“求木之长者,必固其根本”,随着信息化发展进入大数据新阶段,以及“建设数字中国、发展数字经济”这一国家发展战略的部署实施,数据已经成为国家基础性的战略资源和生产要素,可以说,数据安全是数字中国的“底板”,没有数据安全,数字中国只能是“空中楼阁”。
党和国家高度重视数据安全问题,习近平总书记多次明确要求“切实保障国家数据安全”,中央及有关部门出台系列政策、法规,就加强数据安全保护做出具体部署和规范。特别是今年6月《数据安全法》颁布(9月1日正式施行),与《网络安全法》及将要推出的《个人信息保护法》,共同构成了数据安全法律体系的“四梁八柱”。同时,近两年,监管层动作频频,数据安全和数据合规执法成为新常态,近期的“滴滴事件”等,进一步彰显了决策监管层维护国家数据安全的坚强决心。
当前,国家层面正积极推进依法治数,坚持发展和安全并重。在此形势下,企业作为最主要的数据处理者,挑战和机遇并存,当顺势而为,“保护数据安全、确保数据合规”并举。只有数据安全,才有企业的安全和健康长远发展;只有数据安全、企业安全,才有国家的安全。
一. 国家依法治数,发展和安全并重
党的十九届五中全会提出,要统筹发展和安全,建设更高水平的平安中国。安全是发展的前提,发展为安全提供保障,建设数字中国,同样必须统筹好发展和安全,既对数据活动进行规制,发挥其社会经济价值,又能让数据活动在法律框架内有序运行,避免损害个人、组织合法权益,及国家主权、安全和发展利益。
《数据安全法》通篇体现了发展与安全并重的鲜明导向,特别是设专章对促进数据安全与发展的措施作出规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。作为一部基础性法律,《数据安全法》构建起了国家数据安全管理的框架,明确了管什么、谁来管、怎么管三个基本问题,核心目的是管好,不是管死。
一是管什么,主要管境内的数据处理活动,也管境外的损害我国国家安全、公共利益、公民权益的数据处理活动,并明确数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等,形成了对数据全生命周期的覆盖。二是谁来管,构建了中央国家安全领导机构统筹协调,各地区、各部门各负其责,并依托国家数据安全工作协调机制协同配合的立体化管理体系。三是怎么管,确立了数据分类分级保护、数据安全风险评估监测、应急处置、数据安全审查等六大基本制度,并突出对核心数据、重要数据及数据出境问题的强监管。
据了解,相关部门正在抓紧制定《数据安全法》配套法规、制度,其中有几点值得关注:
一是工作协调机制怎么建?这是国家数据安全管理体系的中枢,根据目前信息判断,工作协调机制将由中央国家安全领导机构统筹,国家网信部门、公安机关、国家安全机关、工业、电信、交通、金融、自然资源、卫生健康、教育等主管部门共同组成,其中国家网信部门、工业和信息化部门、公安机关将在具体管理中扮演重要角色。
二是数据分类分级怎么分?这是整个国家数据安全管理体系的重要基础,从《数据安全法》目前对数据的界定看,预计原则上将分为核心数据、重要数据、一般数据三大级别。其中核心数据是国家数据安全管理的“红线”。国家数据安全工作协调机制将统筹协调有关部门制定重要数据目录,对重要数据进行重点保护,并对其中的核心数据,实行更加严格的管理。
三是风险评估预警机制怎么建?这是整个国家数据安全管理体系的警报器,《数据安全法》第二十二条明确,国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。预计国家数据安全工作协调机制将建设一个信息平台,统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
二.对于企业,机遇与挑战并存
随着数据保护成为社会焦点,国家不断加强对数据安全和合规的监管。从短期看,会对互联网企业的传统发展模式带来一定冲击,但发展是目的,保安全是为了更好地促发展,这是由高速发展转向高质量发展的必由之路。对于企业,要看到危中有机,并善于化危为机。
不管是《数据安全法》,还是将要出台的《个人信息保护法》都设有专章,明确数据处理者的数据安全保护和合规义务。比如《数据安全法》第四章即为数据安全保护义务,规定了开展数据处理活动的相关要求,包括开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应技术措施和其他必要措施,保障数据安全。《个人信息保护法》也明确了个人信息处理的规则,提出个人信息处理者确保信息处理活动合规的十几项义务。从局部、短期看,这些要求肯定会增加企业的经营成本,冲击部分企业的经营模式,但从全局、长远看,有利于提升企业的软实力、竞争力,并优胜劣汰,优化行业整体环境。
从宏观大势看,2015年十八届五中全会已将“大数据战略”上升为国家战略;今年3月出炉的“十四五”规划纲要将“加快数字发展建设数字中国”作为独立篇章阐述;《个人信息保护法》出台已提上日程。国家层面明确鼓励数据在各行业、各领域的创新应用,同时对数据安全的监管已逐步完善和加强。从微观案例看,“滴滴事件”“满帮事件”等已证明保障数据安全、进行数据合规是企业避无可避的职责。
