企業(yè)數(shù)據(jù)安全與隱私保護(hù)

楊振煜 白宇思

本文將綜合有關(guān)法律法規(guī)和實(shí)踐情況，解讀企業(yè)數(shù)據(jù)安全和隱私保護(hù)的概念、關(guān)系及側(cè)重點(diǎn)，供讀者參考。

數(shù)據(jù)安全與隱私保護(hù)

《中華人民共和國數(shù)據(jù)安全法（草案）》（稱“數(shù)據(jù)安全法草案”）經(jīng)過全國人大常委會二次審議，并于2021年4月29日發(fā)布公開征求意見。其中將“數(shù)據(jù)安全”定義為“指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及保障持續(xù)安全狀態(tài)的能力”。此外，數(shù)據(jù)安全法草案在“第三章?數(shù)據(jù)安全制度”部分首要指出國家建立數(shù)據(jù)分級分類保護(hù)制度，加強(qiáng)對重要數(shù)據(jù)的保護(hù)。

結(jié)合企業(yè)經(jīng)營及運(yùn)營，本文對數(shù)據(jù)安全（Data?Security）做進(jìn)一步延伸解讀。本文所稱的“數(shù)據(jù)安全”是指企業(yè)為保護(hù)數(shù)據(jù)安全，對于數(shù)據(jù)全生命周期即數(shù)據(jù)收集或生成、使用、傳輸、存儲、披露、流轉(zhuǎn)與跟蹤、銷毀搭建的安全體系，該安全體系側(cè)重數(shù)據(jù)分類分級及敏感數(shù)據(jù)全生命周期的保護(hù)。

根據(jù)數(shù)據(jù)是否涉及個人信息，我們可以把數(shù)據(jù)安全體系區(qū)分為個人數(shù)據(jù)安全與業(yè)務(wù)數(shù)據(jù)安全。在此基礎(chǔ)上，數(shù)據(jù)安全與隱私保護(hù)之間存在交集，即個人數(shù)據(jù)安全。結(jié)合上文所述，企業(yè)數(shù)據(jù)安全的首要目標(biāo)在于保護(hù)企業(yè)數(shù)據(jù)全生命周期的安全狀態(tài)，其與隱私保護(hù)的交集在于對于個人數(shù)據(jù)的保護(hù)，涉及個人信息的數(shù)據(jù)（如個人敏感信息）可能被企業(yè)分類為敏感數(shù)據(jù)，擁有較高的安全等級，從而加大對此部分?jǐn)?shù)據(jù)的保護(hù)力度。

企業(yè)隱私保護(hù)除前述討論的個人數(shù)據(jù)保護(hù)部分外，因涉及數(shù)據(jù)主體的隱私（對于企業(yè)數(shù)據(jù)資產(chǎn)來說屬于敏感數(shù)據(jù)），法規(guī)法規(guī)、企業(yè)規(guī)章制度、締約、承諾等對此類敏感數(shù)據(jù)的全生命周期加以嚴(yán)格約束，要求企業(yè)對此履行合規(guī)義務(wù)。如于2018年5月生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（General?Data?Protection?Regulation，?Regulation?（EU）?2016/679?of?the?European?Parliament?and?of?the?Council，?the?“GDPR”），且GDPR的生效對跨國業(yè)務(wù)及全球隱私保護(hù)立法產(chǎn)生深遠(yuǎn)影響;《中華人民共和國個人信息保護(hù)法（草案）》、數(shù)據(jù)安全法草案也于近日經(jīng)人大常委會二次審議并公開征求意見，結(jié)合2017年6月1日生效的《中華人民共和國網(wǎng)絡(luò)安全法》，國內(nèi)關(guān)于隱私保護(hù)方向的立法進(jìn)程持續(xù)推進(jìn)。當(dāng)前，企業(yè)所要承擔(dān)的面向國內(nèi)外的隱私保護(hù)合規(guī)義務(wù)不斷加重。故企業(yè)隱私保護(hù)可被解讀為“個人數(shù)據(jù)保護(hù)與合規(guī)義務(wù)履行”，對于企業(yè)來說，隱私保護(hù)側(cè)重合規(guī)義務(wù)履行。

數(shù)據(jù)分類與分級

數(shù)據(jù)分類與分級，是國家確立的數(shù)據(jù)安全核心制度，也是數(shù)據(jù)安全體系搭建的側(cè)重點(diǎn)。數(shù)據(jù)分類和分級是指將數(shù)據(jù)對象劃分類別并確定相應(yīng)的安全等級，實(shí)施該等級對應(yīng)程度的保護(hù)措施。

