加强合作方数据保护②—如何做到合作底数清、情况明？

本系列将持续探讨合作方数据保护相关工作，希望增强企业合作方安全管理能力，指引企业对外部合作方的数据安全保护能力进行评估和监督，压实合作方安全责任，提升整体防控水平。

本文将解读“如何做到合作底数清、情况明”，明确数据安全管理中的合作方定义，通过合作方角色划分明确各方在法律、安全等方面的责权利。

（一）识别数据合作方

在数据安全治理体系建设过程中，能力参差不齐的合作方可能拉低企业的数据安全“木桶”短板。落实数据合作方安全管理要求的首要任务是识别数据合作方。缺乏明确的定义会导致安全管理策略的制定和执行出现脱节，进而引发诸多问题，如数据合作台账不清、数据泄露、不符合合规要求等。识别出数据合作方，企业就能更精确地制定合作协议，设定数据访问和使用的权限，采取技术管控措施，并实施监督和评估机制。

数据合作场景愈发多样化，数据合作形式丰富，主要可以概括为业务合作、技术支撑、数据服务和监管要求四大类。在业务合作方面，企业之间可能会共同推广某项数据驱动的业务或产品，或者通过各种渠道接入来扩大业务的覆盖范围和市场份额。这通常需要合作双方或多方共享客户数据、市场趋势分析数据以及业务运营数据等，从而优化各自的业务发展和市场布局。在技术支撑方面，合作方可能提供专业的软硬件支持，帮助企业建立和更新防护数据处理和分析平台以及专业技术咨询等。在数据服务方面，主要包括数据建模、数据挖掘和数据分析等数据服务能力提供。外部数据合作方提供的不仅是数据本身，还包括对数据的加工和分析，帮助企业从庞大的数据集中提取有价值的信息，以支持决策制定和新产品的开发。监管要求也是驱动数据合作的一个重要因素，由监管部门、有权机关牵头履行法律义务进行项目合作，如反诈、反洗钱等。

数据合作的对象包括外包服务机构和外部合作机构。在电信运营商行业，《电信网和互联网数据安全通用要求》定义合作方为受托代理市场销售和提供业务合作、技术支撑、数据服务等可能接触到组织机构数据的外部机构。在金融行业，《金融数据安全数据安全评估规范（征求意见稿）》明确金融合作管理数据安全评估为与第三方机构（包括外包服务机构与外部合作机构）的合作管理评估。《银行保险机构数据安全管理办法（公开征求意见稿）》中关于合作方安全管理主要涉及外部数据引入、数据对外提供，开展数据委托处理、共同处理、转移、公开、共享等对数据主体有较大影响的活动。

参照数据安全上位法和行业标准，可以明确参与到组织的数据处理活动过程中是判定数据合作的触发条件。依据数据合作的形式、合作对象及数据合作触发条件，可以定义数据安全管理中的合作方是因业务合作、技术支撑、数据服务、监管要求等参与本组织数据处理活动的外包服务机构与外部合作机构。

（二）划分数据合作方的角色

数据合作的业务场景纷繁复杂，数据合作过程往往涉及两方甚至多方行为，参与者的角色划分至关重要。角色划分能够帮助合作各方清晰地理解自己的安全职责和权利，有助于建立一套有序的数据安全管理框架，包括合同条款、工作流程和应急响应计划，还涉及技术层面的数据保护措施，加强各方在处理敏感数据时的信任基础，减少数据合作中的安全风险，从而推动整个数据合作生态系统的健康发展。按照数据流转过程中参与的角色可以将合作方划分为四方：数据提供方、数据接收方、数据中间商、重点相关方，如下表所示。

表1 数据合作方的角色划分

（三）盘底数、摸情况

对数字合作情况底数不清、缺乏统筹管理、对合作中数据安全风险和责任识别划分不清是当前多数企业存在的安全风险问题。企业可以参考本文对数据安全管理中的合作方的定义来进行识别，对合作情况（如合作方背景、涉数类型级别、已采取的技术措施等）进行统计梳理，清晰划分数据流转过程中各方的角色和责任，从而盘清底数、摸清情况，并形成合作方安全管理台账。

落实数据安全保护和个人信息保护义务，企业需要建立数据合作安全保护机制，对合作方数据保护能力的动态评估和监督已成为数据安全保护的重点工作。

2023年，中国信息通信研究院云大所数据安全团队组织交通银行、移动集团、智马达汽车等近三十家企业，制定了《合作方数据保护能力评估要求》，填补了合作方数据安全评估框架的空白，为数据合作安全管控提供有力抓手，并基于此开展合作方数据保护能力评估服务。此外，信通院云大所持续进行数据安全行业调研，对百余家企业合作方管理情况进行了深入分析；征集星河案例合作方数据安全管理先进实践，提升行业数据合作安全整体水平。

合作方数据保护能力评估持续征集参评企业，欢迎报名参与！

联系人：张老师

联系方式：15837112556（微信同号）

zhangyalan@caict.ac.cn

往期回顾

 # 加强合作方数据保护1-监管发文为何多次强调合作方数据安全？‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

 # 火热报名中|中国信通院可信数安评估测试体系