BCS 2021|数安法、个保法、关基条例陆续出台 驱动企业数据合规

6月10日，《数据安全法》通过，自9月1日起施行；

7月30日，《关键信息基础设施安全保护条例》公布，自9月1日起施行；

8月20日，《中华人民共和国个人信息保护法》通过，自11月1日起施行。

近期多部重磅法律条例的颁布，开启网络安全和数据安全合规新篇章，推动社会治理从现实世界向网络空间进一步覆盖。

8月26日，2021年北京网络安全大会(BCS 2021)分论坛“中国网络与数据安全法治50人论坛”以云峰会形式在线启幕，围绕上述几部即将施行的法律条例，研讨各界该如何建立健全网络综合治理体系，加强网络、数据安全和个人隐私信息保护，提升网络空间法治保障能力，全面推进网络空间法治化。

中国政法大学副校长、中国通信学会网络空间安全战略与法律委员会主任委员时建中在致辞讲话中谈及自己的看法和建议，《网络安全法》、《数据安全法》及《个人信息保护法》虽然是陆续出台并施行，但是这几部法律是一个以国家总体安全观为指引，以国家安全法为龙头的有机的法律体系，并不是独立和孤立的。

目前的立法主要是行为立法，对于维护国家安全、网络安全、数据安全和个人信息保护意义重大，但是，从有效利用数据资源的角度，未来需要加大与数据和信息相关的权利立法。

在数字化时代，无论是安全还是发展，都需要加快电信法的制定工作，来推动基础电信业务的发展，维护基础电信业务的安全。

身份、行为乃至社会关系都已经数据化、数字化的当下，数据治理是一个必须正视的问题，无论是为了维护安全或者促进发展，数据行为的监管都显得格外重要，数据监管涉及到社会治理、经济发展和政府管理等各个领域、各个方面、各个环节。因此，需要尽快建立数据协同监管的协调机制。

网络与数据、数据与信息的关系，数据处理与信息处理这几组概念和关系不仅具有重要的理论意义，而且具有重要的实践价值，有必要进一步辨析和厘清。

法学博士、中国东方航空集团公司总法律顾问郭俊秀分享了《数据安全法》、《个人信息保护法》对于企业数据合规建设的驱动。完善数据法治为依法处理数据提供了基本遵循，包括促进数据和信息的有效利用、保障数据和个人信息的安全以及维护跨境经营的合法权益。他对企业加强数据合规建设提出了以下几点建议：

1、建立健全数据安全治理体系，提高数据安全保障能力

依据国家相关部门发布的相关规定履行网络安全等级保护和数据分类分级的法律义务，结合地区、行业、领域建立重要数据的保护制度，在企业内部明确指定数据安全工作负责人和归口管理部门，重点关注自动化决策、利用数据实施不正当竞争等领域的数据安全问题。

企业应全面审核与个人数据处理相关的所有业务，识别所有个人数据处理相关的关键业务流程，审查内容包括基础个人数据环境安全状况、个人数据全生命周期的管理现状、第三方产品和服务的审查等。

2、开展数据开发利用交流合作，推进数据安全体系迭代

坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

3、加大打击侵害数据安全的行为，维护企业和公民合法权益

数据安全已经引发了整个社会的关注，数据泄露在一定程度上导致了企业和公众之间的紧张关系。不少真实案件都反映出，无论举证责任如何分配都无法取得一个双方都信服的裁判结论。归根到底是数据泄露事件没有得到充分调查和分析，泄露的源头没有查清。

建议加大对侵害数据安全违法行为的打击力度，尤其对于涉案金额小但是影响范围广的应进行针对性打击，维护企业和公民的合法权益。

在以“数安法、个保法下的企业数据合规”为主题的圆桌对话环节，来自高校、企业、法律等各界的安全专家分享了当下的数据合规建设重点和实践经验。

北京师范大学网络法治国际中心执行主任、博导吴沈括针对《个人信息保护法》，谈及企业合规制度设计需要考虑的重点。法律的出台让安全保护责任需要从业务层面上升到法人、组织层面，保护制度的设计需要下沉到流程的落实。‍‍