數(shù)據(jù)分類

數(shù)據(jù)分類是企業(yè)數(shù)據(jù)安全基礎(chǔ)工作之一，指企業(yè)根據(jù)持有的數(shù)據(jù)的內(nèi)容、用途、業(yè)務(wù)領(lǐng)域等因素，對數(shù)據(jù)進(jìn)行分類、歸類。我們以某已搭建用戶數(shù)量較大、業(yè)務(wù)類型較復(fù)雜的互聯(lián)網(wǎng)服務(wù)平臺企業(yè)為例，講解部分?jǐn)?shù)據(jù)分類過程，供讀者加深理解。

第一步：結(jié)合該企業(yè)實(shí)際業(yè)務(wù)情況，我們建議企業(yè)將其數(shù)據(jù)資產(chǎn)劃分為用戶管理、市場活動管理、產(chǎn)品管理、服務(wù)管理、合作商管理、資源管理、企業(yè)管理七類;

北京市煒衡律師事務(wù)所楊振煜律師

第二步：結(jié)合企業(yè)實(shí)際業(yè)務(wù)場景，對場景中的涉及到的具體數(shù)據(jù)對象進(jìn)行梳理、歸類、細(xì)分，自下而上完成對前述每一類的細(xì)化，形成子分類。以用戶管理類舉例，根據(jù)用戶數(shù)據(jù)采集、使用等場景的不同，用戶管理類又被劃分為用戶信息、用戶服務(wù)、用戶接觸、用戶評價、用戶問題、用戶維系挽留、用戶賬務(wù)七個子類，詳見下表：

一級分類 二級分類

名稱 范圍 名稱 釋義 范圍

用戶管理類

（舉例） 指向企業(yè)訂購產(chǎn)品或服務(wù)的自然人或法人（稱“用戶”）的信息;及用戶獲取產(chǎn)品時的數(shù)據(jù);及用戶訂購產(chǎn)品時同賬務(wù)有關(guān)的數(shù)據(jù) （1）用戶信息 指已經(jīng)購買或使用某企業(yè)及其業(yè)務(wù)合作商所提供的產(chǎn)品或服務(wù)的用戶的社會屬性資料（潛在用戶也可歸為此類） 個人用戶基本信息、企業(yè)用戶基本信息、個人用戶資料企業(yè)用戶資料、用戶關(guān)系……

（2）用戶服務(wù) 指用戶與某企業(yè)及其業(yè)務(wù)合作商達(dá)成的關(guān)于購買和使用產(chǎn)品的權(quán)利和義務(wù) 用戶服務(wù)水平協(xié)議、用戶分級信息……

（3）用戶接觸 指通過各種渠道，與用戶進(jìn)行聯(lián)系而產(chǎn)生的所有信息 通過電話營銷、線下活動等與用戶聯(lián)系產(chǎn)生的所有信息

（4）用戶評價 指對用戶相關(guān)信息收集、處理、分析生成的結(jié)果 用戶白名單、用戶黑名單、用戶積分信息、用戶信用等級信息、用戶價值、用戶流失傾向……

（5）用戶問題 指用戶由于所購買或使用的產(chǎn)品或服務(wù)出現(xiàn)問題而進(jìn)行反映所產(chǎn)生的信息 用戶問題單信息、問題回復(fù)工單信息、問題答復(fù)單信息、問題工單信息……

（6）用戶維系挽留 指用戶生命周期的穩(wěn)定階段開展的工作，其主要的目的是通過用戶維系的各種活動，規(guī)范服務(wù)，進(jìn)行用戶價值挖掘，從而提升用戶的價值 維系對象信息、維系活動信息、挽留對象信息、挽留活動信息、挽留效果評估信息……

（7）用戶賬務(wù) 指用戶因購買或使用某企業(yè)及其合作伙伴提供的產(chǎn)品或服務(wù)而產(chǎn)生或關(guān)聯(lián)的財務(wù)信息 帳單、詳單、發(fā)票、帳務(wù)滯納金、調(diào)帳信息、帳本信息……

因篇幅限制，本文不再舉例數(shù)據(jù)分類的其他內(nèi)容，結(jié)合企業(yè)業(yè)務(wù)需要，企業(yè)數(shù)據(jù)分類可隨著業(yè)務(wù)變化而變化，不斷改進(jìn)、細(xì)化和完善分類標(biāo)準(zhǔn)。

數(shù)據(jù)分級

企業(yè)數(shù)據(jù)分級是指企業(yè)按照所持有的數(shù)據(jù)的價值、敏感程度、泄露、非法提供或?yàn)E用之后的影響對象/程度等因素進(jìn)行評估并確定等級。例如較為復(fù)雜的可分為“公開”“內(nèi)部使用”“秘密”“機(jī)密”“絕密”五級。通常企業(yè)在有數(shù)據(jù)分級需求時，綜合成本考量，我們建議企業(yè)在滿足合法合規(guī)的基礎(chǔ)上，盡量使用簡單的分級（分類）規(guī)則，推薦使用三級如“公開”“普通”“敏感”;部分企業(yè)也采取較為簡單的如“普通”“敏感”二級分級。

