亚马逊云科技中国峰会 | 《数据安全法》的实施对企业的影响

问：是否对企业的正常业务带来了致命的影响？

答：否。

• 相反，通过依法保护数据安全来保护企业的业务可持续发展。
  
• 不要焦虑，不要猜想，安心、正常开展业务。

• 如果你是重要数据处理者，关基数据处理者，要增加数据评估等措施。
  
• 如果你涉及数据出境，遵从网安法和未来的“数据安全保护条例”。
• 如果外国司法执法机构要求你提供存储于境内的数据，不得提供。
  
• 除以上情况，其他数据处理活动大可一如既往地放心处理。
  

• 无论网安法还是数据安全法，从来没有禁止数据跨境的条款要求。
• 相反，数据安全法第十一条：“促进数据跨境安全、自由流动”。
• 只不过，数据跨境需要评估风险，采取必要安全措施而已。
• 不得向外国司法执法机构提供存储于境内的数据。
  
  

• 数据安全法第三十五条：公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。
  
• 数据安全法第四十八条：违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令整改，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

• 采取怎样的措施，以满足数据安全、个人隐私保护、个人信息保护等相关法规、标准、规范的要求，由企业自主决定。
  
• 不需要因重建IT/ICT而增加成本。

• 没有《数据安全法》，企业的安全策略和措施也要不断的改变，即持续改进。
  

• 根据《数据安全法》中的相关要求，企业需要做的一些策略和措施，可以查漏补缺，如：

国家安全审查策略（第24条）

数据出口策略（第25条）和数据出境策略（第31条）

建立健全全流程数据安全管理制度（包括数据分级分类）（第27条）

企业数据安全教育培训策略（第27条）

数据安全保障技术（第27条）和应急措施（第29条）

网络安全等级保护策略（第27条）

明确数据安全责任人和管理机构（第27条）

重要数据安全风险评估策略（第30条）

执法机关调取数据策略（第35条，第36条）

• 抓住重点，解决主要矛盾。

• 文化的理解和适应。