經(jīng)濟(jì)觀察網(wǎng) 記者 宋笛 一系列的事件讓數(shù)據(jù)安全正前所未有的被商業(yè)主體關(guān)注����。
其原因一方面在于疫情中數(shù)字化的推進(jìn)所帶來創(chuàng)造了更多的“風(fēng)險敞口”,另一方面也在于政策監(jiān)管的不斷發(fā)力��,以《數(shù)據(jù)安全法》的出臺為重要標(biāo)志
北京恒都(上海)律師事務(wù)所律師曾磊對經(jīng)濟(jì)觀察網(wǎng)表示����,《數(shù)據(jù)安全法》為今后的數(shù)據(jù)安全立法、司法和執(zhí)法搭建了更加開放和靈活的制度框架����。這是《數(shù)據(jù)安全法》帶來的最大也是最深遠(yuǎn)的變化�。
對于市場主體�,數(shù)據(jù)安全監(jiān)管和風(fēng)險的增加必然會增加數(shù)字經(jīng)濟(jì)的建設(shè)成本,但影響并不僅限于此����。
在曾磊看來,數(shù)據(jù)安全合規(guī)對企業(yè)成本的影響不僅限于日常運營的支出增加�����,而是對企業(yè)整個生命周期的成本都將帶來影響����。
經(jīng)濟(jì)觀察網(wǎng):從司法實踐上��,目前企業(yè)面臨的數(shù)據(jù)隱私�、數(shù)據(jù)安全方面的法律風(fēng)險主要來自于哪些方面?疫情后的數(shù)字化推進(jìn)對于風(fēng)險的種類���、程度帶來了什么影響���?
曾磊:從目前披露的案例看���,常見的違規(guī)事件主要集中在敏感信息的不當(dāng)采集、泄露和利用�����,例如滴滴APP被下架事件�����、攜程“大數(shù)據(jù)殺熟”爭議等���。隨著立法和執(zhí)法的成熟�,預(yù)計被查處的違規(guī)類型將更加豐富�����。
新冠疫情給經(jīng)濟(jì)的數(shù)字化和數(shù)字化經(jīng)濟(jì)都添了一把燃料�,數(shù)據(jù)在經(jīng)濟(jì)生活中的參與度更高,產(chǎn)生的價值更多����,同時給信息安全帶來的潛在威脅也更大。具體來說,疫情期間產(chǎn)生的數(shù)字經(jīng)濟(jì)新業(yè)態(tài)或新業(yè)務(wù)給信息安全創(chuàng)造了更多的風(fēng)險敞口���,可能導(dǎo)致信息安全大堤發(fā)生泄露甚至崩塌的“蟻穴”變多了���。另一方面,原有的從事數(shù)字類業(yè)務(wù)的企業(yè)�����,由于疫情而擴(kuò)大了市場份額�、獲得了更多用戶或者推出了新產(chǎn)品或新服務(wù),這些都會使數(shù)據(jù)安全事故的危害范圍更廣����、表現(xiàn)形式更多樣、查處認(rèn)定難度也更大�����。
經(jīng)濟(jì)觀察網(wǎng):在《數(shù)據(jù)安全法》實施前后���,企業(yè)在數(shù)據(jù)保護(hù)方面的義務(wù)和責(zé)任是否有變化?有哪些變化����?
曾磊:我國的數(shù)據(jù)安全立法仍處在較初級的階段�,相關(guān)理論和方法還在探索完善中���?��!稊?shù)據(jù)安全法》也體現(xiàn)了立法思路和技術(shù)的迭代進(jìn)化。在《數(shù)據(jù)安全法》出臺之前���,我國關(guān)于數(shù)據(jù)安全的專門性法律是《網(wǎng)絡(luò)安全法》���。在數(shù)據(jù)保護(hù)的對象方面,《網(wǎng)絡(luò)安全法》側(cè)重于“網(wǎng)絡(luò)數(shù)據(jù)”�,即網(wǎng)絡(luò)收集、存儲�、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)�。顯然,這一概念不足以覆蓋真實世界的所有數(shù)據(jù)���,也就是說�,這部法律對數(shù)據(jù)的保護(hù)是不周全的���?����!稊?shù)據(jù)安全法》最大的進(jìn)步是完善了關(guān)于“數(shù)據(jù)”的定義���,將其外延擴(kuò)大到“任何以電子或者非電子形式對信息的記錄”�����。在這個前提下���,數(shù)據(jù)的分級管理、安全審查����、風(fēng)險評估、出境管制等制度都獲得充分的法律基礎(chǔ)去覆蓋到經(jīng)濟(jì)生活可能涉及的各種形式的數(shù)據(jù)����。《數(shù)據(jù)安全法》為今后的數(shù)據(jù)安全立法�����、司法和執(zhí)法搭建了更加開放和靈活的制度框架��。這是《數(shù)據(jù)安全法》帶來的最大也是最深遠(yuǎn)的變化�。
經(jīng)濟(jì)觀察網(wǎng):上述義務(wù)的變化,需要企業(yè)在數(shù)據(jù)合規(guī)方面進(jìn)行什么工作�?從目前的企業(yè)實踐,哪些方面是薄弱環(huán)節(jié)����?
