企业数据安全保障义务的实现路径

　　近日，广州某公司因开发的“驾培平台”未履行数据安全保护义务被警方处以警告并处罚款5万元。公安机关认为，该公司没有建立数据安全管理制度和操作规程，对日常经营活动采集到的驾校学员个人信息未采取去识别化和加密措施，系统存在未经授权访问漏洞等严重数据安全隐患，遂对其作出行政处罚。这是广东省公安机关首例适用数据安全法作出的行政处罚。该案为平台企业履行数据安全保障义务敲响警钟。网络安全法、数据安全法、个人信息保护法及《移动互联网应用程序信息服务管理规定》等法律法规都明确规定了数据处理者的数据安全保障义务，平台企业作为主要的数据处理者，应当积极主动地履行这一义务，具体可从以下四方面履行数据安全保护义务。

　　建立健全全流程数据安全管理制度和操作规程。具体而言，应建立五方面制度和操作规程：一是制定相关类型的数据保护管理规定，尤其是在重要数据行业，如金融、医疗及自然资源等行业。一方面，明确自身处理数据的安全策略、方针、目标和原则；另一方面，规定企业内部独立的数据监管部门，包括人员组织和具体职责。二是依据相关法律法规建立数据处理的日常管理及操作流程，对相关数据的采集、传输、存储、使用、删除、销毁等环节提出具体要求。三是明确数据访问权限与使用范围，根据“业务必要”原则分别对企业内外部人员配置访问、使用权限及门槛，并实行专门的审批流程。四是规定与外部机构合作的数据处理规程，包括但不限于审查和评估外部合作方的标准，双方在开展业务活动过程中的权责等。五是建立健全数据安全投诉与反馈机制。

　　采取相应技术措施和安保措施，防止数据泄露事件发生。在数据传输阶段，采取技术措施保证数据传输的保密性、完整性、可用性，保证数据使用过程的可追溯性，如加密、签名、校验等一系列机制。同时，传输过程应在构建传输通道前对两端主体身份进行鉴别和认证。在数据存储阶段，采用安全可靠的密码技术或其他保护措施，对存储中的重要数据进行加密；建立存储数据校验、保护、备份、恢复机制，定期进行恢复验证。在数据处理阶段，应采用数据分类、备份、加密、脱敏等措施加强对个人信息和重要数据的保护。在数据销毁阶段，建立数据删除、销毁及介质管理机制，根据介质所保存数据的分级，确定介质回收及销毁要求。

　　发生数据泄露事件后，及时履行通知义务，以防数据泄露造成损害。数据泄露，是指导致意外或非法破坏、丢失、更改、未经授权的披露或访问，传输、存储或以其他方式处理的数据的安全泄露事件。发生这类型事件后，企业应立即采取补救措施防止事件发生和损害扩大化，立即向相关数据监管部门通知数据泄露事件的基本概况（泄露的数据种类、范围、原因及可能造成的损害），数据处理者已经采取的补救措施及数据处理者的联系方式。若因数据泄露事件给个人造成损害的，应将数据泄露事件通知到个人，并向个人提出减轻损害的具体措施。

　　定期组织开展数据安全教育培训。定期开展数据安全教育培训，培养专业数据安全管理人才。提升企业员工整体数字素养。数据作为重要的生产要素，具有巨大的价值。企业构建数据安全保护机制，不仅要依靠专业人才，更需要全体职工配合。

　　（作者单位：山西大学法学院）