随着数字化转型的蓬勃发展,各式各样数字化应用的场景如雨后春笋般层出不穷,数据的收集、存储、使用、处理等成为了众多企业在经营过程中必不可少的一部分。为了保障数据安全,规范数据处理,促进企业合规经营,我国自2019年起即逐步踏入对“数据”进行强监管的时代。2021年出台的多项法律法规和政策文件,更是将对企业的“数据合规”要求,推展到了每个相关企业都无法忽视的程度。
在产业数字化转型和数据合规强监管的双重背景下,“数据”成为企业的核心竞争力,探寻数据合规已成为企业谋求规模化发展的必经之路,也是顺应国家监管趋势的必然之举。
一、企业数据合规的规范指引
2017年6月1日起施行的《中华人民共和国网络安全法》(以下简称《网络安全法》)确立了我国数据合规监管的主线,2021年9月1日起施行的《中华人民共和国数据安全法》(以下简称《数据安全法》)则明确了数据安全领域内治理体系的顶层设计。《数据安全法》、《网络安全法》和2021年11月1日起施行的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)共同构成了我国数据合规领域的基础法律规范体系,奠定了国家对数据合规领域监管的总基调。
在三大上位法之下,尚有诸多与此相关的行政法规( 如《关键信息基础设施安全保护条例》)、部门规章(如《网络安全审查办法》、《网络数据安全管理条例(征求意见稿)》、《数据出境安全评估办法》)、部门规范性文件(如《常见类型移动互联网应用程序必要个人信息范围规定》)、地方性法规规范(如《上海市企业数据合规指引》、《深圳经济特区数据条例》)及各个行业的国家标准与指南(如《信息安全技术 个人信息安全规范》、《信息安全技术 网络安全等级保护定级指南》等)。
由此,我国的数据合规治理体系从单一的监管脉络逐渐开枝散叶,到如今形成一张日益完善的数据合规之网,数据合规的监管框架更加牢固。
二、企业数据合规的监管逻辑
数据合规治理领域看似内容庞杂,但通过总结整理不难发现,以上法律法规体系所规定的内容均大致沿袭了《网络安全法》中所明确的两大维度,即网络运行安全与网络信息安全。
前者侧重于确保网络设施、信息系统、网络产品处于稳定、可靠运行的状态,后者包括个人信息保护及数据安全管理,则侧重于保护各类网络数据的完整性、保密性和可用性。各项法律规范的出台、监管态势的收紧以及国家政策指引的着眼点和着力点亦大多围绕这上述两个维度。
从当前的立法及执法实践来看,数据合规领域涉及多个监管主体,主要包括网络安全和信息化委员会办公室(以下简称“网信办”)、工业和信息化部(以下简称“工信部”)、公安部、市场监督管理局四个部门;具体到各个行业时,亦有对应主管部门对该行业内的数据治理工作进行监管。在这一“多头监管模式”下,以上各部门之间的协作模式可谓主次分明,兜补完善。
具体而言,网信办在数据合规的监管中占据首要指导地位,全方面统筹规划数据合规的各项工作;工信部和市场监督管理局次之,在数据合规中的工作中除负责协助支持网信办外,还需对各自分管的行业进行专业监管;公安机关(含国安机关)则为部分工作内容的具体执行机构,主要负责安全审查及打击违法犯罪行为;最后,再由各个行业的监管部门作为补位部门参与到数据合规的监管中来。具体如下图所示:
三、数据合规的内容概述
从《数据安全法》及相关法律法规的规定来看,数据合规包括“保障数据安全”与“数据处理合规”两部分内容。从横向来看,数据合规与数据安全的保障息息相关,其中涉及数据分类分级、重要数据保护、数据安全审查、数据安全管理、风险监测等多项制度。从纵向来看,数据合规贯穿数据处理的整个周期,包括数据的收集、存储、使用、传输、删除等各个环节。
企业数据合规体系的建设应当以《数据安全法》为出发点、围绕上述两部分内容启动,同时还应当融入《个人信息保护法》、《网络安全法》及其他法律法规的要求,并结合企业所处行业及自身特质而展开。
以上仅是针对强监管背景下企业数据合规的简单介绍,那么作为企业方,在此背景下应当如何有效地进行数据合规的制定建设,笔者团队将在下期文章中进行详细解析。