随着数字经济的发展,数据作为企业的无形资产,在企业发展中的地位越来越重要。2021年9月1日,《数据安全法》的施行,为企业进行数据处理活动,防范数据安全风险提供了指引。本文将从数据处理者概念、企业经营中的常见数据风险以及数据风险防范角度,对企业经营中的数据安全保护问题进行剖析,以期能够为企业合规提供理论支持。
一、数据处理者概念辨析
(一)数据控制者与数据处理者区分
在数据立法方面,欧盟是世界范围内比较成熟的,欧盟立法已成为世界其他国家立法的标杆1。欧盟在立法上严格区分数据控制者与数据处理者。《通用数据保护条例》(以下简称“GDPR”)第4条第7项规定,数据控制者(controller)是指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构。GDPR第4条第8项规定,数据处理者(processor)是指为数据控制者而处理个人数据的自然人、法人、公共权力机关、代理机构或其他机构。从上述概念可以看出,数据控制者对数据具有决定权,可以决定数据处理的目的和方式,而数据处理者只是接受数据控制者委托完成技术处理行为。数据控制者与数据处理者身份的不同,也意味着义务、责任不同。数据控制者需要对数据处理活动承担最终的责任,而数据处理者只需依照协议承担合同责任。
(二)我国数据处理者立法演变
由于我国对数据与信息缺乏清晰的界定,经常出现“数据”与“信息”术语的混用。据不完全统计,至少有19部法律、627部部门规章在同一文本中交替使用“个人信息”与“数据”2。不仅如此,学界对于“信息”和“数据”的关系也存在多种观点,这些观点可以归结为信息包括数据型、数据包括信息型、数据和信息并立型。根据我国《数据安全法》对于数据的定义,数据是指任何以电子或者其他方式对信息的记录。笔者认为,数据与信息既有区别,又有联系,数据是信息的表现形式和载体,信息是数据的内涵。
鉴于我国立法的现状,我们在理解数据处理者概念时必须要结合与信息相关的立法。关于数据或者信息所涉及的主体,《民法典(草案)》在个人信息保护部分使用了“信息收集者”与“信息控制者”称谓,《信息安全技术个人信息安全规范》使用的是“个人信息控制者”称谓。而《民法典》、《个人信息保护法》《数据安全法》均使用的是“信息处理者或数据处理者”。从我国目前立法来看,我国并没有严格区分数据处理者与数据控制者,但结合具体规定可以发现,数据处理者实际上吸收了数据控制者。因数据处理者范围比较广泛,且不同行业数据处理者风险也不尽相同,本文仅就企业经营中常见的数据风险及应对措施进行阐述,后续将结合不同行业特点进行详细分析。
二、企业经营中常见数据风险
(一)企业收集数据过程中的风险
企业服务质量的提升依赖于数据,数据俨然成为企业市场竞争中制胜的法宝。企业为了在同类市场竞争中取得优势地位,往往会尽可能多的收集数据,企业在一味的追求数据数量的过程中常常伴随潜在的数据侵权风险。当前,我国对数据权利的保护主要采用的是知识产权保护模式3。其他企业或者个人公开的数据,若能达到独创性要求,则可以构成作品,应当受到《著作权法》的保护。企业在收集这类数据时应经过权利人同意,未经权利人同意,擅自收集,将可能侵犯著作权。同时,企业在收集涉及个人信息数据时应当经本人同意,未经本人同意,擅自收集则可能侵犯隐私权、个人信息权益。另外,企业收集数据必须要在法律、行政法规规定的目的、范围内收集数据,不得超范围收集数据,否则将承担相应的法律责任。2021年11月3日,工信部通报了38款APP违规问题,包括我们日常生活常用的一些APP,比如“腾讯新闻”、“QQ音乐”、“小红书”、“58同城”等。工信部在通报明确指出了这些APP所存在的问题,其中涉及最多的就是超范围收集个人信息。
(二)企业存储数据过程中的风险
企业在数据存储过程的数据安全风险产生于内部和外部两方面。当前,由于企业缺乏数据安全意识,没有专门的数据保护制度,企业对数据也没有采取特殊的保护措施,企业任何人员均有可能接触到企业的重要数据、关键数据,可能会产生数据泄露风险。4月12日,一则“华为员工越权访问机密数据被判刑”的消息冲上热搜,给众多企业敲响了警钟。另外,随着互联网经济的发展,越来越多的企业开始以电子形式存储公司数据,将公司的数据储存在公司系统内或者云端,这可能会遭到非法访问,甚至是恶意攻击,从而导致企业数据的泄露。仅2021年全球范围内就发生多起数据泄露事件,其中包括美国第三大手机运营商T-Mobile遭到黑客非法访问导致用户数据泄露、网络安全公司Cognyte遭遇网络攻击导致安全工具源代码泄漏以及保险巨头安盛遭勒索软件袭击导致3TB数据泄露等。
