共计 4456 个字符,预计需要花费 12 分钟才能阅读完成。
随着大数据、云计算、人工智能等新兴技术在数字经济中宽泛使用,数据因素已成为引领中国高质量倒退的一个新引擎。但随之而来,数据的分布式存储、多渠道流转、多业务共享已成为常态,数据流动场景复杂性增大,新的信息安全危险点由此延长。
与此同时,我国的数据安全也迈入了强监管时代。《网络安全法》《数据安全法》《个人信息保护法》等法律陆续出台,健全了我国数据安全法律法规矩阵,构建了我国网络空间治理和数据保护的基本法,对企业的数据收集以及应用等各环节,做出了明确标准和要求。
在此背景下,企业数据合规也面临着更高的要求。
那么,什么是企业数据合规?
企业数据合规是指企业对数据采取的行为合乎所在地与业务关联地法律法规的要求。企业从数据的收集、解决、贮存,到转让、删除、销毁,都须要按照相干法规来执行。
做好数据合规,能帮忙企业防止关法律危险,促成企业良性倒退;同时也能确保企业能够继续、非法的应用相应的数据,以及领有相应数据产品的财产权利,帮忙企业保护好数据资产。
01、数据合规监管框架
要做好企业数据合规,咱们首先须要理清以后的数据合规监管框架。
从次要的法规、监管政策公布施行工夫来看,自 2019 年起,数据合规和爱护逐步进入到强监管的时代。
2013 年的《电信和互联网用户个人信息爱护规定》就个人信息的收集和应用标准以及企业须要采取的平安保障措施作出专章规定,其中确定的大部分准则连续至今。
2017 年,《网络安全法》开始施行,该法作为网络安全畛域的第一部法律,在网络运行平安和网络信息安全方面提出了数据保护和个人信息爱护的要求。
2019 年初,工信部、网信办、公安部、市场监管总局独特以一则《发展 APP 守法违规收集应用个人信息专项治理的布告》启动了继续到当初的专项整治口头。
2020 年 10 月 1 日,市场监督总局和国家标准委员会联结公布了 GB/T35273-2020《信息安全技术集体信息安全标准》,从数据处理全流程的流动准则和平安要求上作出全面规定。
2021 年 1 月 1 日施行的《民法典》则是从根本法律的高度上明确了个人信息受法律爱护。
2021 年 8 月 1 日,最高院《对于审理应用人脸识别技术解决个人信息相干民事案件实用若干问题的规定》成为第一个针对特定个人信息(人脸)爱护作出的司法解释。
2021 年 9 月 1 日,确立数据安全及治理根本框架的《数据安全法》施行。
2021 年 11 月 1 日,针对个人信息爱护的《个人信息保护法》施行。
另外,公安部 2019 年公布的《互联网集体信息安全爱护指南》、信标委 2020 年 7 月公布的《网络安全规范实际指南——挪动互联网应用程序 (APP) 收集应用个人信息自评估指南》、9 月公布的《网络安全规范实际指南——挪动互联网应用程序 (APP) 个人信息爱护常见文集及处理指南》也是常常被提及和参考的一些文件。
上述文件,独特构筑了当下数据合规的监管框架。
02、常见的数据合规危险类型
进犯个人信息
大数据技术的倒退给生产生存带来了便当,但如若滥用技术、适度收集和应用集体数据,会造成对个人信息的进犯,触发数据合规问题。这一危险景象在一些 APP 中时有发生,比方一些 APP 会应用默认受权的形式来强制用户批准 APP 对其个人信息的收集、或是要求开启与其服务无关的权限。
2021 年 5 月 1 日施行的《常见类型挪动互联网应用程序必要个人信息范畴规定》(以下简称《规定》)对此做了相应标准与界定,明确了 39 种常见类型 App 必要的个人信息收集范畴,同时要求 App 不得因为用户回绝提供非必要个人信息而回绝用户应用其根本服务。
