《解析数据安全法的要求范围:全方位构建数据安全体系》
一、数据安全法要求范围之数据全生命周期安全
(一)数据收集
1、合法性原则
- 根据数据安全法,数据收集必须在合法的框架内进行,这意味着收集主体要有合法的依据,企业在收集用户数据时,需要明确告知用户收集的目的、方式和范围等信息,并获得用户的同意,在移动应用收集用户地理位置数据时,如果未明确告知用户收集目的是用于精准广告投放且未经用户同意就收集,这就违反了数据安全法的要求。
图片来源于网络,如有侵权联系删除
- 对于政府部门收集数据,也必须依据相关法律法规规定的权限和程序进行,比如在人口普查数据收集过程中,普查员必须按照普查条例规定的方式,准确、完整地收集公民的相关信息,严禁超范围收集。
2、最小化原则
- 收集的数据量应当遵循最小化原则,无论是商业机构还是公共部门,不应收集超出其业务需求或法定职能所需的多余数据,一个电商平台如果只需要用户的基本联系方式和购物偏好来完成订单处理和精准营销推荐,就不应过度收集用户的健康状况、政治信仰等与业务无关的数据。
(二)数据存储
1、安全保障措施
- 数据存储环节需要采取有效的安全保障措施,企业和组织要对存储的数据进行加密处理,防止数据在存储过程中被窃取或篡改,金融机构存储用户的账户密码、交易记录等敏感数据时,要采用高级加密标准(AES)等加密技术。
- 要确保存储数据的设施安全,包括数据中心的物理安全,如防火、防水、防盗等措施,还需要对存储系统进行定期备份,以应对可能出现的自然灾害、系统故障等突发情况。
2、分类分级存储
- 数据安全法要求对数据进行分类分级存储,不同类别的数据,如个人隐私数据、商业秘密数据、国家机密数据等,应根据其敏感程度分别存储在不同的安全级别环境中,国家机密数据可能需要存储在专门的涉密存储设备中,有严格的访问控制和安全审计机制;而普通的企业运营数据则可以存储在相对普通但仍有安全防护的存储系统中。
(三)数据使用
1、目的限制
- 数据的使用必须符合收集时所声明的目的,如果企业收集用户数据时声明是用于改善产品服务,那么就不能将这些数据用于出售给第三方进行广告营销等其他目的,一家健身类APP收集用户的运动数据用于为用户提供个性化的健身计划,如果将这些数据出售给保险公司用于风险评估而未经用户同意,就违反了数据安全法。
2、安全审查机制
- 在数据使用过程中,要建立安全审查机制,特别是对于涉及大量用户数据或重要数据的使用场景,要进行风险评估和安全审查,一家大型互联网企业在使用用户数据进行大数据分析以开发新的业务模式时,要内部审查该使用过程是否会对用户数据安全造成风险,如数据泄露风险、数据被滥用风险等。
图片来源于网络,如有侵权联系删除
(四)数据共享与传输
1、合规性审查
- 在数据共享与传输方面,无论是企业内部不同部门之间的数据共享,还是企业与企业之间、企业与第三方机构(如数据服务提供商)之间的数据传输,都要进行合规性审查,医疗机构在与第三方科研机构共享患者的匿名化医疗数据用于医学研究时,要确保共享行为符合医疗数据保护的相关规定,并且对共享数据的内容、范围、使用期限等进行明确约定。
2、安全协议与技术保障
- 数据共享和传输过程中要签订安全协议,明确各方的数据安全责任,要采用安全的传输技术,如加密传输协议(如SSL/TLS)来保障数据在传输过程中的安全,跨国企业在进行全球数据传输时,要遵守不同国家和地区的数据安全法规,采用合适的加密技术确保数据传输安全,防止数据在传输过程中被拦截或窃取。
3、跨境数据传输的特殊规定
- 对于跨境数据传输,数据安全法有特殊规定,在跨境传输个人信息等重要数据时,要进行安全评估等程序,中国企业将用户数据传输到国外的数据中心进行存储和处理时,要按照国家规定进行数据出境安全评估,确保境外接收方有足够的数据安全保护能力,并且不会对国家主权、安全和发展利益造成损害。
二、数据安全法要求范围之数据主体权益保护
(一)知情权
1、数据主体有权知道自己的数据被哪些主体收集、存储、使用和共享,消费者有权向电商平台询问其个人信息被哪些第三方合作伙伴(如物流企业、支付机构等)使用,平台有义务向消费者提供相关信息。
2、数据主体还应知道数据收集、使用等行为的目的、方式和范围,用户有权知道手机应用开发商收集其通讯录数据的目的是为了方便用户添加好友还是用于其他商业目的,以及如何使用这些数据。
(二)更正权与删除权
1、当数据主体发现自己的数据存在错误时,有权要求数据收集者和使用者更正,在个人信用报告中,如果发现自己的还款记录存在错误,个人有权向信用报告机构提出更正要求,信用报告机构应及时核实并更正。
2、数据主体还有权要求删除自己的数据,在某些情况下,如数据收集者不再有合法的收集依据,或者数据主体撤回同意等,数据主体可以要求数据收集者删除其数据,用户注销某个社交媒体账号时,有权要求平台删除自己的所有相关数据,包括发布的内容、个人信息等。
图片来源于网络,如有侵权联系删除
(三)可携带权
1、数据安全法在一定程度上也体现了数据主体的可携带权,这意味着数据主体有权在不同的服务提供者之间转移自己的数据,用户从一个云存储服务提供商转移到另一个云存储服务提供商时,有权要求原服务提供商将自己的数据以可兼容的格式提供给自己,以便能够顺利迁移到新的服务提供商。
三、数据安全法要求范围之监管与法律责任
(一)监管体系
1、数据安全法构建了多部门协同的监管体系,不同部门在数据安全监管方面有各自的职责,网信部门负责统筹协调网络数据安全和相关监管工作,工业和信息化部门对电信和互联网行业的数据安全进行监管,公安部门负责打击数据安全相关的违法犯罪活动等。
2、监管手段包括制定数据安全标准、进行安全检查、要求企业和组织进行数据安全评估等,监管部门可以制定数据分类分级的标准,要求企业按照标准对自身的数据进行分类分级管理,并定期进行检查,确保企业落实数据安全措施。
(二)法律责任
1、对于违反数据安全法的行为,规定了明确的法律责任,包括民事责任、行政责任和刑事责任。
2、民事责任方面,如果企业因数据泄露等行为给用户造成损害,要承担赔偿责任,一家企业因为安全漏洞导致用户的个人信息泄露,用户遭受诈骗等损失,企业要对用户的损失进行赔偿。
3、行政责任方面,监管部门可以对违法企业进行警告、罚款、责令停产停业等处罚,对于未按照规定对数据进行加密存储的企业,监管部门可以根据情节轻重给予罚款等行政处罚。
4、刑事责任方面,对于严重的数据安全犯罪行为,如窃取国家机密数据、大规模贩卖个人隐私数据等行为,要依据刑法相关规定追究刑事责任。
数据安全法的要求范围涵盖了数据全生命周期安全、数据主体权益保护以及监管与法律责任等多方面的内容,旨在全方位构建数据安全体系,保障国家、企业和个人的数据安全权益。
评论列表