- 1 -
数据基础问题概述
(一)数据相关概念辨析
在数据安全领域,数据保护、数据安全与数据合规经常被不加区分地混用,尽管三者均可用于数据安全领域,但是三者的内涵不尽相同,在不同的场合应当区分使用。
1. 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。由此可见,数据安全强调的是一种安全状态和安全能力。(《数据安全法》第3条第3款)
2. 数据保护更加强调的是数据保护措施,即企业为了实现数据安全所需采取的安全保护措施。
3. 数据合规则是从监管的角度进行的界定,即企业按照现行法律法规规定,依法履行法律法规规定的义务,采取相应的数据保护措施,确保数据处于安全的状态。
因此,数据安全和数据合规都属于数据保护的目标,各自所侧重的角度不同。数据保护则是实现数据安全与数据合规的路径。
(二)数据的种类
根据国家对数据是否存在监管要求,可将数据分为受监管的企业数据与不受监管的企业数据。受监管的企业数据做好数据安全管理是法律的要求,企业必须履行相应的法律义务,企业按法律规定的要求做好数据安全管理的过程,即为数据合规,数据合规是数据保护在监管角度的表达。法律虽未规定,但企业为保持自身的市场竞争力,对自身数据进行安全管理的过程,即为数据保护。
在受监管的企业数据中,根据数据是否涉及自然人信息,企业数据可以分为个人信息与非个人信息。属于个人信息范畴的,要按照《个人信息保护法》及相关行业规范的规定和指引,除按规定做好数据安全管理措施外,还需要做好相应的个人信息保护工作。
此外,《数据安全法》从数据安全的角度,以根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度为标准,将数据分为一般数据、重要数据与核心数据。不同的数据级别,所需要采取的安全管理措施不同。
- 2 -
数据安全管理制度体系及其法律依据
(一)设置数据安全管理机构和负责人
1. 网络安全领域
《网络安全法》第二十一条第一项规定,网络运营者应当按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。根据该规定,无论何种情况,都需要确定网络安全负责人。对于关键信息基础设施的运营者,《网络安全法》第三十四条还明确要求关键信息基础设施运营者要设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
2. 数据安全领域
《数据安全法》第二十七条第二款规定:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
根据《数据安全法》的规定,数据分为一般数据、重要数据与核心数据(根据《数据安全法》第二十一条第二款规定,关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据)。对于一般数据的处理者,法律并未要求必须设置数据安全负责人和管理机构,仅对重要数据的处理者作出该要求。第二十七条第二款虽然仅对重要数据的处理者提出该要求,根据当然解释,核心数据处理者更应设置数据安全负责人和管理机构。由此可见,并非所有的企业都需要设置数据安全负责人和管理机构,只有处理的数据中涉及到重要数据和核心数据的企业,才需要设置数据安全负责人和管理机构。
关于何为一般数据与重要数据,《数据安全法》并未直接进行界定,而是将界定一般数据与重要数据的权利赋予各地区、各部门,由各地区、各部门根据该领域、行业的实际情况进行分类分级保护。
3. 个人信息保护领域
《个人信息保护法》第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。从该规定的内容可以看出,个人信息保护领域只要求设置个人信息保护负责人,并未要求成立个人信息保护管理机构。同时,就是否需要设置个人信息保护负责人的标准而言,《个人信息保护法》是以数量作为区分标准的,与《数据安全法》中区分数据种类的规定不同。
(二)数据安全教育培训制度
《数据安全法》第二十七条第一款规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。《个人信息保护法》第五十一条第四项同样规定了个人信息处理者要定期对从业人员进行安全教育和培训。
与设置安全管理机构和负责人这一非常态化制度内容不同的,任何数据或者个人信息处理者都必须开展安全教育培训,即:安全教育培训应当成为所有处理数据或个人信息的企业数据安全管理制度中的常态化制度的内容之一。
(三)数据分类分级保护制度