曾磊:在數(shù)據(jù)安全強(qiáng)監(jiān)管的趨勢下,企業(yè)應(yīng)至少在四個方面提升數(shù)據(jù)管理水平:
第一�����,加強(qiáng)制度建設(shè)��,制訂和完善數(shù)據(jù)安全的規(guī)章制度�����、操作流程���、格式文本等���,使數(shù)據(jù)安全有據(jù)可依���;
第二,建立和優(yōu)化數(shù)據(jù)安全的組織架構(gòu)��,使數(shù)據(jù)安全的職責(zé)落實到人���;
第三��,配置和提升數(shù)據(jù)保護(hù)的硬件�����、軟件和網(wǎng)絡(luò)設(shè)施��,為數(shù)據(jù)安全提供物質(zhì)和技術(shù)保障��;
第四��,檢查數(shù)據(jù)安全的落實情況��,一旦發(fā)現(xiàn)違法違規(guī)違章的情形�、漏洞或事故�,應(yīng)及時予以糾正和補(bǔ)救,對于與外部機(jī)構(gòu)或個人的糾紛�����、爭議�����、訴訟等應(yīng)盡快予以解決和平息��。
可能在采取了以上措施后�����,企業(yè)還是不能確定自己的數(shù)據(jù)安全管理水平是否達(dá)到合規(guī)的要求��。企業(yè)可以考慮申請數(shù)據(jù)安全合規(guī)方面的權(quán)威認(rèn)證���,例如ISO27001���、ISO27040或ISO27701認(rèn)證。盡管這些認(rèn)證不是豁免企業(yè)違規(guī)責(zé)任的“免死牌”��,但可以幫助企業(yè)明晰合規(guī)要求�����,提升合規(guī)管理水平,增強(qiáng)社會公信力��。
建立規(guī)章制度��、配備合格團(tuán)隊��、完善軟硬件設(shè)施等�����,看起來耗時耗資���,但并不是最難�����,只要投入足夠的資金���,都可以做到不錯的程度。最薄弱也是最難改進(jìn)的環(huán)節(jié)是執(zhí)行��。絕大部分的違規(guī)處罰都源于企業(yè)的某個產(chǎn)品��、某項服務(wù)或某個行為造成了具體的數(shù)據(jù)安全危害,從而招致監(jiān)管部門的調(diào)查�����,而這些違規(guī)事件都是具體員工在日常工作中的具體不當(dāng)行為或不作為所造成的�����。唯有每個員工都樹立了正確的數(shù)據(jù)安全意識���,正確理解法律和公司的規(guī)章制度并在運營的每個環(huán)節(jié)予以嚴(yán)格執(zhí)行,才能有效降低企業(yè)的合規(guī)風(fēng)險�����。
經(jīng)濟(jì)觀察網(wǎng):上述義務(wù)的變動是否會影響數(shù)字化投入的決策模型����,比如是否會提高企業(yè)在數(shù)字化方面的支出成本?又將怎么影響商業(yè)活動�����?
