数据安全法与商业秘密保护的法律衔接
数据安全法的颁布实施,为企业数据处理活动划定了法律边界。商业秘密作为一种特殊类型的数据,其保护既要遵循商业秘密保护的法律体系,也要满足数据安全法的监管要求。两套法律框架如何衔接,是企业在合规实践中需要厘清的重要问题。北京企密安信息安全技术有限公司在此解读数据安全法与商业秘密保护的法律衔接问题,帮助企业构建统一的合规框架。
数据安全法与商业秘密保护的法律逻辑存在几个重要的交叉点。在保护对象的交叉上,数据安全法保护的是数据处理活动的安全,商业秘密保护的是具有商业价值的非公开信息,当商业秘密以数据形态存在时,同一个保护对象同时受到两套法律框架的共同保护。例如,存储在信息系统中的技术参数数据,既是数据安全法中需要根据重要程度进行分级保护的数据,也是商业秘密法律关系中需要采取保密措施的秘密信息。
在保护措施的交叉上,数据安全法要求企业建立全流程的数据安全管理制度,采取相应的技术措施和其他必要措施保障数据安全,而商业秘密保护法律也要求企业采取合理的保密措施来维持信息的秘密性。两套要求在企业实际操作层面高度重合,大多数符合数据安全法的技术和管理措施,同时也满足商业秘密保护的合理保密措施要求。
在法律责任的交叉上,侵犯商业秘密的行为可能同时违反数据安全法,而违反数据安全法导致数据泄露的行为也可能构成侵犯商业秘密。在发生数据泄露事件时,企业可能面临来自不同监管机构的多重调查和处罚。
在实践中,企业应当从以下几个方面做好两套法律框架的衔接。
制度层面的衔接。企业应当对现有的信息安全管理制度和商业秘密保护制度进行一次系统的交叉审查。识别两套制度中重叠的要求,合并同类项,避免员工面对多套相似但不完全一致的管理要求而无所适从。识别两套制度中不匹配甚至冲突的地方,进行调整使之一致。例如,数据安全法要求的个人信息保护义务和商业秘密保护中可能涉及的个人信息,需要在制度中做出协调性的规定。制度一体化的目标是让员工在履行数据安全义务的同时,也就完成了相应的保密管理要求,减少管理上的重复和割裂。
执行层面的协同。在数据分类分级的基础上,将商业秘密的定密管理与数据安全法的数据分级管理挂钩。商业秘密作为数据类别中的一种,享受与密级对应的安全管控措施。在数据安全能力的建设中,将商业秘密保护的技术需求一并纳入,避免技术建设和管理建设的重复和碎片化。在安全检查审计方面,将数据安全检查和保密检查统筹安排,一次检查覆盖两套要求。
法律责任应对层面的联合准备。在应对监管检查和法律责任追究时,企业需要能够向数据监管部门和司法机关同时证明:自己在数据安全管理方面符合法定要求,在商业秘密保护方面采取了合理措施。这就需要企业日常管理中的各种记录和证据能够同时支撑两方面的要求。
常见问题一:如果一项技术参数既是商业秘密,又被认定为重要数据,保护措施以哪个为准?保护措施的确定标准应按照两者的较高要求执行,即在满足数据安全法对重要数据的保护要求的基础上,叠加商业秘密保护的特殊需求如更严格的访问控制和更细致的审计记录。
常见问题二:数据安全法要求的数据开放共享与商业秘密保护如何处理冲突?当法律要求必须提供数据时,企业不能以商业秘密为由拒绝执行。但在提供时,应当做好信息披露的范围控制、接收方的保密义务约定、提供过程的记录留痕等管理措施。
常见问题三:发生数据泄露事件后,是先启动数据安全应急还是保密应急?建议启动统一的应急响应机制,同时满足两套法律框架的要求。如果需要对外报告,应当按照数据安全法的要求在相应时间内向监管部门报告。同时做好证据保全,为后续的法律追责做准备。
北京企密安为企业提供数据安全法框架下的商业秘密保护合规咨询服务,帮助企业统一两套合规要求,避免管理的碎片化和重复建设。如需了解更多数据合规与保密管理的衔接方案,请拨打010-63711822或联系jess@baomiwang.com。