《数据安全法》第二十一条第三款规定,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
数据分类分级管理制度是数据安全制度中的基础制度与核心制度,不同类别、不同级别的数据安全制度必须用不同的安全管理方式,这既是数据保护的要求,也是企业节省成本的重要方式。分门别类是管理的基础,没有分类也就没有管理。因此,从管理学意义上来说,数据分类分级管理是实现管理的基础和前提,没有数据分类分级也就无法做好数据安全管理的工作。《个人信息保护法》第五十一条第二项同样也规定了个人信息处理者要对个人信息实行分类管理。
(四)全流程数据安全管理制度
全流程数据安全管理制度又叫数据全生命周期安全管理制度。数据全流程指的是数据处理的全流程,根据《数据安全法》第三条第二款规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据从收集、存储到删除(销毁)的过程即为数据的全生命周期,在一定意义上,数据全流程与数据全生命周期是等同的,可以相互替换。
《数据安全法》第二十七条第一款规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。《个人信息保护法》第五十一条第一项规定,个人信息处理者应当制定内部管理制度和操作规程。
个人信息属于数据的一部分,两者的安全管理在整体逻辑上相似,但个人信息保护制度有自身的特殊要求,对个人信息安全管理上,既要以数据安全管理为基础,又要符合个人信息处理的有关要求。
(五)数据安全事件应急预案制度
应急预案是面对突发事件的应急管理、指挥和救援计划。任何安全管理制度的构建都离不开应急预案制度,构建数据安全事件应急预案制度有利于预防和减少数据安全事件的发生,控制、减轻和消除数据安全事件引起的严重社会危害。
《数据安全法》第二十九条规定:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。《个人信息保护法》第五十一条第五项规定了个人信息处理者要制定并组织实施个人信息安全事件应急预案。第五十七条规定发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
(六)数据安全检测与风险评估制度
安全检测与风险评估制度与应急预案制度同属安全生产制度的内容,安全检测与风险评估制度更侧重于事前的预防,而应急预案制度虽包括事前的预防,但更强调事中的处置与及时的报告。
《数据安全法》第三十条规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。《个人信息保护法》第五十五条也规定了在符合该条规定的五种情形下,个人信息处理者应当事前进行个人信息保护影响评估。
数据安全检测与风险评估,与其他数据安全管理制度共同构成数据安全的防火墙,有利于防止因数据泄露而造成危害后果。
- 3 -
数据安全管理制度的主要内容
(一)设置数据安全管理机构与负责人
1. 需要设置数据安全管理机构与负责人的情形
如前所述,无论是网络安全领域,还是数据保护领域,亦或是个人信息保护领域,对是否需要设置专门安全管理机构和安全管理负责人有不同的前提条件。具体如下:
领域 | 条件 | 安全管理机构 | 安全管理负责人 |
网络安全 | 关键信息基础设施 | √ | √ |
非关键信息基础设施 | × | × | |
数据保护 | 一般数据 | × | × |
重要数据 | √ | √ | |
核心数据 | √ | √ | |
个人信息保护 | 达到规定数量 | × | √ |
未达到规定数量 | × | × |
对于网络设施运营者而言,首先要判断其运营内容是否包括关键信息基础设施,不涉及的则无需设置安全管理机构和安全管理负责人,涉及的则需要设置安全管理机构和安全管理负责人。
对于数据处理者而言,首先要对其处理的数据进行分类分级管理,如不涉及重要数据或核心数据的处理,则无需设置安全管理机构和安全管理负责人,涉及的则需要设置安全管理机构和安全管理负责人。
对于个人信息处理者而言,既要从遵循数据处理的规则,又要根据个人信息保护法的规定进行判断。即,如个人信息均为一般数据的,则只按照是否达到规定数量决定是否设置个人信息保护负责人。
2. 数据安全管理机构与负责人的具体设置
企业可以根据自身的实际需要,设置数据安全管理常设机构或数据安全管理临时机构。常设机构可命名为“xx有限公司数据安全管理部”,即将数据安全管理机构作为公司的组成部门,有专门的工作人员和负责人。临时机构则可命名为“xx有限公司数据安全管理委员会或领导小组”,委员会或领导小组成员可由企业法定代表人或主要负责人、分管数据安全的副职领导、相关部门负责人等构成。
