数据安全法真的来了,这 6 个“雷区”千万别踩!
2021 年 6 月 29 日,深圳市通过了《深圳经济特区数据条例》,自 2022 年 1 月 1 日起施行;
2021 年 7 月 10 日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》的通知,数据安全纳入网络安全审查;
2021 年 8 月 12 日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》;
2021 年 8 月 20 日,《个人信息保护法》正式颁布,并于 2021 年 11 月 1 日开始正式实施。
如此密集的法规发布,可见数据安全已经成为所有企业和机构需要直面的问题。今日起,《数据安全法》将正式实施,《数据安全法》对于企业在数据传输、存储、流转、销毁等处理活动进行了相关规定,我们总结了几点容易被忽视、可能引起违法的问题。
01 未开展数据安全相关防护
“第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”
具体而言就是未建立数据安全管理制度,未开展安全教育培训,未采取技术措施或将违法。管理制度不能为了制定而制定,需要具有可执行性,否则数据安全防护形同虚设;教育培训是安全常态化工作之一,只有不断的提升安全意识,才能真正提升数据安全防护能力;结合管理制度和数据活动特征,建设相应的技术措施,在保证安全的前提下使用数据。
02 重要数据处理未进行风险评估
“第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。”
风险评估属于事前手段,可有效发现潜在的数据安全风险,应定期开展,并及时向主管单位上报评估报告,对于评估发现的风险应及时进行整改。
03 未经允许向境外提供重要数据
“第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
向境外提供数据的情形包括在境外开展数据处理活动使用境内数据、提供属于管制物项的数据、提供关键信息基础设施数据、向境外执法需要提供数据,均需要进行相关的评估,在获得国家有关部门的允许后才可开展。
04 不具备风险监测和处置能力
“第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”
归纳一下主要是四个方面,即风险监测、补救措施、应急处置和告知与上报,未开展此四项工作,或将违法。
05 未按规定采集和使用数据
“第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”
数据的采集和使用应遵循国家或行业的有关规定,对于超出规定范围的采集和未获得授权的数据使用或将违法。
06 数据交易说不清数据来源
“第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”
数据提供方应说明数据的来源,身份有效且数据来源合法才可进行交易,对于交易应留存相关记录,交易协议中应说明数据使用的目的、范围、时间等关键要素。
面对如何严格的法律要求,企事业单位应如何应对?
提升意识,建立机制
有计划、有目标的开展数据安全培训工作,邀请安全专家、主管单位进行授课或培训,不断加强企业对数据安全的防护意识。同时,建立补救措施、应急处置、风险评估机制,提升数据安全抗风险能力。
明确组织,建章立制
数据安全合规需要法务、IT、安全和业务等部门的共同参与、共同决策,仅靠单一部门将无法开展,必要时可聘请安全领域专家共同参与。组织明确后,方可进行建章立制的工作。管理制度应进行体系化制定和管理,要具有可执行性。管制制度包括认责机制、数据安全各场景、各角色要求、分类分级、数据目录等。
排查违规,加强审计
开展合规排查工作,明确当前数据活动场景下哪些方面存在违规情况。排查过程可以借助敏感数据自动发现、数据资产自动发现、数据协议解析等工具,提升效率和准确率。列出风险清单,并予以整改,同时建立审计机制,确保后期运营中因疏忽而导致发生违规。需要排查的内容包括数据出境、数据采集和使用的合理性、授权完善性等。
技术建设,风险感知
根据自身数据活动特征,建设相应的数据安全技术,保障数据能够安全的使用,同时建设数据安全风险的感知平台,借助大数据和人工智能技术综合提升发现风险的能力。数据安全能力的建设应重点考虑一体化、轻量化的方式,满足数据安全防护要求的同时,尽量减少对业务的影响和额外带来的运维工作。数据安全技术包括数据脱敏、访问控制、数据加密、数据安全运维等。
腾讯安全结合自身安全运营经验及大量客户实践,面向企事业单位提供一体化合规解决方案。根据《数据安全法》的要求,合规工作可归纳为技术建设、排查与整改、管理完善、机制建设四个大类,如下图所示:
腾讯安全合规能力图谱
结合图谱,腾讯安全将违规分析、安全服务、安全产品三方面能力进行整合,直击合规,且力企事业单位完成合规工作。
数据安全技术是实现数据安全防护最直接的手段,腾讯安全将核心的数据安全技术进行融合,包括敏感数据发现、数据安全审计、访问控制、动态脱敏、数据加密存储等技术,形成统一的数据安全能力平台,不仅能够有效的发挥防护作用,同时大量降低了成本投入和集成与维护的工作量,真正实现一次集成,全面管控。
新一代敏捷数据安全平台 CASB
(CASB:Cloud Access Security Broker)
腾讯安全秉承“让数据遵规守序”的理念,联合生态伙伴,共同让数据管理遵循法规,让数据流动遵守秩序,为企事业单位提供一体化、轻量化合规解决方案。
评论