企業(yè)數(shù)據(jù)安全與隱私保護(hù)

企業(yè)數(shù)據(jù)安全與隱私保護(hù)本文將綜合有關(guān)法律法規(guī)和實(shí)踐情況，解讀企業(yè)數(shù)據(jù)平安和隱私保護(hù)的概念、關(guān)系及側(cè)重點(diǎn)，供讀者參考。《中華人民共和國(guó)數(shù)據(jù)平安法〔草案〕》〔稱“數(shù)據(jù)平安法草案”〕經(jīng)過全國(guó)人大常委會(huì)二次審議，并于2022年4月29日發(fā)布公開征求意見。其中將“數(shù)據(jù)平安”定義為“指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及保障持續(xù)平安狀態(tài)的能力”。此外，數(shù)據(jù)平安法草案在“第三章數(shù)據(jù)平安制度”局部首要指出國(guó)家建立數(shù)據(jù)分級(jí)分類保護(hù)制度，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。結(jié)合企業(yè)經(jīng)營(yíng)及運(yùn)營(yíng)，本文對(duì)數(shù)據(jù)平安〔DataSecurity〕做進(jìn)一步延伸解讀。本文所稱的“數(shù)據(jù)平安”是指企業(yè)為保護(hù)數(shù)據(jù)平安，對(duì)于數(shù)據(jù)全生命周期即數(shù)據(jù)收集或生成、使用、傳輸、存儲(chǔ)、披露、流轉(zhuǎn)與跟蹤、銷毀搭建的平安體系，該平安體系側(cè)重?cái)?shù)據(jù)分類分級(jí)及敏感數(shù)據(jù)全生命周期的保護(hù)。根據(jù)數(shù)據(jù)是否涉及個(gè)人信息，我們可以把數(shù)據(jù)平安體系區(qū)分為個(gè)人數(shù)據(jù)平安與業(yè)務(wù)數(shù)據(jù)平安。在此根底上，數(shù)據(jù)平安與隱私保護(hù)之間存在交集，即個(gè)人數(shù)據(jù)平安。結(jié)合上文所述，企業(yè)數(shù)據(jù)平安的首要目標(biāo)在于保護(hù)企業(yè)數(shù)據(jù)全生命周期的平安狀態(tài)，其與隱私保護(hù)的交集在于對(duì)于個(gè)人數(shù)據(jù)的保護(hù)，涉及個(gè)人信息的數(shù)據(jù)〔如個(gè)人敏感信息〕可能被企業(yè)分類為敏感數(shù)據(jù)，擁有較高的平安等級(jí)，從而加大對(duì)此局部數(shù)據(jù)的保護(hù)力度。企業(yè)隱私保護(hù)除前述討論的個(gè)人數(shù)據(jù)保護(hù)局部外，因涉及數(shù)據(jù)主體的隱私〔對(duì)于企業(yè)數(shù)據(jù)資產(chǎn)來說屬于敏感數(shù)據(jù)〕，法規(guī)法規(guī)、企業(yè)規(guī)章制度、締約、承諾等對(duì)此類敏感數(shù)據(jù)的全生命周期加以嚴(yán)格約束，要求企業(yè)對(duì)此履行合規(guī)義務(wù)。如于2022年5月生效的歐盟《通用數(shù)據(jù)保護(hù)條例》〔GeneralDataProtectionRegulation，Regulation 〔EU〕 2022/679oftheEuropeanParliamentandoftheCouncil，the“GDPR”〕，且GDPR的生效對(duì)跨國(guó)業(yè)務(wù)及全球隱私保護(hù)立法產(chǎn)生深遠(yuǎn)影響;《中華人民共和國(guó)個(gè)人信息保護(hù)法〔草案〕》、數(shù)據(jù)平安法草案也于近日經(jīng)人大常委會(huì)二次審議并公開征求意見，結(jié)合2022年6月1日生效的《中華人民共和國(guó)網(wǎng)絡(luò)平安法》，國(guó)內(nèi)關(guān)于隱私保護(hù)方向的立法進(jìn)程持續(xù)推進(jìn)。當(dāng)前，企業(yè)所要承當(dāng)?shù)拿嫦驀?guó)內(nèi)外的隱私保護(hù)合規(guī)義務(wù)不斷加重。故企業(yè)隱私保護(hù)可被解讀為“個(gè)人數(shù)據(jù)保護(hù)與合規(guī)義務(wù)履行”，對(duì)于企業(yè)來說，隱私保護(hù)側(cè)重合規(guī)義務(wù)履行。