讓數據合規成為港航企業數字化轉型的助力
2021-07-10 15:08 來源:航運界
在科技賦能行業的時代,各行各業都拉開了數字化轉型的序幕,傳統的航運業也緊跟技術發展在進行數字化變革。航運巨頭馬士基儼然成為一家科技公司,越來越多的科技型航運企業活躍在舞臺,比如運去哪、沃行、鴨嘴獸等,區塊鏈技術的發展也在革新航運實踐,沿海港口與國內頂尖科技公司合作進行智能港口建設,首艘無人駕駛智能船舶“智飛”號正在進行測試。這些新鮮事物的涌現說明,傳統航運業的業務模式在數字化時代正面臨巨變。
在數字化轉型過程中,港航企業必然面臨數據處理,并且港航企業的業務具有極強的涉外屬性。在當前國際政治背景下,數據安全已成為國家安全的重要內容,國家陸續出臺了相關法律法規,《數據安全法》(下稱“數安法”)將于今年9月1日起實施。
在此大背景下,轉型中的港航企業應盡早了解數據保護方面的法律要求。與此同時,瀛泰律師事務所在傳統的海事海商法律服務之外,還將持續對港航企業的數據合規提供全面的法律支持。本文將對涉及港航企業的數據合規重點問題進行解析。
重要數據保護制度
數安法的亮點之一是規定了數據分類分級保護制度,對于重要數據強調加強保護,對國家核心數據強調實行更嚴格的管理制度【1】。對于港航企業來說,要特別關注其數據資產中是否含有重要數據。
對于重要數據的定義,數安法沒有做出規定,僅原則性地指出將由國家有關部門制定重要數據目錄,各地區、各部門確定本地區、本部門及相關行業領域的重要數據具體目錄。雖然目前重要數據的內涵與外延還有待有關部門制訂明確實施細則以確定,但是從目前已公開的相關文件草案或征求意見稿中我們仍可以探得重要數據的要旨。
《數據安全管理辦法(征求意見稿)》對重要數據的定義為,“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據”。
《信息安全技術 數據出境安全評估指南》(草案)附錄A《重要數據識別指南》將重要數據定義為“我國政府、企業、個人在境內收集、產生的不涉及國家秘密,但與國家安全、經濟發展以及公共利益密切相關的數據”,并列舉了包括石油天然氣、煤炭、石化、化學工業、交通運輸、海洋環境等27個行業領域中的重要數據范圍。
全國信息安全標準化技術委員會已正式立項制定國家標準《信息安全技術 重要數據識別指南》。從該指南的草稿來看,該標準沒有從行業的角度對重要數據進行分類,而是以重要數據的特征進行了分類,重要數據被分為八個大類,每一大類下面又有若干子類。以下為八個大類:
數安法明確數據處理者對重要數據有保護義務,具體包括:應建立健全全流程的數據安全管理制度、開展數據安全教育培訓、采取必要措施保障數據安全、設立數據安全負責人和管理機構等【2】。同時,數據處理者還應對數據處理活動進行風險監測,定期開展風險評估和報送風險評估報告【3】。
因此,對港航企業來說,在密切關注本地區和本行業主管部門重要數據目錄編制進展的同時,也應及時并盡早對自己的數據資產進行盤點、甄別,謹慎對待和保護經營活動中收集和產生的重要數據,履行數安法下的數據保護義務,以免在數安法正式生效后不能及時應對。數安法的制定過程和背景表明,數安法系國家在面臨數據安全的緊迫局面下制定的法律,有著迫切的現實需要,因此其后續的推進和具體實施過程必然會速度較快,這也再次提醒企業,雖然重要數據的分類分級目錄尚未出臺,但企業切不可浪費時間,要充分利用這段時間盡早梳理、盤點好自己的數據資產,從人員配備、資金、技術及治理結構等方面做好充分準備。
數據跨境評估制度
港航企業作為世界供應鏈中的一環,其經營范圍決定了數據跨境流動在業務中不可避免。但是,其業務中的數據跨境活動應遵守法律規定,不可隨意進行。
對于數據跨境,《網絡安全法》(下稱“網安法”)和數安法,以及即將出臺的《個人信息保護法》采取的基本態度是數據本地保存和跨境評估二者并軌實施。根據數安法,無論是關鍵信息基礎設施運營者收集和產生的數據,還是其他數據處理者收集和產生的重要數據,都需進行出境安全管理【4】。
根據2020年4月“國家網絡信息辦公室(下稱“國家網信辦”)有關負責人《網絡安全審查辦法》答記者問”,以下重點行業領域的重要網絡和信息系統運營者構成關鍵信息基礎設施運營者:電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等。
此外,已納入今年立法計劃的《關鍵信息基礎設施安全保護條例(征求意見稿)》對關鍵信息基礎設施范圍進行了列舉,包含:政府機關和能源、金融、交通、水利等行業領域的單位;電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位。
因此,港口企業和航運科技企業運營的網絡平臺和信息系統,很可能被識別為關鍵信息基礎設施,企業在運營中收集和產生的海量交通物流數據,包括但不限于重點行業的貨物數據、危化品的存儲數據、車輛信息、配送信息等,根據數安法和網安法,如果這些數據在經營活動中需要出境,企業謹慎起見應進行出境安全評估。
數據安全審查制度
數安法還規定了數據安全審查制度,對影響或者可能影響國家安全的數據處理活動,有關部門將進行國家安全審查,并且安全審查決定為最終決定【5】。最終決定即意味著企業沒有提出行政復議或行政訴訟的機會。數安法中并沒有數據安全審查的具體內容。數據安全離不開網絡安全,因此網絡安全審查內容有一定參照價值。根據《網絡安全審查辦法》,網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下方面【6】:
今年7月初國家網信辦開啟了“滴滴出行”網絡安全審查第一案,數據安全審查第一案或遲或早也會出現,企業應提早做好準備。我們建議港航企業可以先參照《網絡安全審查辦法》中的內容進行自查和自我糾偏。
總結
科技賦能港航企業,而數據安全是企業在數字化變革中持續發展的保障。數據既要開發利用,也要有效保護。對企業來講,數據合規將是一個重要且必不可少的工作,并且可以預見,隨著立法的深入和更新,這項工作的內容是動態變化的,我們建議港航企業在數字化轉型過程中,應盡早根據自身業務特點構建合適的數據合規體系,以避免踩到監管雷區。企業圍繞數據保護建立切實可行的治理架構和規范化流程,是實現長期合規的關鍵因素。我們也將持續關注,為港航企業數字化轉型提供助力。(王華 馮忞 張進 上海瀛泰律師事務所)
-
暫無記錄