其总结了三点对于生态具有深远影响的整体制度设计，第一，以“告知-同意”为核心，建立覆盖个人信息处理全生命周期的规则框架，来保障自然人的‍‍自主权益。‍‍第二，通过明确规定个人信息保护职责的部门，‍‍来建立一个多层次的监管、保护机制。第三，法律‍‍注重发挥国家、社会、企业和个人等不同主体的协同作用，打造一个健康的共享模式。

‍‍在此背景下，意味着企业无论是从自身业务流程的设计角度，还是从自身技术配备的角度，‍‍以及从数据流转过程中的内容，甚至是从数据伦理的角度，都面临非常深刻的影响和转变，在合规建设中需要有具体的流程和机制安排来实现内外合规。

网络空间治理与数字经济法治（长三角）研究基地研究员卢剑峰分享了《数据安全法》中要求国家设立数据安全审查制度对企业将产生的影响。

第一，企业应当明确红线在哪里，任何企业都不能跨越‍‍数据安全审查制度，要将数据处理活动对国家安全的影响作为规制目标，‍‍在开展数据活动的时候必须依法增强合规意识。‍‍

第二，‍‍对重要和敏感的数据应当做好全‍‍生命周期的管理，在不同的节点上都要实行对数据的保护策略，全流程保障数据安全。‍‍

第三，企业应当主动建立有效的数据合规管理体系‍，把国家安全、网络安全、数据安全、个人信息保护、跨境数据传输整体纳入考虑，‍‍进行全方位的合规管理，修改完善数据处理业务流程，建立清晰的业务边界和责任配置，可以依托第三方数据安全厂商的能力协助建立管理体系，向监管部门主动展示合规管理成果。‍‍

第四，应当对潜在的数据安全风险进行全面自查整改‍，此过程中第三方安全厂商及律师事务所都可以提供有效的助力。‍‍

第五，企业应当密切关注立法动态，让合规体系更好地适应法律的变化。‍‍将法律法规的逐步完善更新纳入到企业数据安全治理的常规监测机制之中，有针对性地采取措施，‍‍防范数据安全法律风险，推动企业的数字化转型和高质量发展。‍‍

奇安信科技集团股份有限公司首席法律顾问马兰针对《关键信息基础设施安全保护条例》规定“运营者应当优先采购安全可信的网络产品和服务”条款作出解读。国家对于关键信息基础设施单位使用的‍‍网络产品和服务提出了明确的安全性和保密性要求。

‍‍所谓“安全可信”可以从以下几方面进行考虑：

第一，产品和服务本身是否存在被非法控制、干扰及中断运行的安全风险；

第二，产品和服务的生产交付过程是否存在供应链安全风险，比如因关键部件核心技术的断供而导致产品和服务无法正常使用；

第三，产品和服务的提供者是否存在非法收集、存储、处理和使用用户相关信息的行为；

第四，产品和服务的提供者是否会利用用户对于产品和服务的依赖，而做出损害用户、网络和数据的安全的行为。

对于保密性而言，主要有两个层面的要求：

第一，应当签署书面的保密协议，‍‍明确网络产品和服务的提供者要承担的保密义务，除了对于提供的产品和服务的内容的保密，还应当包括在服务和售后过程中能够获取到的‍‍各种关键信息的保密，未经运营者和使用者的同意，不允许泄露和非法收集、存储和处理。

‍‍‍‍第二，关键信息基础设施的运营者应当把保密义务真正执行、管理到位。签订保密协议之后，还需要制定对于网络产品‍‍和服务的持续监测和追踪机制，漏洞发现‍‍和修复机制，以及安全事件发生之后的应急响应机制和追责机制，通过这些措施来切实确保保密义务能够切实得到履行。

8月26日-28日，BCS 2021通过峰会、分论坛、特色活动、云展厅等多种形式，呈现一场网络安全行业盛宴。更多会议内容，欢迎关注安全419系列报道。