《数据安全法》正式落地:最高罚款1000万,这类企业受影响最大
从此以后,数据泄露等事件的处罚力度有了定论。
本月初,《数据安全法》已经正式落地实施。
这是我国第一部有关数据安全的专门法律,也是我国第一部有关数据安全的基础性法律。
其主要监管企业、个人的“数据处理活动”,包括数据收集、存储、使用、加工、传输、提供、公开等。
如果违规,比如造成数据泄露、未经国家主管机关批准向境外司法或执法机构提供存储于国内的数据等,处罚力度有多大呢?
轻则约谈、整改,或还有罚款(1000万封顶),重则暂停业务、停业整顿,或者是吊销相关业务许可证/营业执照。一旦构成犯罪,还会追究刑事责任。
5项监管要求,对AI企业影响最大
可以看到,自去年以来,围绕“数据安全”也发生了多个舆论性事件,比如国家出手对滴滴进行网络安全审查。
启动审查时,网络安全审查办公室的理由是“防范国家数据安全风险,维护国家安全,保障公共利益”。而在彼时,滴滴刚在纳斯达克敲钟上市没多久,也渐渐有传闻称它为了上市,将公司的安全数据交给美国审查。
当然,这种小道消息多是不靠谱的。而依据审查结果公告,滴滴也的确存在“严重违法违规收集使用个人信息问题”。这之后,早在审查开始时就已经停止新用户注册的滴滴,再次被要求App下架。
经此一事,“数据安全”问题愈发受到了关注。
《数据安全法》的出台,意味着“数据安全”不再只是过往多存在于企业层面的小打小闹,而是上升到了国家安全层面。
具体来看,《数据安全法》提出了5项监管要求:
第一,符合基础性的合规要求,包括建立企业数据安全管理制度,有相应的基础措施和管理措施;
第二,对数据做分类分级保护,需要企业做等级保护测评和备案;
第三,进行数据分级分类,企业要根据分类结果采取相应的管理措施;
第四,识别核心数据和处理数据出境问题,做好数据跨境流动监管,比如年检、年报审计;
第五,管理数据交易中介,中介要审核双方身份、流程交易记录、制定审核清单等。
可以看到,《数据安全法》并未针对一类特定企业,但依据北京瀛和律师事务所业务中心总监高楠的解读:
只要在华企业的日常经营活动涉及数据生命周期的任何一个环节,境外企业涉及对中国有关联的数据处理活动的,皆会受到该法的规制。
而这其中,哪些企业大受影响呢?
对此,中伦律师事务所合伙人陈际红认为是AI企业,尤其是在《个人信息保护法》也即将于11月1日正式实施的前提下:
“《数据安全法》和《个人信息保护法》两部‘硬法’对AI企业的影响非常大。一方面,心法要求企业遵循数据获取的安全、可控,对个人信息要知情同意,拿到数据以后要合法正当利用,要保证数据安全;另一方面也解决了数据黑产难题,让违法事件有法可依。”
此外,参考滴滴出行、Boss直聘等企业在美上市后被审查等事件,随着《数据安全法》的方,肯定还会有人疑问:国内企业还能去国外IPO吗?
与此同时,又有哪些企业会吃到《数据安全法》的红利呢?
还能去国外上市吗?
在《数据安全法》中,第36条这样写到:
……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
同时,第21条也提到:
……关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,适行更加严格的管理制度……
这么一来,滴滴出行、Boss直聘审查案例在前,《数据安全法》正式实施在后,国内企业还能在国外IPO吗?
围绕这个问题,中共上海市委网络安全和信息化委员会办公室总工程师杨海军强调,相关审查并不是禁止企业在海外上市,而是为了防范企业上市所引发的网络安全、数据安全和国家安全风险。
不过可以肯定的是,在重点数据和核心数据被进一步区分后,未来对海外上市企业相关数据处境的安全评估问题可能更加复杂,海外上市前国内相关机构的审查也将更为严格,尤其是滴滴出行这类与民生相关联的企业。
与此同时,我们也注意到,随着《数据安全法》的推行,许多公司都在寻求以“技术手段”来达到数据安全的目的。
这也是《数据安全法》所积极提倡的,第16条写到:
国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
而在具体实施过程中,有一个方案被越来越多提及——隐私计算。
瑞莱智慧CEO田天表示,隐私计算可以通过改变数据交互与融合的模式和形态,让数据在流通过程中实现“可用不可见”,从而处于一个安全的环境之中。
是一种由两个或多个参与方联合计算的技术和系统,参与方在不泄露各自数据的前提下通过协作对他们的数据进行联合机器学习和联合分析。
据了解,国内已经有多个政府在积极规划和实施技术攻关,并把隐私计算作为重点。
此前,KPMG毕马威、微众银行等机构联合发布《2021年隐私计算行业研究报告》,预计到2024年,隐私计算受到大数据融合应用保护的双重需求驱动,相关技术服务营收有望触达100-200亿元,甚至撬动千亿级的数据平台运营收入空间。
而现在,随着《数据安全法》的正式实施,以及紧跟其后、即将出台的《个人信息保护法》,相信隐私计算的市场规模或将远超该报告所预计的。
One More Thing!
《数据安全法》共有7个章节、55条细则,在宏观层面上“数据处理活动”画出了一个大框架。
但在部分细节上,还有待后面相关部门做出细化,比如给数据的分类分级制定一个标准和规范,避免因为分类混乱而干扰行业发展。
而有点“意外”的是,在看完《数据安全法》全文后,我们还发现了一个“彩蛋”:
第15条,国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
这也是全文中唯一一条具体到点的条例。
最后,记得关注微信公众号:镁客网(im2maker),更多干货在等你!
硬科技产业媒体
关注技术驱动创新