进犯消费者权利
这一危险次要存在于企业的数据利用阶段,比方常见的“大数据杀熟”景象,同样的商品或服务,老客户看到的价格远高于新客户的价格。这一景象本质上是企业对大数据算法等技术手段的滥用。
对此,相干机构也出台了明文规定:文化和旅游部在《在线游览经营服务治理暂行规定》中要求在线游览企业不得滥用大数据分析进犯旅游者的合法权益;市场监管总局公布了《对于平台经济畛域的反垄断指南》征求意见稿,力求进一步增强对互联网平台不偏心价格行为的监管。
进犯商业秘密
商业秘密数据是指对企业生产倒退和竞争力具备重要价值的企业数据,如客户资料、生产数据等。企业既存在着商业数据机密被别人进犯的危险,也存在着进犯别人商业数据机密的危险。比方一些企业利用把握其余企业商业数据机密的员工跳槽所带来的相干数据进行业务拓展,或者利用尚未公开的技术数据进行新产品开发等,都存在进犯商业秘密的危险。
进犯计算机 / 信息网络违法犯罪
企业数据危险不仅包含民事上的涉诉危险,还可能使企业及管理层面临刑事责任危险。
例如“爬虫”是企业高效提取并利用数据最罕用的网络信息搜寻技术,但若“爬虫”行为未在法律框架内施行,则可能给企业带来重大的刑事结果。如在数据获取环节,利用“爬虫”非法获取其余计算机信息零碎中存储、解决或者传输的数据的,可能涉嫌“非法获取计算机信息零碎数据罪”;烦扰其余网站失常经营,或者成心制作、流传病毒等破坏性程序,影响计算机系统失常运行的,可能形成“毁坏计算机信息零碎罪”。
违反网络安全爱护或信息网络安全治理任务
数据安全问题始终以来都是用户关怀的重点,也是企业该当重点关注的事项。在信息网络安全治理方面,如企业作为网络服务提供者不履行法律法规规定的信息网络安全治理任务,经监管部门责令采取改过措施而拒不改过导致守法信息大量流传、用户信息泄露等的,则可能形成拒不履行信息网络安全治理任务罪。
数据跨境流动合规危险
企业若未经国家相干部门批准而将数据擅自传输至国外也可能面临形成《刑法》中国家平安立功的危险。《评估指南》和《评估方法》中也均要求可能影响国家平安、经济倒退、公共利益的数据在入境前应先报请行业主管或监管部门组织平安评估。
《网络安全法》第六十六条规定了要害信息基础设施的运营者守法在境外存储网络数据或者向境外提供网络数据的,将由无关主管部门进行行政处罚或对主管人员处以罚款。除了《网络安全法》、《数据安全法(草案)》等数据安全专门法律法规的规定之外,一些业余畛域方面的法律规定中也对数据跨境流动进行了限度,若未留神可能会受到相应的行政处罚。
03、企业如何做好数据合规?
- 建设数据合规框架体系
一个齐备、高效的外部合规治理组织体系,是做好企业数据合规的根底保障。
企业能够以“专家 + 工具”模式,根据国家法律法规、下级监管部门、国标行标及企业外部数据安全相干要求,围绕数据生命周期各环节中数据采集、传输、存储、应用、共享、销毁的数据分布、数据分类分级、业务场景、数据流转环节及管控措施等详情开展梳理、收集与剖析,把控各个节点的法律危险,并对应提出相应合规计划。
在工具层面,亿信华辰的数据治理产品睿治就是一个辅助保障数据安全合规的优良工具,它将数据安全治理贯通于数据治理全过程,能够提供对隐衷数据的加密、脱敏、模糊化解决、数据库受权监控等多种数据安全治理措施,全方位保障数据的平安合规运作。
同时,在企业横向层面,企业各个部门都该当建设数据合规管理制度,清晰各职能部门、各工作人员的责权利,让合规要求落实到每个环节及责任人,使相应的制度具备约束力和警示作用。