三.数据安全和合规并举,化危为机
数据安全和合规是一项体系化工程,是以数据为中心,在法律框架下,结合自身业务场景,构建可持续运转的安全防护体系,企业可采取如下三步骤进行数据安全和合规建设。
STEP1:搭建数据安全和合规组织架构
企业内部应建立专门的数据安全与合规团队,自上而下建立从决策层到执行层的组织架构,打通不同部门之间的信息壁垒和沟通障碍,达成对数据安全与合规的共识,形成合力,久久为功。
1. 数据合规组织架构
《数据安全法》第二十七条规定,“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”从数据源角度分析,市场上大多数企业都有可能掌握重要数据。因此,建议企业按照法律规定,明确数据安全与合规负责人,并组建专业团队。
企业可建立数据安全与合规委员会,作为数据安全的管理机构。其组成人员不一定需要外部招聘,可由内部各层级、各部门选调合适人员组建而成。委员会的总负责人可由首席数据安全官担任,也可由公司CTO担任。如有必要,亦可由公司CEO担任。委员会成员中至少应具备信息安全、法律、统计、审计、保密等相关专业人才。如果公司处于健康医疗等特殊行业,团队中还应包括医学方面专业人员。
2. 组织职责建设
数据安全与合规委员会的职责应当包括:
l 梳理公司现有数据方面的问题,并进行风险评估;
l 拟定数据安全战略及实施方案,报董事会或股东会审批;
l 监督实施方案的落实情况,每月/季度/半年形成工作报告;
l 制定数据安全相关的规章制度;
l 制定风险处置方案和应急处置方案;
l 制定并组织、实施安全教育培训方案;
l ......
为了确保管理层团队高效高质地运转,负责人需要制定内部协调机制,如召开工作会议的频率、会议内容、决策机制,遇突发情况时的会议召集流程及特殊决策机制,等等。
STEP2:梳理企业数据资产及数据风险
数据已成为企业核心资产和战略资源。企业在构建数据安全和合规体系时,首先梳理出企业所掌握的数据资产,构建细颗粒度数据资产信息,理清数据面临的潜在风险,可为企业数据安全制度建设奠定基础。企业可从如下维度梳理数据资产和潜在风险。
l 梳理适用自身业务的法律法规、监管要求
l 梳理涉及数据的业务场景
l 梳理数据种类、数量、收集方式、使用情况等
l 梳理涉及数据的合作方
l 梳理企业内部现有组织架构在数据保护层面的适用性
l 梳理现有数据安全和合规措施
l 梳理数据面临风险的节点、场景等
STEP3:建立精细化数据安全和合规治理体系
《数据安全法》要求维护数据安全应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。因此企业可从数据分类分级建设、全流程数据处理管理制度建设与数据安全体系建设三个维度展开数据安全体系建设。
1. 数据分类分级建设
数据分类分级保护制度既是国家层面的顶层设计,国家重点保护可能危害国家安全、公共利益或个人、组织合法权益的数据,又是企业建立自身数据安全保护制度的基石。依照企业所属不同行业,根据国家、地方行业标准或部分行业已出台的参考标准,对企业数据进行分类分级,实现差异化精准化的安全防护。
1. 数据分类原则及维度----
l 业务类别维度
l 数据产生方式维度
l 数据来源维度
以医疗行业为例,展示特定行业数据分类分级标准:
l 个人属性数据,如姓名、性别、出生日期、电话号码等
l 健康状况数据,如现病史、既往病史、体格检查等
l 医疗应用数据,如门(急)诊病历、用药信息等
l 医疗支付数据,如医疗交易信息、保险信息等
l 卫生资源数据:医院基本数据、医院运营数据等
l 公共卫生数据:如卫生环境数据、传染病疫情数据等
2. 数据分级维度及级别变动----
l 敏感程度
l 影响程度
l 影响范围
l 级别变动
以医疗行业为例:
l 可完全公开使用的数据,如医院名称、地址等,可直接在互联网上向公众公开。
l 可在较大范围内供访问使用的数据,如不能识别个人身份的数据,各科室医生经过申请均可用于研究分析。
l 可在中等范围内供访问使用的数据,如经过部分去标识化处理的数据,仅限于获得授权的项目组范围内使用。
l 在较小范围内供访问使用的数据,如可直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。
l 仅在极小范围内且在严格限制条件下供访问使用的数据,如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需进行严格管控。
2. 全流程数据处理管理制度建设
数据处理安全体系建设围绕数据全生命周期而展开,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、销毁等环节。因不同环节面临的数据安全威胁不尽相同,存在的风险亦不尽相同,因此企业可将每个环节作为切入点,采取侧重点不同的安全合规措施。
