数据安全保护实践


实践出真知!信息安全专家眼中的数据安全与隐私保护

 

数据是信息的载体,是知识的土壤,更是智能时代不可或缺的“石油”。伴随信息革命的深入推进,近年来越来越多国家意识到数据的重要性,将其列入基础性国家战略资源予以保护,甚至提升至国家安全与主权的高度。而在中国,隐私保护、数据安全领域的相关法规也在快速完善,能否长期、高水平的实现数据安全与隐私保护已经成为现代企业持续发展的基础能力。

2月24日,信息安全合规专家华贤扬以《数据安全与隐私保护实践分享》为题,展开主题分享,系统性的总结了当前我国数据安全与隐私保护领域的法律法规,阐述“数据全生命周期管理”理念,并结合企业实践进行深入探讨,受到听众好评。

 

1、数据安全与隐私保护法律法规解析

2021年9月1日,《中华人民共和国数据安全法》施行,明确了数据全生命周期管控要求和数据安全合规的必要性,一旦违反,可能面临“停业整顿+罚款”的处罚;2021年11月1日,《中华人民共和国个人信息保护法》施行,该部法律明确了个人信息的保护原则,个人权利的响应机制,值得注意的是,这部法律的惩罚力度可谓“空前”。此外,在GB/T 35273《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》中也有相关规定,主要是判定标准和落地细节。

专家提醒,近年来国家相关法律法规逐步完善,社会整体对于数据安全和隐私保护的重视程度越来越高;工信部、网信办、通管局等国家单位主动检查、公司上市网络安全审查、重要数据出境申报、各类系统安全认证中对于相关领域的关注都在更高频率的出现;如果近期存在上市需求或者业务存在出海需求的企业,更需要高度重视。以掌握超过100万个人用户信息的网络平台运营者为例,如果需要赴国外上市,必须向网络安全审查办公室申报审查。

作为隐私信息较为集中的医疗医药领域,国家也做了专门规定。如在国标《重要数据识别指南》征求意见稿中,就明确提到了部分健康信息属于国家重要数据,如反映群体健康生理状况、族群特征、遗传信息等的基础数据 —— 人口普查资料、人类遗传资源信息、基因测序原始数据等,需要更高的保护要求。

 

2、核心理念——数据全生命周期管理

数据的全生命周期管理主要包括采集、传输、使用、存储、转让委托共享、删除等多个环节。

数据采集:采集环节需要注重数据安全要求、隐私保护需求、拒绝采集需求;其中,数据安全要求需要采集者确认数据来源合理合法性,是否经过充分授权;隐私保护需求则要求满足GB/T 35273《信息安全技术 个人信息安全规范》;同时,在用户拒绝后也不得影响业务的主要功能使用。

数据传输:数据传输需要注意线上传输与线下传输时,采用加密、脱敏等手段,符合最小化原则,保护数据安全。

数据使用:数据使用中,不得超范围使用用户个人信息,第三方共享披露时需要获得授权,在使用大数据、用户画像等画像标签时不允许使用歧视性、色情、暴力标签。

数据转让、委托、共享:数据的转让、委托、共享中则需要遵守《个人信息保护法》的相关规定,双方均需采取必要措施保障所处理的个人信息的安全,被委托方也应协助委托方履行本法规定的义务。

数据删除:数据的删除环节则需要注意数据保存期限,不得超出为实现个人信息主体授权使用的目的所必需的最短时间,如有法律法规规定确需留存的,以所有法律法规的最长留存时间为准。

数据出境:“数据出境”问题近年来颇受关注,《数据出境安全评估办法(征求意见稿)》也有明确规定,同时,存在以下5种情况的,需要向国家网信部门申报数据出境安全评估:关键信息基础设施的运营者收集和产生的个人信息和重要数据;出境数据中包含重要数据;处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。

 

将数据安全与隐私保护融入产品

产品是企业与用户发生接触的第一道窗口,也是用户对于企业的第一印象,在个人用户对于隐私保护愈发重视的当下,如何在产品设计上实现良好的用户体验与高水平的数据安全、隐私保护共存相当重要。而随着法规的日益完善,越来越多的产品开始做出改变,如隐私政策主动勾选、最高优先级的隐私政策弹窗、撤回同意按钮、权限告知按钮等。

专家提醒,产品中的数据安全与隐私保护需遵守一系列原则。如个人信息需求最小化原则,各类APP产品不得因为用户不同意提供非必要个人信息,而拒绝用户使用基本功能服务,国家也已规定了39类APP收集个人信息必要范围的“边界”。如最小必要原则,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。最为典型的案例则是外卖,如用户不提供地理位置权限仍可通过手动填写地理位置信息完成服务。

同时,产品不得频繁索要信息和权限,使用权限时应取得明示同意;在使用生物识别技术时,也应当遵守生物识别信息规范要求,保障用户权益。对于个人合理合法的信息查询、更正、删除、撤回授权同意、撤销账户等请求应予以支持。

 

将数据安全与隐私保融入企业运营

既然数据安全与隐私保护如此重要,不少管理者也颇为困惑,在企业的日常运营中,我们又该如何长期、高标准、可持续的实现上述要求呢?专家建议:对于企业而言,安全管理应当“自上而下”,意识到数据安全与隐私保护的重要性,了解相关的基础法律法规后,应当建立起系统的安全管理组织、安全管理人员以及安全管理策略,指导业务顺利进行。而在实际业务运营中,安全部门应当充分理解数据分类分级概念,对于公司数据进行分层管理,采用数据标签、权限分配管理、数据脱敏、数据加密、匿名化、去标识等流程或技术手段落实安全策略,制定符合自身业务实际的数据安全与隐私策略,推动业务发展。

 

此外,专家还提醒,对于第三方合作较多的企业尤其应当注意数据安全保护,加强第三方的协议签署、资质审查和日常管理。实现公司数据安全与隐私保护闭环。