此外,还需建设一个常态化的合规策略体系,使平安合规继续同步法律法规要求及业务倒退须要,造成从制订打算、评估平安、执行解决方案、到总结经验的数据安全闭环治理流程,使数据安全合规建设对症下药、平安标准规范落地、平安能力循序晋升。
在构建企业合规体系时,须要留神的是企业数据安全合规治理组织体系应是与企业现有管理体系高度交融的,不是重整旗鼓,否则老本过高且难以失常运行。而且,数据安全合规重点是因人而异的,即不同行业、不同服务对象、不同规模的企业重点不同,在合规治理组织体系建设中也应充沛联合企业特色突出重点、管好难点,并且与企业其余合规要求协调同步,彼此增益。
- 建设企业数据安全能力
要做好数据合规,离不开建设欠缺的数据安全技术体系,围绕数据合规的各项要求,建设与制度流程相配套并保障无效执行的技术和工具。
企业在进行数据安全技术体系建设时,需从数据安全治理、数据安全防护、数据安全监测与审计三方面来增强能力建设。
(1)数据安全治理能力
数据安全治理是指实现数据安全治理流程、策略、标准及数据资产的电子化、信息化治理。
企业须要对重要数据、敏感数据进行全面排查梳理,并依据业务须要对不同角色接触、解决数据的权限进行梳理。针对不同的拜访需要,标准数据拜访权限,并严格记录拜访状况,实现外部数据操作行为的无效管制与监管。同时也要装备各环节相应的应急处理机制,一旦产生安全事件,确保企业有欠缺的应急预案和应答解决机制,避免事态进一步扩充。
(2)平安防护能力
企业需建设数据全生命周期的平安防护能力,如数据加密、脱敏、数字水印、访问控制、数据防泄露等,撑持数据安全管理工作的落地执行。平安防护能力的建设次要可从以下三个方面来切入。
①脱敏流转。即在数据应用流转过程,遵循数据最小应用准则,去标识,去隐衷,实现数据的平安高效利用,在平安的前提下晋升数据的应用价值。
②密文存储。即落实重要数据辨认和分类分级爱护要求,对重要的外围数据加密存储,守护数据安全。
③入侵进攻。即建设、查看数据库防火墙,以便对外部攻打进行无效防护,同时也对外部数据库破绽进行无效防护,避免破绽被违规利用。
(3)数据安全监管与审计能力
企业需构建一个可控、可查、可见的对立的外部数据安全闭环监管体系,从数据产生,到场景化应用,进行流向监控、精准剖析,实现无效监管;通过对数据安全危险及业务数据场景的继续经营,梳理资产、数据、用户、权限等要求,领导平安技术、治理、经营能力的体系化建设与合作。
- 强化人员数据合规意识与能力
数据安全合规治理是多元主体独特参加的过程,其中人员是数据安全各项要求无效施行的基石,也是平安危险的重要起源,应增强人员安全意识造就、技能晋升、标准流程演练,以明确平安职责、部门协同机制等,晋升应急响应与处理能力。
(1)建设人员安全意识造就机制
通过定期发展培训,将法律法规、标准规范、案例事件等进行宣贯,逐渐晋升人员对数据安全的价值意识和威逼辨认能力。
(2)增强合规治理参加人员的技能培训
对不同岗位的人员制订科学合理的培训打算,依照必备优先,先根底、后业余、再全面的准则,逐渐晋升人员的专业技能。
(3)建设应急演练机制
通过定期或事件触发机制,对理论业务场景中的各类危险主题的解决形式、合作流程及响应机制等进行模仿演练,确保安全措施落实到位,平安处理流程正确无效等,全面晋升数据安全合规治理经营保障能力。
04、小结
以后局势下,企业数据合规面临着更高的挑战,更高的要求,这也意味着企业在数据合规方面的投入也会随之减少。于是很多企业把数据合规看作是一项老本累赘。但在数据安全步入法制时代的新形势下,企业应转变观念,充分认识数字经济倒退新局势和数据安全合规治理的新变动新需要,保持合规优先,倒退并进,急用后行,逐层推动准则,构建迷信的数据合规治理制度体系,让数据更好且更标准地驱动倒退。