要的调查、签署必要的文件或者要求第三方提供。

（三）审核数据交易主体与交易合法性

《数安法》第30条规定“从事数据交易中介服务的机构在提供交易中介服务时，”

法条中并未明确“数据交易中介服务”，根据各地自2014年陆续成立的数据交易中心（北京中关村数海大数据交易平台、贵阳大数据交易所、上海数据交易中心等）的职能定位（数据交易中心承担促进商业数据流通、跨区域的机构合作和数据互联、政府数据与商业数据融合应用等工作职能）判定，。根据《数安法》规定，该类数据交易中介机构要履行交易审核的职责，对交易数据来源及交易双方主体背景、交易合法性等进行审核。

除前述各地方数据交易中心之外的普通民商事主体（民营企业）是否纳入“数据交易中介”尚未有明确规定，如普通企业中常见的业务上下游间的数据流通是否要履行本条规定的义务尚未可知，期待后续《数安法》及相关规定补充完善此内容。

（四）设立制度及技术保障措施

《数安法》第25条规定“开展数据活动应……建立健全全流程数据安全管理制度, 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施，保障数据安全。” 本条要求企业建立内部数据全生命周期的安全管理制度。

对于企业而言，，例如《数据访问权限管理制度》、《外部人员访问审批管理流程》等，对涉及处理数据的员工进行专项培训等；，例如数据分级分类存储、加密传输、保存等措施。企业可能需要结合不同类别数据的情况、风险等级、技术手段与成本，对数据采取技术和安全保障措施。

（五）数据分级分类

工信部于2020年2月印发《工业数据分类分级指南（试行）》，以一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度作为标准之一，辅以该数据在经济社会发展中的重要程度，对数据进行分级分类保护。

本次《数安法》对。企业在开展数据业务的过程中也针对数据的重要程度、敏感程度对数据进行分级分类的保护，例如对儿童的个人信息应当加密存储、个人敏感信息搜集存储应符合相关规定。

（六）设立数据安全负责人和管理机构

《数安法》第25条规定“重要数据的处理者应当设立数据安全负责人和管理机构，落实数据安全保护责任。”该条限定了“重要数据”的处理者，要求设立数据安全负责人和管理机构。足以见得法律层面抓大放小，对重要数据的保护力度远高于非重要数据，但对于数据安全负责人如何设定，资质要求等未细化。

（七）数据安全事件风险检测及报告

《数安法》第27条规定“开展数据活动应当加强风险监测，在发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当按照规定及时告知用户并向有关主管部门报告。”企业需要建立更宽泛的安全事件响应机制，覆盖数据的全生命周期。

对于需要报告的数据安全事件，需要建立跨部门的联合报告、相应管理流程。同时本条并未对“数据安全事件”进行明确阐释， 同时“数据安全事件”的严重级别、报告机制等问题缺乏细则，实务中可能会面临执行障碍。

（八）定期开展风险评估

《数安法》第28条规定“重要数据的处理者应当按照规定对其数据活动。风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况、面临的数据安全风险及其应对措施等。”

本条规定的评估义务，需要数据处理者（企业）首先要识别业务过程中所涉及的重要数据。

（九）境内执法的配合义务

《数安法》第32条规定“公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，有关组织、个人应当予以配合。”本条明确企业对行政执法机构的配合义务。

根据《行政法》相关规定，行政执法机构在调取相关数据时应当符合行政程序的要求，。

（十）遇域外执法时的先行报告义务

《数安法》第33条规定“境外执法机构要求调取存储在中华人民共和国境内的数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。”

根据本条款规定，，获得必要审批的同时还需审查、核实数据接收者的资质，确保数据跨境传输合规合法，最大程度降低数据出境过程中的相关法律风险。

小结

《数安法》的发布是我国数字经济发展的重要一步，体现了国家对支持数字经济的决心和信心，。

据中国信通院数据显示，2019年，中国凭借强大的国内市场优势，倒逼技术革新与模式创新，数字经济规模达到，仅次于美国，居全球第二位。当前，

面对数字经济的极大繁荣，数据资产化及对的商业化利用在。

一方面，有别于传统的土地、人力等市场要素资源，数据要素在信息社会流通和交易异常频繁，使其足以成为主要的社会资源，。另一方面，数字资产与传统经济中的商品、服务和资产有类似之处，

，正为数字资产的价值链接提供底层支撑。通过Token载体，传统经济活动导入数字经济新时代有了值得尝试的路径。

但从立法角度考察，首先数据资产的内涵需要有明确的定义，其次是数据资产的法律确权和市场定价获得应有的立法规范，最后是数据资产的安全和隐私保护内容被纳入司法保护时，那时，一个崭新的数字经济时代将成为现实，这其中，法制保障是至关重要的一环。