文 | 北京雍文律师事务所 张宇

《中华人民共和国数据安全法》（以下简称《数据安全法》）自2021年9月1日起施行。

《数据安全法》站在总体国家安全观的高度，基本原则是建立健全数据安全治理体系，提高数据安全保障能力，维护数据安全以达到规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益的立法目的。在中华人民共和国境内开展数据处理活动及其安全监管均适用该法，此为该法的适用范围。

《数据安全法》施行两年来，根据信息安全国家工程研究中心公布的《数据安全法》处罚案例整理显示，有34起根据《数据安全法》作出行政处罚的案例（时间从《数据安全法》实施至2023年8月14日）。

随着数据安全重要性的日益凸显，相关执法部门执法力度的增强和执法频率的不断加快，相关组织（包括法人组织及非法人组织）在运营过程中应严格履行哪些法定义务，采取何种适当措施，以做到合规运营避免相关的法律风险，成为一个非常重要同时也是亟待解决的法律问题。

本文站在律师的视角，针对《数据安全法》中相关组织承担的法律义务的重要条文进行解读，同时对相关组织的运营行为提出相应的法律建议及应对的措施，以使相关组织能对其在运营过程中可能面临的数据安全保护方面的法律风险进行防范、控制。

主要法条解读

《数据安全法》第二条规定，在中华人民共和国境内开展数据处理活动及其安全监管，适用该法。《数据安全法》第三条对数据及数据处理活动、数据安全给出了定义：数据，是指任何以电子或者其他方式对信息的记录；数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等；数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

根据《数据安全法》第二条之规定，法律主体（不论是自然人、法人还是非法人组织）只要在境内开展数据处理活动均应适用该法。本文主要站在相关组织（法人及非法人组织）的角度进行探讨。相关组织在运营过程中，不可避免会对其客户或者管理对象的信息进行收集、存储、使用等。只要实施了数据处理活动，即成为《数据安全法》数据安全保护义务的义务承担者，须履行相应的法定义务。

与老百姓生活联系非常密切的比如医院、健身房、美容院、物业公司等相关组织，在运营过程中会对其患者（会员、业主）的身份信息、年龄、身体状况各方面的数据、家庭地址、联系方式、职业等进行记录和使用。这些组织，一旦取得了数据，就承担了保护数据安全的义务。

根据信息安全国家工程研究中心整理的三十四起行政处罚案例，相关组织被行政处罚主要是涉及未适当履行《数据安全法》的二十七条、二十九条及三十二条所规定的义务。

《数据安全法》第二十七条，规定了五项义务：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度；组织开展数据安全教育培训；采取相应的技术措施和其他必要措施，保障数据安全；利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务；重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

第一项义务，开展数据处理活动，应当建立全流程的数据安全管理制度。全流程，即包括但不仅限于收集、存储、使用、加工、传输、提供、公开等过程。每一个流程，都应当有对应的数据安全管理制度，因为每一个流程都有数据泄露、丢失、被攻击、被盗取的风险。相关组织应当建立全流程的安全管理制度，使得各个流程的操作有规可循，将义务落到实处。

第二项义务是应组织开展数据安全教育培训。相关组织应围绕数据安全保护问题，开展提高人员相关素质、能力的有计划性、系统性的培养和训练活动，使得相关人员具备保护数据安全的知识、技能，同时增强保护数据安全的责任意识。

第三项义务是应采取相应的技术措施和其他必要措施，保障数据安全。这些技术措施主要包括：身份认证、访问控制、数据加密、网络隔离、安全审计、态势感知等。

第四项义务，相关组织若要利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。网络安全等级保护制度是指规范计算机系统安全建设和使用的标准以及管理办法。安全工作的整个流程分为五个环节，包括定级、备案、建设整改、等级测评、监督检查。

第五项义务，是要明确数据安全负责人和管理机构，落实数据安全保护责任。避免责任人的泛化，可能导致最终无人负责，无法将保护责任落到实处。

《数据安全法》第二十九条规定了两项义务：第一项是开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；第二项是当发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

风险监测是指：通过对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，识别潜在的网络风险。

可采取补救措施一般有：关闭服务、安装补丁、升级软件、数据备份恢复等。

数据安全事件是指：指由于人为因素、技术故障、自然灾害等原因导致的数据泄露、损坏、丢失等事件。

可采取处置措施一般分为：检测和分析、遏制、根除、恢复、事后总结等环节。

当相关组织在数据处理中发生上述情况，应严格按照法律的规定，实施相应的处理行为，否则就面临承担法律责任的风险。

《数据安全法》第三十二条是对数据获取应遵循的原则的规定。任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。若法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

例如，相关组织在处理数据信息时，应就信息的收集、使用、处理等取得信息所有者的同意。所有的通过不正当的窃密手段（包括但不仅限于黑客入侵、秘密窃取等）获取数据的方式均为不合法、不正当。

律师建议

针对相关组织在数据安全保护中承担的义务，律师提出如下几项法律建议。

（一）建立健全全流程数据安全管理制度，积极组织开展数据安全教育培训

相关组织应对全体人员，特别是在工作中接触、运用、处理数据的相关人员，增强其数据安全保护意识，让其认识到保护数据安全是一项法定的义务，是应当履行的职责。同时，相关人员需要切实掌握数据安全保护的技能。相关组织应定期进行考核，并将考核结果计入相关人员的评价指标中。最后，相关组织可定期组织行之有效的数据安全教育培训活动，聘请专业人员，就数据安全保护专业层面的技能进行讲授。

（二）采取相应的技术措施和其他必要措施，保障数据安全

承担数据安全保护责任的相关组织自身可能并不具备数据安全保护的技能，不知道在技术层面应该采取什么措施对数据进行保护。在这个情形下，可以采取向专业机构购买相关的服务或者聘用专门的技术处理人员，对数据处理进行全流程的安全保护，加强风险监测，倘若发现数据安全缺陷、漏洞等风险或发生数据安全事件时，能及时进行补救，采取相应的处置措施，按照规定及时告知信息所有者并向有关主管部门报告。

目前，常实施的数据保护措施有：访问控制、数据加密、安全审计、网络安全、数据完整性保护。相关组织不得以其不懂、不了解相关技术措施为理由推卸责任。

（三）相关组织应以合法、正当的方式获取、处理数据

如相关组织需要记录、使用、加工、提供、公开信息所有者的信息、指纹、人脸等需要经过其同意。绝不能以不正当手段诸如购买、窃取等手段获得数据信息，同时也不得未经许可将掌握的数据信息提供给他人。

综上，相关组织应严格按照《数据安全法》的规定，履行法定义务，才能避免在运营过程中遭遇不必要的法律风险。