数读数据安全法两周年|当数据安全法逐渐长出执法牙齿

合规科技郑雪,实习生吕广龙 2023-09-01 16:26

21世纪经济报道 记者郑雪 实习生吕广龙 北京报道

数字经济发展时代,数据正逐渐成为企业市场竞争中宝贵的财富。流通中的数据在创造海量价值的同时,其安全也面临着挑战:数据泄露频发,更加复杂的业务模式和生态场景,更加复杂的数据处理过程,这一切都对数据安全有了更高的要求。

2021年9月1日,数据领域的基础性法律《数据安全法》正式实施。数据安全跳出传统攻防防护,不仅强调数据全生命周期的安全,同时也关注数据的流通利用和价值的发挥。数据已经不仅仅是数据,数据安全已经超出简单的数据产业经济发展范畴,数据的主权和国家安全等也成为数据发展过程中需要关注的内容。

数据安全现状如何?《数据安全法》实施之后,执法如何落地?展现出哪些特点?南方财经合规科技研究院梳理了《数据安全法》颁布两年以来,适用《数据安全法》的相关执法案例,希望厘清《数据安全法》在实践中的适用情况,探究国内数据安全保护现状。

在南方财经合规科技研究院的不完全统计中,通过公开渠道共搜集到了28份数据泄露的案例。通过对这些案例法律依据、处罚措施、地域分布等方面分析,当前适用《数据安全法》的案例主体多见于日常生活中的实体店铺,如饰品店、足浴店等,处罚措施多为警告、整改、罚款等。

数据安全立法迅速推进 安全监管依据确立

数字经济时代,数据本身价值逐渐凸显,也引起了多方关注。海量数据汇聚,数据价值凸显更加明显。数据不仅关乎企业生产,某种程度上来说,数据安全也影响着国家安全。数据蕴含的信息愈发重要。

于此同时,数据安全的重要性更加凸显。传统的围绕信息基础设施建设的网络安全体系不再适用当前情况,数据对于安全有了更高要求。

数据泄露事件时有发生,拥有海量数据的企业成为主要袭击目标。根据美国通讯运营商Verizon今年6月发布的年度数据泄露调查报告DBIR(2023 Data Breach Investigations Report),Verizon分析了16312起事件,其中5199起事件被认定为数据泄露事件;泄露事件统计覆盖了11个行业,其中泄露事件最多的三个行业分别是公共事务(582)、金融行业(477起)、信息技术(380起)。

不仅是产业和经济,数据安全更关切国家安全。2018年3月,美国通过《澄清域外合法使用数据法》(CLOUD Act),明确了美国执法机构在法定条件下调取美国公民存储在域外服务器中的电子邮件、文档和其他通信内容的规则,国际数据安全的美国规则建立。同年5月,欧盟《通用数据保护条例》(GDPR)正式实施,只要处理的是欧盟境内居民的数据,均适用相关法规,对数据实施长臂管辖。

在中国,随着数字经济的发展,中国数字化进程飞速,积累海量数据,数据要素化也在不断加速。以数据立法规范数据活动,完善数据安全治理体系成为迫切需求。多重因素叠加之下,中国数据立法迅速推进。2020年7月,《数据安全法》(草案)公开征求意见;2021年4月,《数据安全法》(二审稿)正式发布并公开征求意见;同年6月7日,《数据安全法》(三审稿)提交审议,3天之后,《数据安全法》经十三届全国人大常委会第二十九次会议表决通过,自2021年9月1日起施行,为国家重要数据保护和各行业数据安全监管提供依据。

《数据安全法》的监管范围为在中华人民共和国境内开展数据处理活动及其安全监管。数据安全的概念也得以明确,通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

与此同时,《数据安全法》对于数据处理者的数据安全保护义务进行明确,建立了数据安全保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国数据安全的顶层设计。