數(shù)據(jù)分類與分級(jí)數(shù)據(jù)分類與分級(jí)，是國(guó)家確立的數(shù)據(jù)平安核心制度，也是數(shù)據(jù)平安體系搭建的側(cè)重點(diǎn)。數(shù)據(jù)分類和分級(jí)是指將數(shù)據(jù)對(duì)象劃分類別并確定相應(yīng)的平安等級(jí)，實(shí)施該等級(jí)對(duì)應(yīng)程度的保護(hù)措施。數(shù)據(jù)分類數(shù)據(jù)分類是企業(yè)數(shù)據(jù)平安根底工作之一，指企業(yè)根據(jù)持有的數(shù)據(jù)的內(nèi)容、用途、業(yè)務(wù)領(lǐng)域等因素，對(duì)數(shù)據(jù)進(jìn)行分類、歸類。我們以某已搭建用戶數(shù)量較大、業(yè)務(wù)類型較復(fù)雜的互聯(lián)網(wǎng)效勞平臺(tái)企業(yè)為例，講解局部數(shù)據(jù)分類過程，供讀者加深理解。第一步：結(jié)合該企業(yè)實(shí)際業(yè)務(wù)情況，我們建議企業(yè)將其數(shù)據(jù)資產(chǎn)劃分為用戶管理、市場(chǎng)活動(dòng)管理、產(chǎn)品管理、效勞管理、合作商管理、資源管理、企業(yè)管理七類;北京市煒衡律師事務(wù)所楊振煜律師第二步：結(jié)合企業(yè)實(shí)際業(yè)務(wù)場(chǎng)景，對(duì)場(chǎng)景中的涉及到的具體數(shù)據(jù)對(duì)象進(jìn)行梳理、歸類、細(xì)分，自下而上完成對(duì)前述每一類的細(xì)化，形成子分類。以用戶管理類舉例，根據(jù)用戶數(shù)據(jù)采集、使用等場(chǎng)景的不同，用戶管理類又被劃分為用戶信息、用戶效勞、用戶接觸、用戶評(píng)價(jià)、用戶問題、用戶維系挽留、用戶賬務(wù)七個(gè)子類，詳見下表：一級(jí)分類二級(jí)分類名稱范圍名稱釋義范圍用戶管理類〔2〕用戶效勞指用戶與某企業(yè)及其業(yè)務(wù)合作商達(dá)成的關(guān)于購(gòu)置和使用產(chǎn)品的權(quán)利和義務(wù)用戶效勞水平協(xié)議、用戶分級(jí)信息……〔4〕用戶評(píng)價(jià)指對(duì)用戶相關(guān)信息收集、處理、分析生成的結(jié)果用戶白名單、用戶黑名單、用戶積分信息、用戶信用等級(jí)信息、用戶價(jià)值、用戶流失傾向……〔5〕用戶問題指用戶由于所購(gòu)置或使用的產(chǎn)品或效勞出現(xiàn)問題而進(jìn)行反映所產(chǎn)生的信息用戶問題單信息、問題回復(fù)工單信息、問題答復(fù)單信息、問題工單信息……〔6〕用戶維系挽留指用戶生命周期的穩(wěn)定階段開展的工作，其主要的目的是通過用戶維系的各種活動(dòng)，標(biāo)準(zhǔn)效勞，進(jìn)行用戶價(jià)值挖掘，從而提升用戶的價(jià)值維系對(duì)象信息、維系活動(dòng)信息、挽留對(duì)象信息、挽留活動(dòng)信息、挽留效果評(píng)估信息……〔7〕用戶賬務(wù)指用戶因購(gòu)置或使用某企業(yè)及其合作伙伴提供的產(chǎn)品或效勞而產(chǎn)生或關(guān)聯(lián)的財(cái)務(wù)信息帳單、詳單、發(fā)票、帳務(wù)滯納金、調(diào)帳信息、帳本信息……因篇幅限制，本文不再舉例數(shù)據(jù)分類的其他內(nèi)容，結(jié)合企業(yè)業(yè)務(wù)需要，企業(yè)數(shù)據(jù)分類可隨著業(yè)務(wù)變化而變化，不斷改良、細(xì)化和完善分類標(biāo)準(zhǔn)。數(shù)據(jù)分級(jí)企業(yè)數(shù)據(jù)分級(jí)是指企業(yè)按照所持有的數(shù)據(jù)的價(jià)值、敏感程度、泄露、非法提供或?yàn)E用之后的影響對(duì)象/程度等因素進(jìn)行評(píng)估并確定等級(jí)。例如較為復(fù)雜的可分為“公開”“內(nèi)部使用”“秘密”“機(jī)密”“絕密”五級(jí)。通常企業(yè)在有數(shù)據(jù)分級(jí)需求時(shí)，綜合本錢考量，我們建議企業(yè)在滿足合法合規(guī)的根底上，盡量使用簡(jiǎn)單的分級(jí)〔分類〕規(guī)那么，推薦使用三級(jí)如“公開”“普通”“敏感”;局部企業(yè)也采取較為簡(jiǎn)單的如“普通”“敏感”二級(jí)分級(jí)。