数字经济发展时代,数据正逐渐成为企业市场竞争中宝贵的财富。流通中的数据在创造海量价值的同时,其安全也面临着挑战:数据泄露频发,更加复杂的业务模式和生态场景,更加复杂的数据处理过程,这一切都对数据安全有了更高的要求。
2021年9月1日,数据领域的基础性法律《数据安全法》正式实施。数据安全跳出传统攻防防护,不仅强调数据全生命周期的安全,同时也关注数据的流通利用和价值的发挥。数据已经不仅仅是数据,数据安全已经超出简单的数据产业经济发展范畴,数据的主权和国家安全等也成为数据发展过程中需要关注的内容。
数据安全现状如何?《数据安全法》实施之后,执法如何落地?展现出哪些特点?南方财经合规科技研究院梳理了《数据安全法》颁布两年以来,适用《数据安全法》的相关执法案例,希望厘清《数据安全法》在实践中的适用情况,探究国内数据安全保护现状。
在南方财经合规科技研究院的不完全统计中,通过公开渠道共搜集到了28份数据泄露的案例。通过对这些案例法律依据、处罚措施、地域分布等方面分析,当前适用《数据安全法》的案例主体多见于日常生活中的实体店铺,如饰品店、足浴店等,处罚措施多为警告、整改、罚款等。
数据安全立法迅速推进安全监管依据确立数字经济时代,数据本身价值逐渐凸显,也引起了多方关注。海量数据汇聚,数据价值凸显更加明显。数据不仅关乎企业生产,某种程度上来说,数据安全也影响着国家安全。数据蕴含的信息愈发重要。
于此同时,数据安全的重要性更加凸显。传统的围绕信息基础设施建设的网络安全体系不再适用当前情况,数据对于安全有了更高要求。
数据泄露事件时有发生,拥有海量数据的企业成为主要袭击目标。根据美国通讯运营商Verizon今年6月发布的年度数据泄露调查报告DBIR(2023DataBreachInvestigationsReport),Verizon分析了16312起事件,其中5199起事件被认定为数据泄露事件;泄露事件统计覆盖了11个行业,其中泄露事件最多的三个行业分别是公共事务(582)、金融行业(477起)、信息技术(380起)。
不仅是产业和经济,数据安全更关切国家安全。2018年3月,美国通过《澄清域外合法使用数据法》(CLOUDAct),明确了美国执法机构在法定条件下调取美国公民存储在域外服务器中的电子邮件、文档和其他通信内容的规则,国际数据安全的美国规则建立。同年5月,欧盟《通用数据保护条例》(GDPR)正式实施,只要处理的是欧盟境内居民的数据,均适用相关法规,对数据实施长臂管辖。
在中国,随着数字经济的发展,中国数字化进程飞速,积累海量数据,数据要素化也在不断加速。以数据立法规范数据活动,完善数据安全治理体系成为迫切需求。多重因素叠加之下,中国数据立法迅速推进。2020年7月,《数据安全法》(草案)公开征求意见;2021年4月,《数据安全法》(二审稿)正式发布并公开征求意见;同年6月7日,《数据安全法》(三审稿)提交审议,3天之后,《数据安全法》经十三届全国人大常委会第二十九次会议表决通过,自2021年9月1日起施行,为国家重要数据保护和各行业数据安全监管提供依据。
《数据安全法》的监管范围为在中华人民共和国境内开展数据处理活动及其安全监管。数据安全的概念也得以明确,通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
与此同时,《数据安全法》对于数据处理者的数据安全保护义务进行明确,建立了数据安全保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国数据安全的顶层设计。
数据安全法执法落地国家安全红线不可逾越作为我国数据领域的基础性法律之一,两年时间内各地都陆续出现了首例适用《数据安全法》的案例。
行政处罚方面,记者梳理了《数据安全法》正式实施之后、公开发布的共28起相关案例。有完全根据《数据安全法》做出的处罚,也有同时依据多项法律(包含《数据安全法》)做出的案例。
各地陆续出现适用《数据安全法》的第一例案例。如广州某科技公司向各地驾校提供的某驾培平台储存处理了驾校培训学员的姓名、证件号、手机号、个人照片等公民个人信息数据被挂在外网售卖,该公司被广东警方按照《数据安全法》第四十五条第一款规定警告、罚款。这是广东省首宗适用《数据安全法》进行执法的行政案件。
被处罚的原因主要分为四类。首先,因未履行数据安全保护义务而被处罚的案例最多,共有24个案例。因未履行数据安全保护义务最终造成数据泄露或者存有数据泄露风险,也有一些数据是否泄露情况不明。其次,在相关案例梳理中,2个案例涉及侵害国家安全,综合了多项法律法规做出判决结果。三是数据泄露未采取有效措施1例。四是在有关机关调取相关数据时未能配合1例。
相关案例梳理过程中,2例因涉嫌危害国家安全引人关注,分别为滴滴处罚案以及国家安全机关侦办的一起上海公司向境外出售高铁数据案。
2022年7月,国家互联网信息办公室对滴滴做出的行政处罚。滴滴共存在8个方面、16项违法
