您的位置:深度
深度

让数据合规成为港航企业数字化转型的助力

2021-07-10 15:08  来源:航运界


在科技赋能行业的时代,各行各业都拉开了数字化转型的序幕,传统的航运业也紧跟技术发展在进行数字化变革。航运巨头马士基俨然成为一家科技公司,越来越多的科技型航运企业活跃在舞台,比如运去哪、沃行、鸭嘴兽等,区块链技术的发展也在革新航运实践,沿海港口与国内顶尖科技公司合作进行智能港口建设,首艘无人驾驶智能船舶“智飞”号正在进行测试。这些新鲜事物的涌现说明,传统航运业的业务模式在数字化时代正面临巨变。


在数字化转型过程中,港航企业必然面临数据处理,并且港航企业的业务具有极强的涉外属性。在当前国际政治背景下,数据安全已成为国家安全的重要内容,国家陆续出台了相关法律法规,《数据安全法》(下称“数安法”)将于今年9月1日起实施。

在此大背景下,转型中的港航企业应尽早了解数据保护方面的法律要求。与此同时,瀛泰律师事务所在传统的海事海商法律服务之外,还将持续对港航企业的数据合规提供全面的法律支持。本文将对涉及港航企业的数据合规重点问题进行解析。

重要数据保护制度

数安法的亮点之一是规定了数据分类分级保护制度,对于重要数据强调加强保护,对国家核心数据强调实行更严格的管理制度【1】。对于港航企业来说,要特别关注其数据资产中是否含有重要数据。

对于重要数据的定义,数安法没有做出规定,仅原则性地指出将由国家有关部门制定重要数据目录,各地区、各部门确定本地区、本部门及相关行业领域的重要数据具体目录。虽然目前重要数据的内涵与外延还有待有关部门制订明确实施细则以确定,但是从目前已公开的相关文件草案或征求意见稿中我们仍可以探得重要数据的要旨。

《数据安全管理办法(征求意见稿)》对重要数据的定义为,“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据”。

《信息安全技术 数据出境安全评估指南》(草案)附录A《重要数据识别指南》将重要数据定义为“我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据”,并列举了包括石油天然气、煤炭、石化、化学工业、交通运输、海洋环境等27个行业领域中的重要数据范围。

全国信息安全标准化技术委员会已正式立项制定国家标准《信息安全技术 重要数据识别指南》。从该指南的草稿来看,该标准没有从行业的角度对重要数据进行分类,而是以重要数据的特征进行了分类,重要数据被分为八个大类,每一大类下面又有若干子类。以下为八个大类:
虽然具体到各行各业的重要数据目录尚未发布,但是从以上所述标准草案的描述中,我们不难看出重要数据的识别方向,即与国家安全、经济发展以及公共利益密切相关。此外,通过以上两个标准从行业分类、特征分类两个维度的举例,我们可以得出结论:港航企业在信息化过程中必然掌握大量的重要数据,比如基础平台收集和衍生的物流数据、港口空间基础数据(包括港口水文地理环境、设施布局等)、公共服务平台收集的用户数据等。

数安法明确数据处理者对重要数据有保护义务,具体包括:应建立健全全流程的数据安全管理制度、开展数据安全教育培训、采取必要措施保障数据安全、设立数据安全负责人和管理机构等【2】。同时,数据处理者还应对数据处理活动进行风险监测,定期开展风险评估和报送风险评估报告【3】。

因此,对港航企业来说,在密切关注本地区和本行业主管部门重要数据目录编制进展的同时,也应及时并尽早对自己的数据资产进行盘点、甄别,谨慎对待和保护经营活动中收集和产生的重要数据,履行数安法下的数据保护义务,以免在数安法正式生效后不能及时应对。数安法的制定过程和背景表明,数安法系国家在面临数据安全的紧迫局面下制定的法律,有着迫切的现实需要,因此其后续的推进和具体实施过程必然会速度较快,这也再次提醒企业,虽然重要数据的分类分级目录尚未出台,但企业切不可浪费时间,要充分利用这段时间尽早梳理、盘点好自己的数据资产,从人员配备、资金、技术及治理结构等方面做好充分准备。

数据跨境评估制度

港航企业作为世界供应链中的一环,其经营范围决定了数据跨境流动在业务中不可避免。但是,其业务中的数据跨境活动应遵守法律规定,不可随意进行。

对于数据跨境,《网络安全法》(下称“网安法”)和数安法,以及即将出台的《个人信息保护法》采取的基本态度是数据本地保存和跨境评估二者并轨实施。根据数安法,无论是关键信息基础设施运营者收集和产生的数据,还是其他数据处理者收集和产生的重要数据,都需进行出境安全管理【4】。

根据2020年4月“国家网络信息办公室(下称“国家网信办”)有关负责人《网络安全审查办法》答记者问”,以下重点行业领域的重要网络和信息系统运营者构成关键信息基础设施运营者:电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等。

此外,已纳入今年立法计划的《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施范围进行了列举,包含:政府机关和能源、金融、交通、水利等行业领域的单位;电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位。

因此,港口企业和航运科技企业运营的网络平台和信息系统,很可能被识别为关键信息基础设施,企业在运营中收集和产生的海量交通物流数据,包括但不限于重点行业的货物数据、危化品的存储数据、车辆信息、配送信息等,根据数安法和网安法,如果这些数据在经营活动中需要出境,企业谨慎起见应进行出境安全评估。

数据安全审查制度

数安法还规定了数据安全审查制度,对影响或者可能影响国家安全的数据处理活动,有关部门将进行国家安全审查,并且安全审查决定为最终决定【5】。最终决定即意味着企业没有提出行政复议或行政诉讼的机会。数安法中并没有数据安全审查的具体内容。数据安全离不开网络安全,因此网络安全审查内容有一定参照价值。根据《网络安全审查办法》,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下方面【6】:
港航企业在数字化转型中,其必然采购大量网络产品和服务,对其核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务,企业应当进行风险评估,在采购和使用前应采取必要的风险防范措施,在使用过程中应进行风险检测和监控,并制订应急响应措施。如果采购网络产品和服务时预判该产品和服务投入使用后可能带来国家安全风险,企业应当向网络安全审查办公室申报网络安全审查【7】。

今年7月初国家网信办开启了“滴滴出行”网络安全审查第一案,数据安全审查第一案或迟或早也会出现,企业应提早做好准备。我们建议港航企业可以先参照《网络安全审查办法》中的内容进行自查和自我纠偏。

总结

科技赋能港航企业,而数据安全是企业在数字化变革中持续发展的保障。数据既要开发利用,也要有效保护。对企业来讲,数据合规将是一个重要且必不可少的工作,并且可以预见,随着立法的深入和更新,这项工作的内容是动态变化的,我们建议港航企业在数字化转型过程中,应尽早根据自身业务特点构建合适的数据合规体系,以避免踩到监管雷区。企业围绕数据保护建立切实可行的治理架构和规范化流程,是实现长期合规的关键因素。我们也将持续关注,为港航企业数字化转型提供助力。(王华 冯忞 张进 上海瀛泰律师事务所)

[上一篇]    [下一篇]
    暂无记录