與數(shù)據(jù)分類性質(zhì)不同，為保護(hù)數(shù)據(jù)平安，維持?jǐn)?shù)據(jù)保密性、完整性和可用性，對(duì)于企業(yè)來說，有效的分級(jí)一旦設(shè)定，原那么上不再變更。每一個(gè)數(shù)據(jù)分級(jí)可對(duì)應(yīng)多個(gè)數(shù)據(jù)分類。在此需要強(qiáng)調(diào)的是，“分級(jí)原那么上不變更”指的是企業(yè)根據(jù)自身需要而設(shè)定的級(jí)別通常不發(fā)生變更，但該級(jí)別下的數(shù)據(jù)在采用如數(shù)據(jù)脫敏、刪除關(guān)鍵字段、會(huì)聚融合等技術(shù)手段后可導(dǎo)致升降級(jí)，從而采用升級(jí)或降級(jí)后對(duì)應(yīng)的保護(hù)措施予以保護(hù)，二者不可混淆。補(bǔ)充說明一點(diǎn)，遇例外情況，企業(yè)也存在分級(jí)變更的可能性。中國(guó)人民銀行發(fā)布的《金融數(shù)據(jù)平安數(shù)據(jù)平安分級(jí)指南》［JR/T0197—2022〕，其中列舉了四種確定的級(jí)別變更情形，如下：數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的平安級(jí)別不適用變化后的數(shù)據(jù);數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應(yīng)用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)級(jí)別不再適用;不同數(shù)據(jù)類型經(jīng)會(huì)聚融合形成新的數(shù)據(jù)類別，使得原有的數(shù)據(jù)級(jí)別不適用，應(yīng)重新暹行級(jí)別判定；因國(guó)家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)級(jí)別不再適用。上述變更情形，供在實(shí)踐過程中參考。北京市煒衡律師事務(wù)所白宇思律師國(guó)家通過立法明確建立數(shù)據(jù)分級(jí)分類保護(hù)制度，意在加強(qiáng)對(duì)于重要數(shù)據(jù)的保護(hù)。對(duì)于企業(yè)來說，將重要性不同的數(shù)據(jù)采用同樣等級(jí)的保護(hù)措施，實(shí)施無差異的保護(hù)，可能導(dǎo)致對(duì)敏感數(shù)據(jù)保護(hù)力度缺乏，對(duì)普通數(shù)據(jù)保護(hù)力度過剩。此外，數(shù)據(jù)分類和分級(jí)的設(shè)定也并非越復(fù)雜越好，對(duì)于企業(yè)來說，分類越細(xì)化、分級(jí)數(shù)量越多，管理本錢就越高?！傲銚p失”是一個(gè)理想目標(biāo)，不僅實(shí)現(xiàn)本錢高昂且難以達(dá)成，甚至負(fù)面影響業(yè)務(wù)開展。實(shí)施有差異的分類和分級(jí)保護(hù)，區(qū)別對(duì)待不同業(yè)務(wù)和數(shù)據(jù)，綜合業(yè)務(wù)開展與本錢考量，實(shí)現(xiàn)業(yè)務(wù)開展與數(shù)據(jù)平安的雙贏，是企業(yè)應(yīng)當(dāng)追求的目標(biāo)，也是數(shù)據(jù)分類和分級(jí)的意義所在。綜上所述，企業(yè)數(shù)據(jù)平安與隱私保護(hù)是個(gè)復(fù)雜命題，在當(dāng)前的時(shí)代背景下，企業(yè)要做的是把保護(hù)重要的業(yè)務(wù)和數(shù)據(jù)放在首位，把合法合規(guī)作為底線，使數(shù)據(jù)成為新的生產(chǎn)力，用合規(guī)促進(jìn)業(yè)務(wù)開展與企業(yè)繁榮。鏈接：北京市煒衡律師事務(wù)所于1995年由原司法部法律效勞中心局部骨干律師設(shè)立，以“洞察、溝通、解決、良知”為執(zhí)業(yè)理念，經(jīng)過二十五余年的奮斗，如今已成為中國(guó)著名大型綜合性律師事務(wù)所，總部設(shè)立于北京，在上海、深圳等近四十個(gè)國(guó)內(nèi)外城市設(shè)立分所。煒衡律師事務(wù)所屢次被授予“全國(guó)優(yōu)秀律師事務(wù)所”、“