数据安全法下的企业义务——数据分类分级与风险评估
数据安全法的正式实施标志着我国数据安全治理进入了法治化、规范化的新阶段。这部法律确立了数据安全的基本制度框架,明确了数据处理活动中的安全保护义务,对企业的数据管理工作提出了全面系统的法律要求。对于广大企业而言,准确理解和切实履行数据安全法规定的企业义务,已经成为合规经营的基本前提和参与市场竞争的重要基础。
数据安全法确立的核心制度包括数据分类分级制度、数据安全风险评估制度、数据安全应急处置制度、数据安全审查制度和数据出境安全评估制度。其中,数据分类分级制度和数据安全风险评估制度与企业日常数据管理工作的关联最为直接和紧密,是落实数据安全法的起点和基础。
数据分类分级是企业履行数据安全法义务的第一步。法律要求国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。企业作为数据处理者,应当按照法律要求对本企业处理的数据进行分类分级管理。数据分类的核心是按照业务属性和数据特征进行类别划分。一个典型的企业数据分类体系可以划分为:客户数据涉及客户的身份信息、联系方式、业务记录和交易数据。员工数据涉及员工的身份信息、劳动合同信息、薪酬信息和健康信息。业务数据涉及企业的经营数据、财务数据、供应链数据和市场数据。研发数据涉及企业的核心技术信息、研发成果和知识产权。管理数据涉及企业的战略规划、管理决策和组织运营信息。数据分级通常按照数据安全受到破坏后的影响程度划分为一般数据、重要数据和核心数据三个级别,企业在实际管理中可以根据需要进一步细化分级,例如将一般数据细分为公开数据和内部数据,将重要数据细分为商业秘密和敏感数据等。分类分级的结果应当形成数据分类分级清单或数据资源目录,明确每一类数据的级别、责任部门和保护措施。
数据分类分级工作在企业中的落地执行需要科学的方法论和组织保障。企密安建议企业按照以下步骤推进数据分类分级工作。第一步是组建数据分类分级工作小组,由数据管理部门牵头,业务部门、技术部门和法务部门共同参与。第二步是开展数据资产盘点,全面梳理企业处理的所有数据资产,包括结构化数据和非结构化数据、线上数据和线下数据、生产数据和备份数据。第三步是制定数据分类分级标准,结合行业主管部门的要求和企业的业务特点,制定符合自身管理需要的数据分类分级标准。第四步是实施数据分类分级标记,按照制定好的标准对每一类数据进行分类标注和分级标记,将分类分级结果固化到数据管理系统中。第五步是制定差异化的数据安全保护策略,根据数据分类分级的结果制定相应的安全保护措施,不同级别的数据采取不同强度的技术和管理保护手段。
数据安全风险评估制度是数据安全法规定的另一项核心义务。法律明确规定重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,数据安全风险及其应对措施,以及数据安全管理制度建设和落实情况等内容。数据安全风险评估的目标是系统性地识别数据处理活动中可能存在的安全风险,评估可能造成的损害程度,提出针对性的风险防控措施。风险评估的范围应当覆盖数据的全生命周期,包括数据收集、存储、使用、加工、传输、提供和公开等每一个环节。风险评估应当综合考量技术风险、管理风险和法律风险三个维度。技术风险关注的是数据处理系统本身的安全漏洞和防护能力不足。管理风险关注的是数据安全管理制度是否健全、执行是否到位。法律风险关注的是数据处理活动是否符合法律法规的要求,是否存在合规风险。风险评估的频率建议每年至少进行一次,当企业业务发生重大变化、数据量快速增长或数据处理模式发生变化时,还应当及时开展专项风险评估。
企业数据安全管理制度建设是履行法律义务的具体体现。数据安全法要求数据处理者建立健全数据安全管理制度,明确数据安全管理的组织架构、职责分工、管理制度和操作流程。一个完整的数据安全管理制度体系应当包括以下几个层面。数据安全管理的顶层设计层面包括数据安全总体方针、数据安全管理组织架构和职责规定,为企业数据安全管理提供宏观方向和组织保障。数据安全专项管理制度层面包括数据分类分级管理办法、数据安全风险评估管理办法、数据安全事件应急预案、数据安全教育培训制度等,覆盖数据安全管理的各个关键领域。数据操作流程规范层面包括数据采集操作规程、数据存储操作规程、数据传输操作规程、数据备份操作规程和数据销毁操作规程等,为日常数据处理活动提供具体操作指引。企业应当将数据安全管理制度与现有的信息安全管理制度和保密管理制度进行有机整合,避免制度冲突和管理冗余。
数据出境安全评估是数据安全法对特定数据处理活动的特别规定。法律要求关键信息基础设施的运营者和处理达到一定数量规模的重要数据的处理者,在中国境内运营中收集和产生的重要数据需要向境外提供的,应当按照国家规定进行数据出境安全评估。数据出境安全评估由省级以上网信部门组织,评估内容包括数据出境的目的、范围、方式及其合法性、正当性和必要性,数据出境可能对国家安全、公共利益和个人合法权益带来的风险,数据接收方的数据安全保护能力以及数据出境后的安全风险等。数据出境安全评估的申请材料包括数据出境安全评估申请表、数据出境相关合同或协议、数据接收方的数据安全保护能力证明和数据处理者的数据安全管理制度等。数据出境安全评估结果的有效期为两年,有效期届满需要继续向境外提供数据的,应当在有效期届满前重新申请评估。企业违反数据安全法的相关规定,将面临警告、罚款、责令暂停相关业务、吊销相关业务许可证或营业执照等行政处罚。对于直接负责的主管人员和其他直接责任人员,同样面临罚款和纪律处分。违反数据安全法造成他人损害的,依法承担民事责任。构成犯罪的,依法追究刑事责任。违法行为的处罚力度与数据的安全级别和违法情节的严重程度密切相关,对重要数据和核心数据的违法行为处罚更为严厉。
常见问题解答。问:所有企业都需要进行数据分类分级吗?答:数据安全法要求所有数据处理者对其处理的数据进行安全管理,但分类分级的深度和复杂度可以根据企业规模和数据处理量灵活掌握,小微企业可以从简化的分类分级方案开始。问:数据安全风险评估是否可以由企业内部人员自行开展?答:可以自行开展,但需要评估人员具备数据安全风险评估的专业知识和技能,必要时可以委托第三方专业机构提供技术支持。问:数据安全法和网络安全法的关系如何处理?答:两法并行实施,数据安全法侧重数据本身的安全保护,网络安全法侧重网络系统的安全保护,企业在落实时应将两者的要求进行统筹整合,避免重复投入。问:企业如何判断自己的数据是否属于重要数据?答:可以参考行业主管部门发布的重要数据识别指南或目录进行判断,没有明确指南的行业可以通过风险评估和专家评审的方式确定。
北京企密安信息安全技术有限公司 010-63711822 / jess@baomiwang.com
