Top
首页 > 正文

产品安全合规实践白皮书 保障企业数据安全及合规落地

近两年数据合规安全成为国家越来越关注的重点话题,数据价值凸显和不断挖掘,市场上存在很多数据的需求,另一方面数据在使用过程中的不规范现象频出,并且产生了一些不良的影响和危害,数据面临的信息安全风险与日俱增,给个人隐私和国家安全带来了严重的安全隐患。
发布时间:2022-04-01 10:18        来源:数字经济杂志        作者:张娜 李伟 神策数据

随着大数据时代的到来,数据已经成为与物质资产和人力资本同样重要的基础生产要素。近两年数据合规安全成为我国越来越关注的重点话题,数据价值凸显和不断挖掘,市场上存在很多数据的需求;另一方面数据在使用过程中的不规范现象频出,并且产生了一些不良的影响和危害,数据面临的信息安全风险与日俱增,给个人隐私和国家安全带来了严重的安全隐患。从国际形势来看,各国之间都在争取数据的主权。在国家立法层面,刑法很早就有破坏计算机信息系统罪,当时还没有关于数据方面的立法,但是在刑法层面对于批量搜集个人信息用于非法目的或者发到境外去等行为场景已经有相应的约束条款。近年来我国也借鉴了很多国外的一些立法的经验,更好地完善数据安全立法机制,陆续颁布《个人信息保护法》和《数据安全法》。一方面规范不断发展的国内市场,另一方面响应国际范围的总体趋势,促进我国投入更多的立法以及监管力量来关注数据安全领域。

国内企业数据安全合规现状

为积极相应国家对于数据安全和合规的各项监管制度,国内的企业单位也陆续开始进行内外部的合规自查。从安全角度上讲,国内的数据安全市场业态主要有两部分,一是越来越多专业做数据安全的厂家崛起,开始重点去做数据安全合规相关的产品或服务,近两年和数据安全相关的投融资也逐年增多,数据安全整个市场也逐渐变得欣欣向荣。据悉,国内专业的大数据分析和营销科技公司神策数据就在2022开年发布了《产品数据安全合规实践白皮书》,详细规范和说明了企业数据安全管理和技术能力的方法实践,以协助行业提升产品数据安全和合规水平。

数据安全是基于传统的IT安全单独分出来的一个分支,随着国家立法以及监管的加强,相应的产品和业务也会越来越多。第二是企业内部也开始做数据安全的规划实施,比如很多云厂商,自身也开始在做数据安全,与数据安全厂商不同的是,企业更多从自身业务视角建设数据安全。这些都形成了国内的整个数据安全市场。2021年国内《数据安全法》以及《个人信息保护法》的发布,也使得2021年被称为中国数据安全的元年,未来整个数据安全也会越来越重要。

两法实施后的企业数据安全落实与突围

对于企业来讲,在数据安全保护范围内的数据主要有两大类,一类是客户数据,尤其是个人信息数据,另一类是企业数据,例如企业自身的经营数据,包括财务数据、战略数据等。这两大类对于企业来讲,是应该优先考虑的,这也是数据安全所保护的职责范围。

而实际上由于数据安全在国内提出的时间相对较短,企业落实数据安全面临很多现实的困境和问题。

首先难处之一在于,数据安全的确有一些理论和方法,但是没有统一的标准。企业A建立的一套数据安全体系并不一定适用于企业B,企业需要结合自己的业务和成熟的方法论去打造一套适合自己的体系,这对于毫无经验的企业来说是比较困难的,目前没有一套现成的可以即拿即用并且特别适合自身业务的一套数据安全体系。

另一方面,数据安全是整个安全体系里最贴近业务层的。这也就意味着企业在推动很多数据安全工作时,有非常多横向协同和横向推动的工作,这是数据安全在企业内部落实的另一个难点。

从法律层面看,企业还需要用自己的业务和所有适用的数据安全相关的法律法规去对照,不能自己随意杜撰这些保护的范围,不但法律有规定,法律下面的法规,或者地方性政府条例,以及国家标准里面都会有比较明确的对于数据的一些列举性的描述,比如什么属于个人敏感信息,什么属于普通信息,以及保护的强度、保护的方法、原则方向等,所以企业需要先基于这些法律法规,把自己的业务当中能够和法律法规直接对应的内容一一列举出来,单独做一些要求和规范,确保满足法律法规的要求。

因此,在《个人信息保护法》(下称《个保法》)和《数据安全法》(下称《数安法》)颁布不久的情况下,没有太多行业经验可借鉴,企业要做的很多工作都是摸着石头过河。企业的现实场景也是错综复杂且不断变化的,有可能在某一时点针对要求做出的对应举措是符合国家要求的,但过了一段时间就不符合了,这就要求企业需要实时动态的跟踪这些动作,但是企业内部的人力和监测方式是有限的。在这种经验方法论有限的情况下,企业就需要借助外部专业服务的手段去推进企业合规的落地,从制度层面或技术层面寻找最前沿有效的解决方案。

