十五五规划第十四篇——推进国家安全体系和能力现代化,其中专门强调"强化网络安全和数据安全"。
对企业来说,数据安全不再是"IT部门的事",而是关系到企业能不能正常经营、会不会被罚款、甚至会不会被追究法律责任的事。
一、三法并行——企业的"数据合规三座大山"
| 法律 | 核心要求 | 最高处罚 |
|---|---|---|
| 数据安全法 | 建立数据安全管理制度、数据分类分级、数据安全风险评估 | 1000万元罚款+停业整顿 |
| 个人信息保护法 | 告知同意、最小必要、个人信息影响评估、数据主体权利保障 | 5000万元或上年营收5% |
| 网络安全法 | 等级保护(等保2.0)、网络安全应急预案、网络日志留存 | 100万元罚款+关闭网站 |
二、数据分类分级——合规的"第一步"
《数据安全法》要求企业建立数据分类分级制度。简单说就是:把你的数据分成"核心数据"、"重要数据"、"一般数据"三个等级,不同等级采取不同的保护措施。
对企业来说,首先要搞清楚:你的企业有哪些数据?哪些属于"重要数据"?
- 重要数据通常包括:用户个人信息超过100万条、行业关键数据、涉及国家安全的数据等
- 一般数据:日常经营数据、公开数据等
- 十五五规划提出"构建全国数据资源一本账",数据分类分级是前提
三、个人信息保护——AI企业的"雷区"
如果你做AI、做数据分析、做精准营销,个人信息保护是你绕不开的合规门槛。规划虽然鼓励数据流通,但数据安全和个人信息保护的要求不会降低。
核心合规要点:
- 告知同意——收集个人信息前必须告知用途并获得用户明示同意
- 最小必要——只收集实现目的所必需的最少信息
- 数据脱敏——AI训练用数据必须脱敏,不能直接使用原始个人信息
- 影响评估——处理敏感个人信息的,必须事先进行个人信息保护影响评估
四、数据出境——出海企业的"必答题"
规划提出"推进数据跨境流动制度建设"。目前数据出境的主要合规路径:
- 数据出境安全评估——向境外提供重要数据或大量个人信息的,需通过国家网信办组织的安全评估
- 标准合同——与境外接收方签订标准合同,并向网信部门备案
- 个人信息保护认证——通过专业机构的个人信息保护认证
规划提出优化数据跨境流动制度,意味着未来合规路径可能更加简化,但目前仍需要严格遵守现有规定。
踩坑提醒
踩坑1:以为"数据要素政策"和"数据安全法规"互相矛盾
不矛盾。数据要素政策鼓励数据流通,数据安全法规规范数据使用。合规是流通的前提。企业要建立"安全合规的数据管理体系",而不是把两者对立起来。
踩坑2:觉得罚款离自己很远
个人信息保护法规定的最高罚款是5000万元或上年营收的5%——对做数据业务的中型企业来说,一旦被罚可能直接导致企业倒闭。合规不是"可有可无"的选项。
如需了解贵企业的数据合规现状和整改方案,欢迎联系新每创进行免费诊断。