数据安全法执法落地 国家安全红线不可逾越

作为我国数据领域的基础性法律之一,两年时间内各地都陆续出现了首例适用《数据安全法》的案例。

行政处罚方面,记者梳理了《数据安全法》正式实施之后、公开发布的共28起相关案例。有完全根据《数据安全法》做出的处罚,也有同时依据多项法律(包含《数据安全法 》)做出的案例。

各地陆续出现适用《数据安全法》的第一例案例。如广州某科技公司向各地驾校提供的某驾培平台储存处理了驾校培训学员的姓名、证件号、手机号、个人照片等公民个人信息数据被挂在外网售卖,该公司被广东警方按照《数据安全法》第四十五条第一款规定警告、罚款。这是广东省首宗适用《数据安全法》进行执法的行政案件。

被处罚的原因主要分为四类。首先,因未履行数据安全保护义务而被处罚的案例最多,共有24个案例。因未履行数据安全保护义务最终造成数据泄露或者存有数据泄露风险,也有一些数据是否泄露情况不明。其次,在相关案例梳理中,2个案例涉及侵害国家安全,综合了多项法律法规做出判决结果。三是数据泄露未采取有效措施1例。四是在有关机关调取相关数据时未能配合1例。

相关案例梳理过程中,2例因涉嫌危害国家安全引人关注,分别为滴滴处罚案以及国家安全机关侦办的一起上海公司向境外出售高铁数据案。

2022年7月,国家互联网信息办公室对滴滴做出的行政处罚。滴滴共存在8个方面、16项违法事实,如违法收集、过度收集、未告知收集等与用户相关的各类信息;除此之外,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。最终依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定,对滴滴做出80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

另外一例为《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。2022年据央视报道,上海两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥。境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,相关人员的行为涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪。

日常生活小店多受处罚,湖南执法案例最多

《数据安全法》等法规正逐渐进入日常生活。南方财经合规科技研究院梳理相关案例发现,一些涉及日常生活的中小企业,如足浴店、饰品店等,未对收集的个人信息进行加密、脱敏等处理,未尽到数据安全保护义务而触犯《数据安全法》相关条文。

相关事件是否造成数据泄漏?通过对28起案例分析,其中13起案件企业的相关行为或将导致数据泄漏风险,8起案件企业的相关行为导致了明确的数据泄漏,6起案例是否真实导致数据泄漏无法确定。

相关案例的地域分布情况来看,其中来自湖南省的执法案例最多(11起),其次为江西(4起),江苏、广东各2例。

相关案例的处罚措施来看,警告(22)、整改(16)、罚款(12)成为最主要的处罚措施,此外一公司负责人被约谈,也有相关人员被刑事追责。除上述处罚措施外,其中浙江某科技有限公司因违规将一县级市政府相关数据上传云端且未做安全防护导致数据泄露,该案件中针对建设单位失管失察、未履行数据安全保护职责的情况,当地纪委介入,对相关负责人追究问责(属其他类别)。上述提及的国内公司违规向境外出售高铁数据案件,因收集的数据被鉴定为情报,相关负责人被追究刑事责任。

罚款数额方面,滴滴因其事件的特殊性,罚款80.26亿元;其余案例罚款金额在5万元至100万之间,其中浙江某科技有限公司因违规将一县级市政府相关数据上传云端且未做安全防护导致泄露,被罚款100万元,为相关案例罚款金额最高。

执法监管方面,公安、网信、行业主管部门等依据《数据安全法》对相关不合规行为作出处罚。《数据安全法》来看,其确立了中央统筹的数据安全工作体制机制。同时规定工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

适用法条方面,第二十七条明确了企业数据安全保护的具体措施。第二十九条强调数据全生命周期内对于数据泄露需要及时补救。第三十条强调重要数据的处理者需要定期展开风险评估。第三十一条对于关键基础设施的运营者和其他数据处理者在数据出境方面的相关义务。第三十五条赋予执法机关调取相关数据的权限。第四十五条和第四十六条分别为详细的处罚措施。

(制图:黄丹虹)

(作者:郑雪,实习生吕广龙 编辑:王俊)