曾磊:從立法的精神看��,數(shù)據(jù)保護(hù)不分行業(yè)���、不分組織���、不分崗位���,人人平等,人人有責(zé)�����。任何一家企業(yè)�����,只要在運營過程中有機(jī)會接觸到個人信息等數(shù)據(jù)����,就要遵守關(guān)于數(shù)據(jù)安全的規(guī)定。因此����,每家企業(yè)都需要對數(shù)據(jù)安全進(jìn)行資金投入。當(dāng)然�����,某些行業(yè)由于其業(yè)務(wù)的特性,特別容易發(fā)生數(shù)據(jù)安全事故�����,屬于數(shù)據(jù)安全的高危行業(yè)���,這些行業(yè)的企業(yè)在數(shù)據(jù)安全方面的投入應(yīng)更多���。這些行業(yè)包括:以數(shù)據(jù)作為核心生產(chǎn)要素或資產(chǎn)的行業(yè)�,如人工智能、自動駕駛�、大數(shù)據(jù)分析、云服務(wù)���、智能安防等���;依托大量個人信息開展運營的行業(yè),如電子商務(wù)���、零售���、旅游���、快遞、酒店����、航空、教育��、醫(yī)療��、共享出行等���;關(guān)鍵信息基礎(chǔ)設(shè)施運營行業(yè)���,如能源、交通���、金融����、市政服務(wù)��、電子政務(wù)等。
數(shù)據(jù)安全合規(guī)對企業(yè)成本的影響不僅限于日常運營的支出增加��,對企業(yè)整個生命周期的成本都有影響�����。例如����,企業(yè)希望通過收購其他企業(yè)實現(xiàn)擴(kuò)張,不僅需要關(guān)注傳統(tǒng)的風(fēng)險如標(biāo)的的權(quán)屬合法性�����、債權(quán)債務(wù)重大性���、財務(wù)報表真實性等,還必須考慮數(shù)據(jù)安全的合規(guī)風(fēng)險�����,在盡職調(diào)查���、交易架構(gòu)設(shè)計���、合同條款設(shè)置��、收購后整合方面都要有特殊的安排��,這無疑增加了投資的成本����。還有����,如果企業(yè)的投資者計劃通過出售股權(quán)或整體清算退出市場,也必須采取必要的措施以確保敏感數(shù)據(jù)的安全性����,退出的成本相應(yīng)增加。此外��,由于各國對數(shù)據(jù)的保護(hù)采取本地化的原則���,可能影響資本的跨境流動�,例如涉及大量敏感數(shù)據(jù)的企業(yè)可能被禁止到他國證券市場上市融資等�,這也將提高這類企業(yè)的融資成本。
經(jīng)濟(jì)觀察網(wǎng):在數(shù)字化已經(jīng)滲透進(jìn)商業(yè)行動的方方面面的今天���,樹立數(shù)字安全保護(hù)的紅線����,會對整個數(shù)字經(jīng)濟(jì)帶來什么影響?從企業(yè)個體的風(fēng)險保護(hù)出發(fā)�����,您會給出什么建議�����?
曾磊:數(shù)據(jù)安全的監(jiān)管是雙刃劍��。一方面����,它使數(shù)據(jù)在經(jīng)濟(jì)生活中的運用更加規(guī)范有序,合規(guī)的企業(yè)將獲得更高的公信力����,贏得更多的業(yè)務(wù)機(jī)會����,享受“合規(guī)紅利”�����;另一方面�,也會有一些企業(yè)憚于相對高昂的合規(guī)成本���,選擇放棄“數(shù)據(jù)密集型”的業(yè)務(wù)����,或者調(diào)整業(yè)務(wù)的具體實施模式��,弱化敏感數(shù)據(jù)的參與度���,從而降低合規(guī)的要求以及相應(yīng)的風(fēng)險���。總之���,數(shù)據(jù)已經(jīng)成為與資本�����、勞動力�����、自然資源等并列的生產(chǎn)要素�,數(shù)據(jù)安全合規(guī)的加強(qiáng)將引導(dǎo)行業(yè)和企業(yè)走向分化,出現(xiàn)“重數(shù)據(jù)型”和“輕數(shù)據(jù)型”行業(yè)和企業(yè)����,兩者適用的游戲規(guī)則也會出現(xiàn)明顯的差異,一刀切的紅線可能會發(fā)生改變��,但這種分化和差異還需要時間去驗證����。
從企業(yè)個體的風(fēng)險防范角度,我認(rèn)為企業(yè)應(yīng)該采取主動的態(tài)度�,密切跟蹤立法、司法����、執(zhí)法的最新動態(tài)和趨勢,積極完善并不斷提升自身的數(shù)據(jù)安全合規(guī)水平����,同時要適時對主營業(yè)務(wù)進(jìn)行評估���,在權(quán)衡合規(guī)成本和收益的基礎(chǔ)上�����,對業(yè)務(wù)的類型和實施模式進(jìn)行再確認(rèn)或調(diào)整���,以最大的主觀能動性去應(yīng)對不確定的客觀變化���。
(注:本次采訪系作者個人觀點,與所任職單位無關(guān))
微信注冊或登錄
訂閱