不同行业的合规安全实践

纵观不同行业,金融企业对数据安全要求最为严格。这类企业直面金融数据,从损害结果上来说,一旦发生数据泄露,或者没有获得用户授权,有可能会造成用户经济上的直接损失,影响非常巨大。神策数据服务的30多个细分行业中,往往是金融行业的数据安全要求最为严格,包含银行、证券、基金、保险等,涉及这类企业的服务、产品要求、合同条款、以及实际使用过程都非常的谨慎和严苛。

结合实际案例来讲,证券公司会在签约阶段和神策团队明确自身已有的一套数据安全标准体系,神策需要考虑软件交付和数据治理的过程中,为应对证券公司的数据合规要求,需要花费什么样的人力和配合的技术,逐项去匹配,同时证券公司也要求神策需要有很高的响应机制,以及时解决可能的突发问题。对于一些技术层面或许会存在漏洞的治理和测试工作,通常会错开流量高峰期或者放在深夜进行,从而达到客户的要求和技术服务能力的平衡。同时对于参与客户服务的工作人员,神策数据会安排体系化的培训,并且单独签署保密协议,保证数据在制度上不能泄露,同时会有相应的数据从采集到销毁整个全生命周期数据合规解决方案,以及技术规范,形成一套整体的解决方案,确保不会产生数据合规安全的风险。

神策数据在2021年《数安法》和《个保法》颁布之后,内部立即针对两法做了全线产品的合规自查。首先是安全合规相应的部门组成虚拟组织,一起针对《个保法》和《数安法》去做相应的条款解读,并且针对自己的产品形态、产品功能进行合规梳理,包括整个数据全生命周期,包括采集、传输、存储、使用、共享、销毁。这些在刚刚发布的《产品数据安全合规实践白皮书》也有描述。

举例来说,《个保法》对数据删除是有要求的,因为C端用户有权利删除自己的个人信息,神策产品也会相应的提供数据删除功能。当B端客户接收到C端用户需求的时候,就可以通过神策产品来满足合规的要求。

除此之外,企业内部的人员管控和操作管控也有相应的规范,神策产品以私有化部署为主,神策数据会梳理哪些远程操作会触碰到客户数据的场景,用非常完善的规范去管控内部人员的操作安全。另外,神策数据内部也正在落地关于安全合规的文化建设,通过全员培训及互动活动,去提高全员的安全意识,这些都是神策数据在针对合规的法律法规要求的一些应对策略。

神策数据同时也率先行业拿到了监管部门的相关资质认证,最值得一提的就是ISO27701,它是专门针对隐私信息管理体系的认证,并且代表国际的合规水准。

数据跨境的安全与合规应对

随着全球范围内对数据安全与隐私保护的监管力度持续加大,部分国家收紧了对跨国科技企业向其所在国传输用户数据的监管,而各国对于数据安全规范要求的差异以及国际关系,也加大了中国企业出境业务的难度。这也是国家为何特别重视数据安全的原因之一。数据在境内会有我国监管部门管控,但是一旦出境,中国没有在域外执法的权力。

通过神策数据正在服务的本土及国际跨国企业来看,通常这类企业对于软件自身的安全性非常关注,他们自身也会有相应的供应链安全及跨境数据审核,神策数据会根据当前的安全策略,以及数据安全的整个体系和机制同步给客户,协助客户完成整个供应链安全的相关内容。

基于以上的相关经验,神策数据也汇总了企业在数据出境层面可落地的经验方法论。

为了保证国家安全,政府在数据出境之前规定了很多层面的数据备案或审查制度,如果涉及到国家安全,就有可能不予批准,这符合中国国情的需要,也符合国际惯例。任何一个国家都不希望自己的核心数据出境,这对于国家整体的数据治理有很大的保障和促进作用。

同时,国内企业也要遵守这些规定,如果涉及到境外客户,双方都要在法律框架内去签约,不能逾越中国法律关于数据出境的规定,一些数据出境的场景或业务环节也要明确清楚哪些技术是哪些人员可操作,哪些是需要首先进行数据出境备案或审批。

对于国际企业在中国的业务数据安全建议,最核心的一点,就是国际企业需要认真研读和理解中国对于数据出境的法律法规,例如神策数据遇到的绝大多数国际客户,最初并不知道中国有数据相关的法律规定,一些国际企业也会为了全球范围内的利益,可能会忽视中国法律的要求,这样就有可能会造成我们不能够很好的为这些国际企业提供服务。

因此,国际企业既然在中国开展业务,首先要遵守中国的数据安全法律法规,然后才是企业的经营利益,为了实现业务的双赢,也建议国际企业认真的去理解和研读中国对于数据安全立法的规范性文件。

每日必读

合作站点
Baidu
map