建 议 人：

蔡睿徽

建 议 号：

007

　　（一）调研背景 　　数据作为企业的重要资产，包括客户信息、财务数据、战略规划等重要信息，这些敏感性数据一旦发生泄露或被篡改都将对企业造成巨大的损失。据IBM安全发布的《2023年数据泄露成本报告》显示，2023年数据泄露的全球平均成本上升至445万美元，达到历史新高，比2022年的435万美元增加了2.3%，比2020年的386万美元增加了15.3%。因此无论是基于对企业自身数据安全考虑，还是为保护客户隐私，维护企业商誉和声誉，以及为了满足国家、行业的相关法律法规要求，企业数据安全治理都势在必行。 　　（二）调研目的 　　本次调研的目的：通过梳理近期发生的国内外典型的企业数据安全案例总结企业数据安全面临的问题，通过梳理现有的企业数据安全的相关法律法规分析现行数据安全法律规范保护体系的不足之处。 　　（三）调研结果 　　1.企业数据安全案例 　　（1）江苏某幼儿园因WPS内学生信息未单独加密及专用账户等被公安机关警告。 　　2023年8月26日，江苏公安执法公示平台公开了一份由江苏省邳州市公安局开具的行政处罚决定书（下称“决定书”），江苏某幼儿园因WPS内学生信息未单独加密及专用账户等被公安机关警告。 　　2023年8月22日10时许，邳州市公安局运东派出所民警陈磊、彭廷在检查工作中发现，邳XXX幼儿园在电脑WPS软件内储存学生姓名、身份证号码等信息时，未采取设置单独密码保护、个人专用账户等安全技术保护措施，不能有效的防止该系统储存信息泄露、丢失，不能确保其收集的个人信息安全。 　　（2）淮安足浴会所因未制定数据安全管理制度被责令整改。 　　2023年8月16日，江苏公安执法公示平台公开了一份由江苏省淮安市公安局淮阴分局西坝派出所开具的行政处罚决定书（下称“决定书”），一家足浴店因未采取必要数据安全保障措施等被责令整改、警告。 　　决定书显示，8月16日，西坝派出所的两位民警依法对一家名为六指情魔的足浴会所进行检查，发现该场所的电脑存储有顾客姓名、手机号码、身份证号码等敏感数据且未设置密码，未制定数据安全管理制度，未采取必要措施保障数据安全。为此，西坝派出所根据我国《数据安全法》相关规定，决定对该足浴会所处以责令整改、警告的行政处罚。如不服决定，经营者可在收到决定书之日起六十日内申请行政复议或者在六个月内依法提起行政诉讼。 　　（3）南昌高校发生数据泄露，被罚款80万。 　　2023年8月21日，南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定，对该学校作出责令改正、警告并处80万元人民币罚款的处罚，对主要责任人作出人民币5万元罚款的处罚。 　　南昌公安网安部门立即开展一案双查，成功抓获犯罪嫌疑人3名。同时，对涉案高校不履行数据安全保护义务违法行为开展执法检查。经查，涉案高校在开展数据处理活动中，未建立全流程数据安全管理制度，未采取技术措施保障数据安全，未履行数据安全保护义务，导致学校存储教职工信息、学生信息、缴费信息等3000余万条信息的数据库被黑客非法入侵，其中3万余条教职工、学生个人敏感信息数据被非法兜售。 　　（4）特斯拉公司数据泄露。 　　2023年8月21日，根据美国缅因州总检察长办公室在上周五发布的通知，特斯拉公司在今年5月份发生的数据泄露事件影响了逾7.5万人，其中包括与员工相关的记录，这起事件源自“内部员工的不当行为”。 　　特斯拉在8月18日向受影响者发送的一封附有数据泄露通知的信函副本显示：“一家外国媒体(德国商报)在2023年5月10日通知特斯拉，它已经获得了特斯拉的机密信息。调查显示，两名特斯拉前员工违反了公司的IT安全和数据保护政策，盗用了这些信息，并将其分享给媒体(德国商报)。” 　　结合案例，当前企业数据安全面临内部风险和外部攻击两种。内部来看，员工的不当行为可能导致数据泄露，如员工泄露账户密码、未经授权下载敏感数据等；外部看来，黑客攻击是企业面临的主要威胁之一。目前外部黑客攻击是现实社会数据遭受损失的最大来源，黑客可以通过各种途径入侵企业的网络系统，获取机密信息或者破坏企业的运营。此外，还有病毒和勒索软件等恶意软件也是企业常见的威胁。 　　从案例发生地区来看，虽未列举苏州本地情况，但从部分苏州企业内部沟通来说，每年遭受的网络攻击数量也不少，但得益于苏州市和行业协会等机构的经验，很多苏州企业在数据储存方面都优先选择了在数据行业内有领先地位的服务公司，例如联想云、阿里云等保护等级极高的数据储存企业，同时，苏州市在网络安全上的提前布局，也间接减少了苏州企业遭受网络攻击的几率，包括这两年苏州市政府引入的天翼安全科技有限公司，三六零安全科技股份有限公司。 　　2.企业数据安全相关法律法规 　　（1）国家层面：《网络安全法》、《数据安全法》、《关键信息寄出设施保护条例》、《网络数据安全管理条例（征求意见稿）》、《关于构建数据基础制度更好发挥数据要素作用的意