在人员分工方面,本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人。除此之外,还要明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。
在特定行业中,相关领域主管部门还要求企业要配置数据安全管理人员。例如,根据《工业和信息化领域数据安全管理办法(试行)》第十三条规定,根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作。
3. 公开并报送个人信息保护负责人有关信息
根据《个人信息保护法》的要求,个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
(二)数据安全教育培训制度
数据安全教育培训制度的内容主要包括数据安全思想教育、数据安全知识教育和数据安全技能教育三个方面的内容。
1. 数据安全思想教育是数据安全教育培训制度的核心内容,数据安全管理的中心是“人”,“人”是保证企业数据安全的决定性因素,只有不断提高员工的数据安全意识,才能拧紧数据安全保护弦。
2. 数据安全知识教育是数据安全教育培训制度的基础内容,企业应当定期向全体员工或特定员工举行数据安全知识培训,让相关员工了解数据安全保护的知识,提高数据安全管理的理论水平。
3. 数据安全技能教育是数据安全教育培训制度的的重要内容,数据安全保护具有很强的实践性,除了提高企业员工数据安全意识和数据安全管理理论水平之外,还应当定期对有关员工的数据安全技能进行培训,以提高企业员工的实操能力。需要特别注意的是,应急演练同样属于数据安全技能教育的内容之一,要把应急演练纳入数据安全教育培训中。
(三)数据分类分级管理制度
数据分类分级管理制度是数据安全保护制度的基础,一方面,数据分类分级管理制度决定了企业是否需要设置数据安全管理机构与负责人,另一方面,数据分类分级管理制度还决定了企业对不同的数据应当采用不同的安全保护措施。
《数据安全法》二十一条提出了重要数据与核心数据两个概念,与之对应的则为一般数据。因此,《数据安全法》以数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度标准,将数据分为一般数据、重要数据与核心数据三种类型。同时还规定各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。由此可见,数据分类分级可以以本地区、本部门的法规、规章,或者国家、行业标准作为重要的参考标准。
1. 数据分类分级有规定的,以规定为主要参考依据
当前,我国数据合规发展得相对比较快的有三个领域,分别是金融、电信以及政府三个领域,这三个领域关于数据安全的法律法规及行业规范对数据如何安全管理有相对详细的规定,包括数据分类分级的方法和原则。
例如,在数据分类方面,《工业和信息化领域数据安全管理办法(试行)》第八条就根据行业要求、特点、业务需求、数据来源和用途等因素,将工业和信息化领域数据分为研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。在数据分级方面,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。这一分级与数据安全法中的分级标准保持一致。
此外,该办法还规定了工业和信息化领域数据处理者可在此基础上细分数据的类别和级别,即赋予相关数据处理者根据自身生产经营情况,在该基础上再进行细化。
2. 数据分类分级无规定的,可参考相关规定并按有关原则自行界定
数据的具体分类与企业所在行业以及实际生产经营情况息息相关,有关分类标准和分类方法可以参考借鉴,但需要企业结合自身情况进行确定。在缺少部门规章、地方性法规以及国家、行业规范指导的情况下,企业可以参照其他领域的规定,自行分类,具体步骤如下:
第一步:梳理数据资产。对数据进行盘点、梳理与分类,形成统一的数据资产清单,并进行数据安全定级合规性相关准备工作。
第二步:准备数据安全分级。明确数据分级的颗粒度(如库文件、表、字段等),并识别数据安全定级关键要素(影响对象、影响范围、影响程度)。
第三步:判定数据安全级别。按照数据定级规则,结合国家及行业有关法律法规、部门规章,对数据安全等级进行初步判定。同时,要综合考虑数据规模、数据聚合、数据时效性、数据形态(如是否经汇总、加工、统计、脱敏或匿名化处理等)等因素,对数据安全级别进行复核,调整形成数据安全级别评定结果及定级清单。