1、数据收集安全措施
指为确保企业自行收集或从第三方获取数据过程的合法合规及安全,而采取的一系列安全措施,可从以下侧重点入手:
l 明确数据收集的原则和方法;
l 明确数据来源,确认外部数据源合法性;
l 明确数据收集范围、数量及频率,确保不收集与所提供服务无关的个人信息或数据;
l 明确收集个人信息或数据的知悉范围,确保收集过程中数据不被泄露;
l 根据统一的数据收集流程建设相关工具,确保收集流程的一致性并对数据收集授权过程完整记录、保留日志。
·
·
2、数据存储安全措施
l 指围绕数据存储介质而采取的安全措施,可从以下关键点入手:
l 在数据分类分级基础上,明确各类数据存储系统的账号权限、访问控制、日志管理、加密管理等要求;
l 建立存储系统或平台,实现对账号、权限、安全基线的管理;
l 建立存储介质管理系统或平台,对购买、标记、审批、入库、出库等操作进行安全管理;
l 对于内部数据与外部数据的存储系统均应进行有效的安全配置;
l 确保具备多用户数据存储安全隔离能力。
3、数据使用、加工安全措施
企业使用原始数据或对原始数据进行汇聚融合,或对数据进行分析、计算等,要确保不侵犯他人权益,确保数据不被泄露或流失,可从以下几方面着手采取安全措施:
l 明确列出需脱敏的数据资产,在分类分级下建立数据脱敏处理流程;
l 确保数据分析目的、分析操作等方面的正当性、合法性;
l 按照最小必要性等原则建立数据正当使用的评估制度;
l 为数据处理环境建立安全保护机制,在数据处理环境的系统设计、开发与运维各阶段制定相应的安全控制措施;
l 建立数据导入导出安全制度与审批流程。
4、数据传输安全措施
数据传输过程中很容易发生数据泄露或数据被窃取,企业可从如下方面着手安全措施的建设:
l 建立传输通道两端的身份鉴别功能;
l 在数据分类分级基础上,明确对不同类型、级别的数据加密传输要求,应包含对数据加密算法要求及密钥管理要求;
l 梳理数据及传输接口,形成接口清单,建立接口调用日志记录。
5、数据提供安全措施
公司内部及关联公司间不可避免因业务需要而共享数据。公司对外部组织提供数据,以及通过合作方式与合作伙伴交换数据时,应当严格执行共享数据的安全风险控制,以降低数据共享场景下的安全风险。
l 明确数据共享原则与安全规范、管控措施,及涉及机构或部门职责和权限;
l 明确数据提供者与共享数据使用者的数据安全责任与安全防护能力;
l 明确数据共享中审计规程和审计日志的管理要求,对数据共享过程进行监控审计;
l 确保个人信息在委托处理、共享、转让等对外提供场景的安全合规。
6、数据公开安全措施
篇幅所限,日后单独行文。
7、数据销毁安全措施
篇幅所限,日后单独行文。
3. 数据安全体系建设
数据安全指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,企业保障数据安全可从以下几方面着手,打造数据安全的闭环系统。
1、数据安全目标制定
结合数据全生命周期的各项安全要求及企业各业务场景安全需求,以零信任安全为原则,制定有针对性的数据安全目标,比如防止数据泄露、防止数据被滥用等以终为始,以始为终,实现对企业数据资产的安全防护。
2、数据等级保护制度建设
依前所述,企业建立数据分类分级体系后,按照重要性、敏感程度等将企业数据划分到不同级别中,不同级别采取不同的安全防护措施。具体可参考如下维度:
l 核心数据安全
l 重要数据安全
l 其他数据安全
3、数据安全事件应急处理机制
国家将建立数据安全应急处置机制,在发生数据安全事件时,有关部门启动应急预案,采取应急处置措施,相应企业也应当建立数据安全应急处置机制,一旦发生数据安全事件,企业尽可能采取补救措施,防止危害扩大,既能降低企业自身损失,也是监管要求。
4、数据安全事件事后复盘完善
数据安全事件可能造成不同的后果,如果影响到国家安全、社会利益,国家主管部门也会介入予以止损,企业在数据安全事件后组织各部门人员进行复盘分析,总结经验教训,沉淀应急手段,继续完善相应的应急预案。
5、定期风险评估
数据安全事件应急处置机制是针对极端情况下的措施,但一旦发生安全事件,损失将必不可免,因此更优的选择是企业定期开展风险评估,尽可能做到防患于未然,将安全事件扼杀在苗头中。《数据安全法》已明确提供数据处理相关服务应当取得行政许可,此举支持第三方机构开展数据安全的风险评估服务,因此企业亦可委托第三方机构开展风险评估。
结语
在当前形势下,对于企业,维护数据安全,确保数据合规不是“选择题”,而是“必答题”,更是发展壮大的稳定器,当顺势而为,趋利避害,安全和合规并举。
参考文献:1.《中华人民共和国数据安全法》2.《中华人民共和国个人信息保护法(草案)》3.《信息安全技术-健康医疗数据安全指南》(GB/T 39725-2020)4.《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019 )5.中国信通院《数据安全治理实践指南(1.0)》6.《绿盟科技数据安全白皮书2.0》