　　（一）企业数据安全保护体系构建的相关法律规定的不足。我国直接规制数据安全的两部基础法律已于2021年生效，这对中国企业以及业务涉及中国的跨国公司产生重大影响。《数据安全法》和《个人信息保护法》对此前《网络安全法》中的数据本地化、数据跨境和数据保护等提出了具体要求。就企业数据合规的实施指导而言，当前的法律法规尚存在以下几个方面的不足：数据合规相关法律制度分散、相关法律制度用词模糊、尚未出台专门的数据合规法律或法规。 　　（二）企业数据安全保护体系构建中的监管不足。当前，涉及数据合规的执法机构职权交叉、边界不清，对网络安全、数据安全和个人信息保护形成了多头监管的局面。目前监管机构主要有公安部门、网信部门、电信部门、工商部门和行业监管部门。整体而言，涉及数据的监管职责纵横交错，企业进行数据合规需要应对不同的监管机构，一方面会不利于企业构建科学高效的数据合规体系，另一方面也会给企业利用数据创新业务模式造成障碍。 　　（三）企业数据安全保护体系构建中的司法难题。一旦发生数据安全事件，如何取证和认证成了棘手的问题。个人数据是重要的保护对象，也是行政执法的重点，但是在具体法律适用和损失认定上也面临挑战。 　　

　　（一）持续完善数据安全法规政策体系。建议苏州市司法部门牵头成立专职小组，加快研究制定重要数据识别、数据安全风险评估、数据安全应急处置等政策标准，完善《数据安全法》的落地实施制度。推动行业领域研究制定数据安全管理政策和配套规范，推动建立数据分类分级、重要数据识别、数据安全监测预警、应急处置等工作机制。围绕个人信息可携带权、个人信息去标识化、敏感个人信息保护等完善个人信息保护实施标准或指南。 　　（二）协调数据合规执法机构职责。在数据合规监管职责划分上，应不断明确和强调各监管机构的主要监管目标和任务，在发生职权竞合时方能理性回归行政执法权的初衷。执法部门应梳理企业数据安全的监管重点和企业清单，根据立法对执法部门的授权厘清各自涉及数据安全的监管和执法重点，建立相应的执法清单，避免职权交叉；对涉及案件出现跨部门情况的，建议由政法委牵头成立专案小组进行综合执法，实现资源共享，跨部门合作； 　　（三）司法实务中，数据相关案件不断呈现，出现了包括数据权益的权属判断、数据产品的法律属性及其保护、数据爬虫行为的认定、平台算法自动化决策和算法歧视等新型案件类型，给司法审判带来新的挑战。这需要从完善数字证据收集和保全制度、加强案例类型化研究和完善对损失的认定这两个层面提升，建议政法委授权公安网信部门在案件调查阶段充分拥有信息调用权，苏州市大数据局提供配合，同时由苏州市检察院派员参与监督执法过程，为后续的公诉提供公平公正的证据，同时确保信息在可掌控范围无外泄可能； 　　（四）提升重点行业数据安全防护能力。建议由苏州市大数据局起草研究重要数据识别规范，推动行业领域建立重要数据动态识别机制，梳理形成重要数据目录。同时请民政局社会组织管理处、发改委等主管部门协同推动针对数据收集、存储、传输、使用等环节的安全风险，推动行业领域的重要数据处理者落实主体责任，健全数据安全管理制度，完善覆盖数据全生命周期的数据安全技术保障手段，加强监测预警、态势感知、信息共享、应急管理、追踪溯源等安全能力建设。 　　（五）加快探索数据要素安全治理机制。鼓励各行业主管部门引导各机构部门探索数据确权及收益分配制度，促进数据价值的合理分配，保护各类数据权利主体的合法权益。聚焦数据供给、流通交易、数据使用等数据流通利用重点活动及典型场景，针对活动中的主体、对象（数据）、行为、基础设施等内容，研究提出数据要素安全制度和规则。结合数据分类分级工作，研究探索数据交易的负面清单及安全保障技术要求。 　　（六）加强数据安全人才培养机制建设。建议科教文卫委员会不断健全高校人才培养体系，鼓励和支持高校在专业设置、师资配备、招生规模等方面向网络安全与数据安全人才倾斜。市场监督管理局应引导和鼓励发展市场化数据安全培训机构，应联合苏州市大数据局、公安网信部门共同制定数据安全职业培训标准，完善数据安全培训课程，健全数据安全职业培训体系。支持以人才培养、人才能力测试评估等为目标的网络靶场等基础设施建设，推动数据安全人才在实际场景中提升技能。 　　

承办单位：