第四步:审核数据安全级别。审核数据安全级别评定过程和结果,必要时重复第三步及其后工作,直至安全级别的划定与本单位数据安全保护目标相一致。
第五步:批准数据安全定级。最终由数据定级工作领导组织对数据安全分级结果进行审议批准。
(四)全流程数据安全管理制度
数据从收集、存储、使用、加工、传输、提供、公开到删除(销毁)即为数据全流程(全生命周期)。《数据安全法》《个人信息保护法》以及《工业和信息化领域数据安全管理办法(试行)》等法律、法规对数据全生命周期要如何进行安全管理或者采取何种合规措施进行了详细的规定,可以参照前述法律规定的具体规定进行数据全生命周期的安全管理。
1. 数据处理管理规范
数据处理管理规范的内容相对丰富,主要注意以下几个方面的内容:一是建立内部登记、审批等工作机制,对重要数据和核心数据的处理活动进行严格管理并留存记录。二是数据处理方式方法应当符合相关法律的基本要求。三是严格做好人员权限管理工作,根据不同岗位的工作需要,确定具体岗位的数据处理权限,对于超越本岗位数据权限,且确有必要的情况,要按照公司内部规定走审批流程,并做好内部登记工作。
2. 数据处理技术规范
在技术方面,要根据规定采取校验技术、密码技术、安全传输通道或者安全传输协议等措施,实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。对于法律法规或国家、行业规范未规定的技术措施,要按照安全可靠、成本最低的原则,采取合适的技术措施。
3. 数据处理操作规范
在操作层面,一方面要合理确定数据处理活动的操作权限,严格实施人员权限管理,另一方面,要加强对员工的培训与指导,可以制定相应的数据处理操作手册,为企业员工在工作过程中处理数据提供操作指引。
(五)数据安全事件应急预案制度
数据安全事件应急预案制度应当具有针对性、实用性和可操作性。根据《数据安全法》第二十九条、《个人信息保护法》第五十一条第五项、第五十七条规定的内容可知,数据安全事件应急预案制度包括数据安全事件的事前预防、数据安全事件的事中处置与数据安全事件的报告三部分组成。当发生数据安全事件时,可以采取以下步骤进行处置:
第一步:在发生数据安全事件时,首先要判断数据安全事件中涉及的数据,以及所涉数据的类型与级别(一般数据、重要数据、核心数据);
第二步:要通过技术手段,确定数据流向,在此基础上,判断数据可能对各方主体造成何种影响及影响程度;
第三步:根据前述步骤作出的判断,及时采取与之对应的补救措施,阻断数据对外传播,消除数据安全隐患,防止数据安全事件的危害后果继续扩大,尽量减小数据安全事件所带来的负面影响;
第四步:及时向行业监管部门报告,并根据数据安全事件所涉数据类型、级别决定是否通知个人。根据《个人信息保护法》规定,个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人,但履行个人信息保护职责的部门另有要求的除外。在具体通知的内容方面,《个人信息保护法》中有较为详细的规定,实操过程中可以参照该规定的内容进行报告和通知。
(六)数据安全检测与风险评估制度
根据法律规定,企业数据安全检测与风险评估制度包括常态化检测、评估与专项评估两个方面。
1. 常态化检测、评估
例如,《工业和信息化领域数据安全管理办法(试行)》第二十六条第三款规定,工业和信息化领域数据处理者应当开展数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险。第三十一条第三款规定,工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
2. 专项评估
除了常态化的评估之外,针对一些规定的数据(个人信息)处理特殊情形,在数据(个人信息)处理前,要先进行评估后,才能进行数据(个人信息)处理。对于专项评估的内容,可以参考《个人信息保护法》第五十五条、第五十六条的规定进行评估。
- 4 -
结语
数据二十条提出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据安全同时也属于非传统国家安全的一部分,对数据的安全管理,要严于传统的生产经营活动。数据安全管理既要遵循安全生产制度的基本逻辑,又要根据有关规定设计具有数据特色的安全管理制度。
本文所构建的数据安全管理制度体系,以法律合规作为基本逻辑,企业在具体适用过程中,需根据自身生产运营流程进行调整,以使整个数据安全管理制度体系符合企业的生产经营逻辑。
文章引用微信公众号"新则",如有侵权,请联系管理员删除!
