数据安全法解读系列文章二:数据安全保护义务落地建议
创建时间:2021-06-17 浏览次数:1725

导读


6月11日,十三届全国人大常委会第二十九次会议 通过的《数据安全法》公布,并将于2021年9月1日起正式实施。这是我国第一部关于数据安全的专门法律。

上期,我们就《数据安全法》进行了初步分析,并对国家任务映射到企业如何落地提出了相关建议。本期我们将进一步对数据安全保护义务提出落地建议。


《数据安全法》解读系列文章一:国家任务映射到企业落地建议


数据安全

合规建议

>> 数据安全保护义务落地建议

组织、企业及个人数据安全保护义务规定动作与实施要点如下:

规定动作一


 建立健全全流程数据安全管理制度。

 重要数据的处理者应明确数据安全负责人和管理机构。

 组织开展数据安全教育培训。

 建立数据安全应急处置机制。

投诉举报管理机制。


实施要点一


 建立数据全流程数据安全管理制度,并开展宣贯培训,定期对管理要求实施情况进行监督检查,并留存相关记录。

▚ 明确企业内部数据安全管理责任,定期梳理自身业务的数据处理活动,对标法律法规、标准,并进行差距分析,确保数据安全保护工作满足法律法规及监管要求;重要数据处理者设立专职数据安全管理机构和专职负责人,明确机构职责和人员职责(需发文留档备查),并定期开展数据安全监督检查,确保企业数据安全各项规章制度落实到位。

 实时关注所在行业数据安全监管动态,及时调整企业内部数据安全策略。

 实时关注国家标准、行业标准、团体标准动态,对标标准及时发现企业内部数据安全管控措施与标准之间的差距,及时调整企业数据安全保护策略和保护技术手段。

 定期对数据安全岗位相关人员开展数据安全培训,培训内容至少涵盖法律法规、管理要求、安全技术等内容;定期开展全员数据安全意识培训(针对不同部门进行差异化培训);可采用线上、线下等多种方式。

 参考《国家网络安全事件应急预案》、《信息安全技术 网络安全事件应急演练指南》(GB/T 38645-2020)制定企业数据安全应急预案,定期开展应急演练和培训。

 发生数据安全事件时,应当立即采取处置措施,并留存处置记录,按照规定及时告知用户并向有关主管部门报告。

制定投诉举报管理办法(可在现有投诉机制中新增数据安全投诉流程),公布投诉渠道、方式及处理时间等内容,受理数据安全相关投诉,留存记录备查。


规定动作二


 采取相应的技术措施和其他必要措施。

 开展数据处理活动应当加强风险监测

 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估

 关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理

其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理

实施要点二


 技术措施是数据安全保障中不可缺少的一部分,企业应建立数据安全技术体系,管理与技术相结合,形成数据安全全生命周期闭环保护机制,如:数据分类分级与重要数据识别、访问控制、数据安全风险监测、数据加密、金库授权、数据脱敏、日志审计、数据备份、数字水印、零信任、隐私技术、数据销毁等技术措施,建议企业根据不同的数据级别建立数据安全保护基线清单。

▚ 建立数据流转检测监控机制,实时掌握企业内部数据流转状况;

 建立数据风险监测技术能力,及时发现数据全生命周期中出现的缺陷、漏洞等风险,并进行整改,流程相关风险监测、整改记录,备查;

 企业定期开展风险评估,查漏补缺,及时发现数据安全风险,并持续构建数据安全技术能力体系;风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

关键信息基础设施运营者,根据《网络安全法》要求,对重要数据出境开展安全评估,同时需要经过国家安全审查;其他数据处理者,关注网信部门发布的数据出境管理办法,并根据要求完成数据出境评估。建议企业建立数据出境管理清单,实施了解企业数据跨境情况。


规定工作三


 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

 数据交易中介服务的机构:安全审核

 提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可(经营备案)。

 境内司法和执法配合

数据提供给境外司法和执法审批

实施要点三


 在法律、行政法规规定的目的和范围内收集、使用数据,数据收集应遵循正当、合法、必要、最小原则,数据使用时不超过约定的目的和范围。

 数据交易中介服务的机构:在提供交易中介服务时,应要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

▚ 开展数据处理时,应关注国家及行业要求,是否需要取得响应的经营许可,如需要,应依法取得经验许可后,方可开展数据处理。

 国家机关因依法维护国家安全或者侦查犯罪的需要调取数据,按照国家有关规定,经过严格的批准手续的,需积极配合;建议企业指定专门人员负责此项工作。

境外的司法或者执法机构要求调取存储于境内的数据的,需经过国内主管机关批准。