信息化觀察網(wǎng)

2021年6月29日，深圳市通過了《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》，自2022年1月1日起施行；

2021年7月10日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布關(guān)于《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》的通知，數(shù)據(jù)安全納入網(wǎng)絡(luò)安全審查；

2021年8月12日，工信部發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》；

2021年8月20日，《個(gè)人信息保護(hù)法》正式頒布，并于2021年11月1日開始正式實(shí)施。

如此密集的法規(guī)發(fā)布，可見數(shù)據(jù)安全已經(jīng)成為所有企業(yè)和機(jī)構(gòu)需要直面的問題。9月1日起，《數(shù)據(jù)安全法》將正式實(shí)施，《數(shù)據(jù)安全法》對(duì)于企業(yè)在數(shù)據(jù)傳輸、存儲(chǔ)、流轉(zhuǎn)、銷毀等處理活動(dòng)進(jìn)行了相關(guān)規(guī)定，我們總結(jié)了幾點(diǎn)容易被忽視、可能引起違法的問題。

01未開展數(shù)據(jù)安全相關(guān)防護(hù)

“第二十七條開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。”

具體而言就是未建立數(shù)據(jù)安全管理制度，未開展安全教育培訓(xùn)，未采取技術(shù)措施或?qū)⑦`法。管理制度不能為了制定而制定，需要具有可執(zhí)行性，否則數(shù)據(jù)安全防護(hù)形同虛設(shè)；教育培訓(xùn)是安全常態(tài)化工作之一，只有不斷的提升安全意識(shí)，才能真正提升數(shù)據(jù)安全防護(hù)能力；結(jié)合管理制度和數(shù)據(jù)活動(dòng)特征，建設(shè)相應(yīng)的技術(shù)措施，在保證安全的前提下使用數(shù)據(jù)。

02重要數(shù)據(jù)處理未進(jìn)行風(fēng)險(xiǎn)評(píng)估

“第三十條重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。

風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。”

風(fēng)險(xiǎn)評(píng)估屬于事前手段，可有效發(fā)現(xiàn)潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)，應(yīng)定期開展，并及時(shí)向主管單位上報(bào)評(píng)估報(bào)告，對(duì)于評(píng)估發(fā)現(xiàn)的風(fēng)險(xiǎn)應(yīng)及時(shí)進(jìn)行整改。

03未經(jīng)允許向境外提供重要數(shù)據(jù)

“第三十一條關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。”

向境外提供數(shù)據(jù)的情形包括在境外開展數(shù)據(jù)處理活動(dòng)使用境內(nèi)數(shù)據(jù)、提供屬于管制物項(xiàng)的數(shù)據(jù)、提供關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)、向境外執(zhí)法需要提供數(shù)據(jù)，均需要進(jìn)行相關(guān)的評(píng)估，在獲得國(guó)家有關(guān)部門的允許后才可開展。

04不具備風(fēng)險(xiǎn)監(jiān)測(cè)和處置能力

“第二十九條開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。”

歸納一下主要是四個(gè)方面，即風(fēng)險(xiǎn)監(jiān)測(cè)、補(bǔ)救措施、應(yīng)急處置和告知與上報(bào)，未開展此四項(xiàng)工作，或?qū)⑦`法。

05未按規(guī)定采集和使用數(shù)據(jù)

“第三十二條任何組織、個(gè)人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。

法律、行政法規(guī)對(duì)收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。”

數(shù)據(jù)的采集和使用應(yīng)遵循國(guó)家或行業(yè)的有關(guān)規(guī)定，對(duì)于超出規(guī)定范圍的采集和未獲得授權(quán)的數(shù)據(jù)使用或?qū)⑦`法。

06數(shù)據(jù)交易說不清數(shù)據(jù)來源

“第三十三條從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。”

數(shù)據(jù)提供方應(yīng)說明數(shù)據(jù)的來源，身份有效且數(shù)據(jù)來源合法才可進(jìn)行交易，對(duì)于交易應(yīng)留存相關(guān)記錄，交易協(xié)議中應(yīng)說明數(shù)據(jù)使用的目的、范圍、時(shí)間等關(guān)鍵要素。

面對(duì)如何嚴(yán)格的法律要求，企事業(yè)單位應(yīng)如何應(yīng)對(duì)？

提升意識(shí)，建立機(jī)制

有計(jì)劃、有目標(biāo)的開展數(shù)據(jù)安全培訓(xùn)工作，邀請(qǐng)安全專家、主管單位進(jìn)行授課或培訓(xùn)，不斷加強(qiáng)企業(yè)對(duì)數(shù)據(jù)安全的防護(hù)意識(shí)。同時(shí)，建立補(bǔ)救措施、應(yīng)急處置、風(fēng)險(xiǎn)評(píng)估機(jī)制，提升數(shù)據(jù)安全抗風(fēng)險(xiǎn)能力。

明確組織，建章立制

數(shù)據(jù)安全合規(guī)需要法務(wù)、IT、安全和業(yè)務(wù)等部門的共同參與、共同決策，僅靠單一部門將無法開展，必要時(shí)可聘請(qǐng)安全領(lǐng)域?qū)＜夜餐瑓⑴c。組織明確后，方可進(jìn)行建章立制的工作。管理制度應(yīng)進(jìn)行體系化制定和管理，要具有可執(zhí)行性。管制制度包括認(rèn)責(zé)機(jī)制、數(shù)據(jù)安全各場(chǎng)景、各角色要求、分類分級(jí)、數(shù)據(jù)目錄等。

排查違規(guī)，加強(qiáng)審計(jì)

開展合規(guī)排查工作，明確當(dāng)前數(shù)據(jù)活動(dòng)場(chǎng)景下哪些方面存在違規(guī)情況。排查過程可以借助敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn)、數(shù)據(jù)資產(chǎn)自動(dòng)發(fā)現(xiàn)、數(shù)據(jù)協(xié)議解析等工具，提升效率和準(zhǔn)確率。列出風(fēng)險(xiǎn)清單，并予以整改，同時(shí)建立審計(jì)機(jī)制，確保后期運(yùn)營(yíng)中因疏忽而導(dǎo)致發(fā)生違規(guī)。需要排查的內(nèi)容包括數(shù)據(jù)出境、數(shù)據(jù)采集和使用的合理性、授權(quán)完善性等。

技術(shù)建設(shè)，風(fēng)險(xiǎn)感知

根據(jù)自身數(shù)據(jù)活動(dòng)特征，建設(shè)相應(yīng)的數(shù)據(jù)安全技術(shù)，保障數(shù)據(jù)能夠安全的使用，同時(shí)建設(shè)數(shù)據(jù)安全風(fēng)險(xiǎn)的感知平臺(tái)，借助大數(shù)據(jù)和人工智能技術(shù)綜合提升發(fā)現(xiàn)風(fēng)險(xiǎn)的能力。數(shù)據(jù)安全能力的建設(shè)應(yīng)重點(diǎn)考慮一體化、輕量化的方式，滿足數(shù)據(jù)安全防護(hù)要求的同時(shí)，盡量減少對(duì)業(yè)務(wù)的影響和額外帶來的運(yùn)維工作。數(shù)據(jù)安全技術(shù)包括數(shù)據(jù)脫敏、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)安全運(yùn)維等。