我国数据要素市场正处于蓬勃发展阶段,在政策、业务、技术等多方因素的驱动下,数据合作需求激增,数据合作场景愈发多样化。然而合作方的数据保护能力参差不齐,数据合作过程中,数据泄露、数据滥用等安全事件频发,严重危及社会公众安全。
本系列将持续探讨合作方数据保护相关工作,希望增强企业合作方安全管理能力,指引企业对外部合作方的数据安全保护能力进行评估和监督,压实合作方安全责任,提升整体防控水平。
本文将解读“监管发文为何多次强调合作方数据安全”,梳理数据合作安全合规要求,分析数据合作安全监管态势,厘清数据合作安全现状。
(一)数据合作安全受监管高度关注
多部门发文要求加强合作方数据安全管理,呈现高压态势。数据安全相关顶层法律、各行业监管要求相继发布实施,金融、电信、汽车等行业监管部门对数据合作安全提出要求。
金融领域,行业监管发文密集,数据安全、个人信息保护监管整治力度大,处罚频发。2022年1月,中国银保监会办公厅制定发布了《银行保险机构信息科技外包风险监管办法》强调事前控制和事中监督,持续改进外包策略和风险管理措施,定期开展信息科技外包及其风险管理的审计工作。2023年6月,国家金融监督管理总局发布《关于加强第三方合作中网络和数据安全管理的通知》,通报多起银行保险机构的外包服务商数据安全风险事件,要求银行保险机构应强化“服务外包、责任不外包”的主体意识,切实承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。加强风险评估和尽职调查,加强对外包服务商的监督管理和实地检查,强化合同的网络和数据安全要求条款,采取针对性安全保护措施,建立健全应急处置机制。2023年7月,中国人民银行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》,要求合作的数据接收方、委托处理受托人发生与本单位所提供数据相关的数据安全事件时,应当立即开展调查评估,督促其及时采取补救措施。
工信领域,行业业务敏感数据分布广,电信运营商要满足国家的相关法律法规、部委考核以及自身的数据安全监测,定期开展网络数据对外合作业务专项排查。2019年6月,工业和信息化部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》,要求强化网络数据对外合作安全管理。落实《工业和信息化部关于加强基础电信企业数据安全管理规范清理数据对外合作工作的通知》等相关管理要求,督促企业定期开展网络数据对外合作业务专项排查,开展合作方数据安全保障能力动态评估,充分依托合同约束、信用管理等手段强化合作方管理,切实提升网络数据共享安全管理水平。2022年12月,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》,强调数据处理者对外提供数据,应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。委托处理重要数据和核心数据的,应当对受托方的数据安全保护能力、资质进行核验。
(二)数据合作安全成为重要议题
国家战略要求统筹好安全和发展。我国数据要素市场正处于蓬勃发展阶段,实施数据安全治理制度,必须统筹好安全和发展的关系。2023年,国家数据局成立,推进构建数字治理体系,促进共享开放、保障安全隐私。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确提出完善治理体系,保障安全发展,要求把安全贯穿数据供给、流通、使用全过程。在数据要素乘数效应充分发挥,数据共享持续推进的趋势下,数据合作需求激增,保障数据合作安全已成为重要议题。
(三)合作方数据保护能力参差不齐导致事件频发
合作方在数据保护方面的能力参差不齐,导致数据泄露和滥用等安全事件屡见不鲜。数据合作需求激增,数据合作场景愈发多样化,但伴随而来的是数据安全风险的剧增。今年3月份,汽车之家员工在签署《保密承诺书》情况下,未经公司允许,擅自将小米汽车SU7未公开的内饰照片转发、传播。公开资料显示,小米汽车此前已遭到多次泄密。2023年1月,小米汽车合作方北京某模塑公司因对其下游供应商管理不善,泄露了汽车前后保险杠的早期设计稿。依据保密协议,小米集团对涉事合作方处以100万元的经济赔偿并责成其对下游供应商加强信息安全管理。2023年12月,某媒体员工在签署《保密承诺书》的情况下,未经允许泄露保密拍摄内容。此外,2023年6月,国家金融监管总局下发《关于加强第三方合作中网络和数据安全管理的通知》,也通报了多起银行保险机构的外包服务商数据安全风险事件。数据安全事件频繁发生不仅影响个人和企业权益,也严重危及社会公共安全和国家安全。合作方数据安全管理和评估监督已刻不容缓。
落实数据安全保护和个人信息保护义务,企业需要建立数据合作安全保护机制,对合作方数据保护能力的动态评估和监督已成为数据安全保护的重点工作。
2023年,中国信息通信研究院云大所数据安全团队组织交通银行、移动集团、智马达汽车等近三十家企业,制定了《合作方数据保护能力评估要求》,填补了合作方数据安全评估框架的空白,为数据合作安全管控提供有力抓手,并基于此开展合作方数据保护能力评估服务。此外,信通院云大所持续进行数据安全行业调研,对百余家企业合作方管理情况进行了深入分析;征集星河案例合作方数据安全管理先进实践,提升行业数据合作安全整体水平。
合作方数据保护能力评估持续征集参评企业,欢迎报名参与!
联系人:张老师
联系方式:15837112556(微信同号)
zhangyalan@caict.ac.cn
往期回顾