×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
 
[摘要]在强监管背景下,企业应当如何有效地进行数据安全的制度化建设

前篇文章中,笔者团队就强监管背景下企业数据合规如何实现规范化运作进行了简单的梳理,本篇则将着重分析:在强监管背景下,企业应当如何有效地进行数据安全的制度化建设


目前《数据安全法》已经将“数据分类分级保护制度”上升至国家层面,并确立了重要数据保护、数据安全审查、数据安全管理、风险监测等多项制度等基本制度(相关制度概述如图1所示)。


640 (4).png


(图1 数据安全的制度概述)


其中,数据分类分级保护制度及与此相对应的重要数据保护制度对企业数据管理而言至关重要,企业在开展数据合规时首先应当明确上述制度的内容,并以上述制度为指引对数据进行具体管理。除上述制度外,在个人信息保护领域,《个人信息保护法》对个人信息处理者明确提出了开展个人信息保护影响评估的要求,企业如何开展个人信息保护影响评估亦是企业合规要点。下文将围绕上述三个制度的具体内容进行详细论述。


   数据分类分级保护制度   


1、 数据分类分级保护的意义


(1)保障企业数据安全


通过落实数据分类分级,企业可以明确自身拥有哪些数据、数据存储的位置、数据处理的权限、不同数据的价值和风险等,使得企业对数据的使用及保护更加有迹可循,并指引企业针对性地采取适当、合理的管理手段和安全防护措施,确保数据资产管理安全。


(2)促进企业自身发展


通过落实数据分类分级,可以帮助企业在数据利用前期就做好规划,有利于后期更有效且高效地处理及保护数据,提升运营效率。同时,在大数据、人工智能、云计算等新型技术深入应用背景下,数据资产的精细化管理将成为企业业务优化的发力点或突破点,凸显企业的竞争力


2、数据分类分级的操作指引


640 (5).png

(图2 数据分类分级操作指引)


640 (6).png

(图3 数据分类规则)


数据分类是指根据数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程。数据分类是数据资产管理的第一步,是实现集中化、专业化、标准化数据管理的基础。一方面,将具有相同属性或特征的数据归集并形成不同的类别,能够更好地管理和使用数据;另一方面,将数据进行分类能够更好地应对不同领域乃至不同行业出台的、有差异的信息安全保护标准和措施。


企业应优先遵循国家、行业的数据分类要求,参考《网络安全标准实践指南——网络数据分类分级指引》等规定中提出的分类、分级标准。在此基础之上,企业还可按照自身实际经营情况确定分类依据,如可以按照组织经营维度进行数据分类,包括用户数据、业务数据、经营管理数据、系统运行和安全数据等。

640 (7).png

(图4 数据分级规则)


640 (8).png

(图5 数据定级流程)


数据分级是指在数据分类的基础上,以数据的重要性和敏感度差异为依据,按照一定的分级原则对其进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。从上述图表内容来看,《网络数据分类分级指引》建议从数据安全保护的角度,考虑影响对象和影响程度两个要素进行分级。按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为 1 级、2 级、3 级、4 级共四个级别。对于重要数据、核心数据两大类别,将其独立设置成单独级别进行管理。


 例如,企业可依据以下标准针对一般数据可进行1-4级分类:

640 (9).png

(图6 企业数据分级参考)


企业在完成数据分类、分级工作后,应当形成数据目录及文字版的数据分类分级管理制度,并在实际经营过程中依据数据目录及上述制度,对不同类型、不同级别的数据采取差异化的保护措施(如对敏感数据进行脱敏、对高等级数据进行加密、采取数据使用权限管控等措施等)。同时,企业还应当对自身数据情况进行持续监控与维护,并对数据分类分级制度进行不断更新。


   重要数据保护制度   

640 (10).png

(图7 重要数据保护制度概述)


1、重要数据目录的制定


对企业而言,应当按照数据分类分级保护制度,确定企业重要数据具体目录,并对列入目录的数据进行重点保护。

640 (12).png


2、数据安全审查


依据数据安全审查制度,国家将对影响或者可能影响国家安全的数据处理活动进行国家安全审查。企业应当对此类数据予以关注。

640 (13).png


3、重要数据出口管制


国家将对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,企业对此应当注意。

640 (14).png640 (14).png

4、重要数据的识别备案


重要数据的处理者应当在识别其重要数据后履行备案义务,具体备案机制及备案内容如下表所示。

640 (15).png


5、三级等保要求及密码保护

640 (26).png


6、重要数据应急处理机制


重要数据的处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,并履行相应的义务。

640 (17).png


7、重要数据风险评估制度


重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估相关的具体事项如下表所示。

640 (18).png


8、数据安全负责人和管理机构


企业应当在内部设立数据安全负责人和管理机构。

640 (19).png


9、安全教育培训

640 (20).png


10、重要数据处理者合并、重组、分立的报告义务


重要数据处理者在合并、充足、分立等情形下应履行特定的报告义务,具体事项如下表所示。


   个人信息保护影响评估制度   

640 (22).png

(图8 个人信息保护影响评估制度概述)



1、评估情形


《个人信息保护法》和其他法律规范规定了必须开展个人信息保护影响评估的场景,具体如下表所示。

640 (23).png

2、评估内容

640 (24).png

3、评估流程

企业进行个人信息保护影响评估可从如下角度展开:


640 (25).png


除上述内容外,企业还需要注意,个人信息保护影响评估报告和处理情况记录应当至少保存三年。实施个人信息安全影响评估是企业对个人信息主体权益予以保护的有效举措,企业可通过影响评估,持续完善己采取的个人信息安全控制措施,完善公司内部的合规体系。


企业数据安全合规管理与法律法规的颁布及修订紧密相连,面对数据安全的新态势、新要求,企业在继续做好原有业务的同时,也应当持续关注数据安全合规的内容。


落实数据安全的各项制度建设,是企业进行数据合规管理的第一步。在此基础上,企业应当进一步落实数据处理各个流程中的合规管理。对此我们将会在后续两篇文章中作进一步探讨,敬请关注。




2024 ©上海市光大律师事务所 | 免责条款 | 律谷科技出品