與數(shù)據(jù)分類性質(zhì)不同，為保護(hù)數(shù)據(jù)安全，維持?jǐn)?shù)據(jù)保密性、完整性和可用性，對于企業(yè)來說，有效的分級一旦設(shè)定，原則上不再變更。每一個數(shù)據(jù)分級可對應(yīng)多個數(shù)據(jù)分類。在此需要強(qiáng)調(diào)的是，“分級原則上不變更”指的是企業(yè)根據(jù)自身需要而設(shè)定的級別通常不發(fā)生變更，但該級別下的數(shù)據(jù)在采用如數(shù)據(jù)脫敏、刪除關(guān)鍵字段、匯聚融合等技術(shù)手段后可導(dǎo)致升降級，從而采用升級或降級后對應(yīng)的保護(hù)措施予以保護(hù)，二者不可混淆。

補(bǔ)充說明一點(diǎn)，遇例外情況，企業(yè)也存在分級變更的可能性。中國人民銀行發(fā)布的《金融數(shù)據(jù)安全?數(shù)據(jù)安全分級指南》（JR/T?0197—2020），其中列舉了四種確定的級別變更情形，如下：數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)據(jù);數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應(yīng)用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導(dǎo)致原定的數(shù)據(jù)級別不再適用;不同數(shù)據(jù)類型經(jīng)匯聚融合形成新的數(shù)據(jù)類別，使得原有的數(shù)據(jù)級別不適用，應(yīng)重新進(jìn)行級別判定;因國家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)級別不再適用。上述變更情形，供在實(shí)踐過程中參考。

北京市煒衡律師事務(wù)所白宇思律師

國家通過立法明確建立數(shù)據(jù)分級分類保護(hù)制度，意在加強(qiáng)對于重要數(shù)據(jù)的保護(hù)。對于企業(yè)來說，將重要性不同的數(shù)據(jù)采用同樣等級的保護(hù)措施，實(shí)施無差別的保護(hù)，可能導(dǎo)致對敏感數(shù)據(jù)保護(hù)力度不足，對普通數(shù)據(jù)保護(hù)力度過剩。此外，數(shù)據(jù)分類和分級的設(shè)定也并非越復(fù)雜越好，對于企業(yè)來說，分類越細(xì)化、分級數(shù)量越多，管理成本就越高?！傲銚p失”是一個理想目標(biāo)，不僅實(shí)現(xiàn)成本高昂且難以達(dá)成，甚至負(fù)面影響業(yè)務(wù)發(fā)展。實(shí)施有差別的分類和分級保護(hù)，區(qū)別對待不同業(yè)務(wù)和數(shù)據(jù)，綜合業(yè)務(wù)發(fā)展與成本考量，實(shí)現(xiàn)業(yè)務(wù)發(fā)展與數(shù)據(jù)安全的雙贏，是企業(yè)應(yīng)當(dāng)追求的目標(biāo)，也是數(shù)據(jù)分類和分級的意義所在。

綜上所述，企業(yè)數(shù)據(jù)安全與隱私保護(hù)是個復(fù)雜命題，在當(dāng)前的時代背景下，企業(yè)要做的是把保護(hù)重要的業(yè)務(wù)和數(shù)據(jù)放在首位，把合法合規(guī)作為底線，使數(shù)據(jù)成為新的生產(chǎn)力，用合規(guī)促進(jìn)業(yè)務(wù)發(fā)展與企業(yè)繁榮。

?鏈接：

北京市煒衡律師事務(wù)所于1995年由原司法部法律服務(wù)中心部分骨干律師設(shè)立，以“洞察、溝通、解決、良知”為執(zhí)業(yè)理念，經(jīng)過二十五余年的奮斗，如今已成為中國著名大型綜合性律師事務(wù)所，總部設(shè)立于北京，在上海、深圳等近四十個國內(nèi)外城市設(shè)立分所。煒衡律師事務(wù)所多次被授予“全國優(yōu)秀律師事務(wù)所”、“北京市優(yōu)秀律師事務(wù)所”等榮譽(yù)稱號，先后入選錢伯斯、ALB《亞洲法律雜志》、《商法》雜志等排名。

北京市煒衡律師事務(wù)所執(zhí)業(yè)律師400名，全平臺執(zhí)業(yè)律師3500名，設(shè)有專業(yè)部門20余個。為致力公益事業(yè)，履行社會責(zé)任，特設(shè)公益法律服務(wù)部。北京市煒衡律師事務(wù)所竭誠為國內(nèi)外廣大客戶、社會弱勢群體提供專業(yè)、全面、優(yōu)質(zhì)、高效的法律服務(wù)。