(三)企业使用数据过程中的风险
数据的价值要通过使用来实现,而企业员工是数据使用的直接实施者。由于员工自身缺乏数据安全意识,加之企业缺乏对员工数据安全教育培训,员工在使用企业的数据时,未采取必要保护措施,从而可能导致企业数据泄露。威瑞森发布的《2021年数据泄露调查报告》指出,61%的数据泄露与凭证数据有关,人为疏忽依然是安全的最大威胁。公司公开信息时也可能产生数据泄露风险。公司对外公布的一些信息中可能隐藏着一些重要数据、关键数据,因对外公布前未对相关信息进行审查,竞争对手通过简单分析便可能知道公司的商业秘密,从而产生商业秘密泄露风险。另外,企业超越授权范围使用数据,可能产生侵权风险。从河南村镇银行红码事件来看,储户个人存款信息只能用于储蓄目的,而个人健康码信息只能用于防疫目的,擅自将储户个人存款信息与个人健康码信息建立对应链接关系,属于超范围使用个人信息行为,应承担相应的法律责任。
三、企业数据安全风险防范措施
(一)坚持合法、正当、必要原则,规范数据处理活动
企业在进行数据处理活动中要符合法律的明确规定,不得以窃取或者其他方式获取数据。在收集数据过程中,要明确告知权利人收集数据的目的、方式、范围等,在获得权利人明确同意后方可进行数据收集。为避免日后产生不必要的争议,企业获得权利人同意应采用书面形式。企业在处理数据时要有明确、正当的目的,数据处理应符合公共利益和合法的私人利益。另外,企业在处理数据时要坚持最小必要原则,在法律、行政法规规定的目的和范围内收集、使用数据,不得擅自将所收集的数据自行或授权关联方或其他第三方进行分析和商业利用。关于最小必要原则的判断,可以从对权利人负面影响最小和最小侵害两方面进行把握4。
(二)建立数据安全管理制度,防范数据安全风险
企业在进行数据处理活动时应当采取备份、加密、访问控制等必要措施,加强数据处理系统、数据传输网络、数据存储环境等安全防护,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用。企业要加强员工数据安全教育培训,通过数据操作指引、手册、课件培训等方式,提高员工数据安全意识,规范员工数据处理行为。在满足使用者目的的前提下,数据访问要坚持最小授权原则,从访问人员、权限等方面进行限定,尽可能减少不必要的授权,以免数据泄露。企业要建立数据安全审查制度,对可能影响企业安全的数据处理活动进行事前审查、事中审查以及事后审查。同时,要根据企业数据对国家安全、公共利益、他人合法权益的影响和重要程度对数据进行分级分类,对不同级别、种类的数据采取不同的保护措施。一般数据的获取、使用应当进行备案,重要数据、核心数据的获取、使用必须要经过严格审批。数据分级、分类标准可参考企业所属领域已生效的法律文件。
(三)落实数据安全责任,做好数据风险评估、监测
企业要落实数据安全责任,明确数据安全负责人,必要时要设置专门的数据合规部门或岗位,对企业数据处理活动进行管理、监督。企业开展数据处理活动要加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施,发生数据安全事件时,应当立即采取应急处置措施,防止危害扩大,并应按照规定进行报告。企业在处理涉及国家安全、经济安全、社会稳定、公共健康和安全等重要数据前应当进行风险评估,同时应向有关部门报送风险评估报告,报告处理重要数据的种类、数量、数据处理情况、可能面临的数据安全风险以及应对措施等。
结语
数据犹如一把双刃剑,企业在依靠数据提高效益的同时,也要防范数据所带来的风险。对此,企业要加强内部制度建设,完善数据合规体系,防范数据安全风险。
注释及参考文献:
1姚佳:《论个人信息处理者的民事责任》,载《清华法学》2021年第3期。
2申卫星:《数字权利体系再造:迈向隐私、信息与数据的差序格局》,载《政法论坛》2022年第3期。
3祝建军:《数据的知识产权司法保护》,载《人民司法》2022年第13期。
4刘权:《论个人信息处理的合法、正当、必要原则》,载《法学家》2021年第5期。
[1]姚佳:《论个人信息处理者的民事责任》,载《清华法学》2021年第3期。
[2]申卫星:《数字权利体系再造:迈向隐私、信息与数据的差序格局》,载《政法论坛》2022年第3期;
[3]《论个人信息处理的合法、正当、必要原则》,载《法学家》2021年第5期;
[4]祝建军:《数据的知识产权司法保护》,载《人民司法》2022年第13期;
[5]陶乾,宋春雨:《企业数据泄露的法律治理困境与规范适用》,载《中国信息安全》2021年第5期;
[6]梅夏英:《信息和数据概念区分的法律意义》,载《比较法研究》2020年第6期。
