本文节选自数据安全推进计划(DSI)发布的《数据安全治理实践指南(3.0)》,报告基于“规划-建设-运营-优化”的思路,详细阐述体系化、场景化的数据安全落地实践过程,重点围绕数据分类分级、数据安全风险评估、数据出境安全评估等热点话题展开讨论。
(三)个人信息保护专项
面对垃圾短信、电信诈骗、骚扰电话、财产损失等由于个人信息泄露带来的负面影响,国家重拳出击发布《中华人民共和国个人信息保护法》,为个人信息保护工作的开展落实提出了法律要求。当前,个人信息保护作为数据安全的一项重要内容,个人信息保护认证、个人信息保护影响性评估等工作备受关注,组织可以根据需要选择适用的专项开展。本小节只对个人信息常见的风险项进行阐述,不针对某一项具体评估展开。
1.个人信息采集风险
• 采集过程不满足最小必要、合法性、授权同意等要求。
• 采集内容与采集声明不符。
• 隐私政策方面,没有相关隐私政策或者展示形式不够明显,没有在隐私政策中突出标识或以显著方式告知用户采集相关信息的目的、方式、存储时间、地点等。
2.个人信息存储风险
• 保存时间不满足相关要求,未对到期的个人信息进行处理。
• 技术手段缺失,未对需要存储的信息施展加密、脱敏或去标识化等安全措施。
• 未按照个人信息主体的要求对其信息进行处理操作。
3.个人信息使用风险
• 未设置审批流程或者未执行审批过程。
• 未按照最小授权原则分配访问权限。
• 使用目的与采集声明不一致。
• 展示过程未进行去标识化等技术处理。
• 委托处理、共享、转让、公开披露等处理过程不满足合规要求。
4.组织管理风险
• 未明确个人信息保护的责任部门和人员。
• 未定期开展个人信息保护相关评估测试工作。
• 缺少个人信息保护的员工培训及合规审计工作。
(四)合作方数据安全管理专项
我国数据要素市场正处于蓬勃发展阶段,在政策、业务、技术等多方因素的驱动下,数据合作需求激增,数据合作场景愈发多样化。然而数据合作方的安全保护能力参差不齐,数据合作过程中,数据泄露、数据滥用等安全事件频发,严重危及国家、公众及个人安全。国家战略要求统筹好安全和发展,保障数据合作安全已成为重要议题。
1.数据合作方识别
落实数据合作方安全管理要求的首要任务是识别数据合作方,需要明确数据合作的形式、触发条件、对象。数据合作形式多样,主要可以概括为业务合作、技术支撑、数据服务和监管要求四大类。参照上位法和行业标准,可以明确将“参与组织的数据处理活动过程”作为数据合作的触发条件。数据合作的对象包括外包服务机构和外部合作机构。综上,数据合作方定义为因业务合作、技术支撑、数据服务、监管要求等参与本组织数据处理活动的外包服务机构与外部合作机构。
2.数据合作方安全评估
数据合作安全事件频发,落实数据安全保护和个人信息保护义务,组织需要建立数据合作安全保护机制,开展数据合作方的数据安全保障能力动态评估,对数据合作方的安全保护能力进行核验,采取必要的安全保护措施。本指南结合前期大量调研和数据安全评估实践,依据BDC 163-2023《数据合作方安全评估要求》,提出数据合作方安全评估框架,从背景资质、数据安全管理、数据处理活动安全、安全监测响应四方面评价合作方的数据安全保护能力,如图1所示。
图 1 数据合作方安全评估框架
数据合作业务场景复杂,可以按照数据合作方在数据流转中的角色实施差异化评估内容。按数据流转参与的角色及其功能,可以将数据合作方划分为数据提供方、数据接收方、数据中间商、重点相关方。针对数据提供方,应重点评估数据的真实性、准确性、合法合规情况以及数据保护措施等安全能力。针对数据接收方,应重点评估接收方组织架构和制度流程等安全管理的合规性,安全保护措施和安全事件应急预案的充分性和有效性。针对数据中间方,应重点评估中间方服务、基础设施的安全性,所采取数据安全保护措施的充分性和有效性。针对重点相关方,即数据上报到监管部门的情况不在评估范围内。
(五)数据出境安全评估专项
数据出境安全评估是由国家网信部门为落实国家上位法而实施的数据安全专项工作。通过数据出境安全评估能够划定可能影响国家安全的数据出境行为,强化数据处理者的数据出境风险自评估义务。本指南根据国家互联网信息办公室公布《数据出境安全评估办法》,梳理了数据出境评估工作角色与流程,如图2所示。此处我们仅讨论申请主体在出境评估中的工作内容。
图 2 数据出境安全评估流程及执行主体
1.判断是否适用数据出境安全评估
当前数据出境有数据出境安全评估、个人信息保护认证、个人信息出境标准合同三条路径,各组织机构需要根据业务场景,结合监管规定,选择适合的路径开展出境工作。
2.明确需要数据出境安全评估的场景
出境安全评估的适用范围在《数据出境安全评估办法》第二条有明确规定,主要涉及重要数据和个人信息。2023年9月28日,国家网信办针对《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见,明确了无需申报数据出境安全评估的场景。因此各组织在判断适用情形时,可以参考以上两个文件。
3.准备各项申报材料
依据《数据出境安全评估申报指南(第一版)》(简称《申报指南(第一版)》),出境安全评估需要准备申报书、自评估报告、法律文件等材料。
申报书:申报书由《承诺书》和《数据出境安全评估申报表》组成,可以参见《申报指南(第一版)》。
自评估报告:《申报指南(第一版)》中给出了自评估报告的模板,主要由自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况、出境活动自评估结论组成。相较风险自评估,由国家网信部门执行的安全评估,还关注接收方所在地的法律政策环境、数据安全保障能力、数据处理者历史合规情况等内容,各组织需要在自评估报告中对以上问题详细阐述。
关于数据安全保障能力,主要关注管理组织体系及制度流程、数据分类分级、应急处置、风险评估、全生命周期技术能力等内容。
法律文件:与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件。
具体的材料准备内容,可以参考国家网信办或者地方网信办的申报指南及相关规定。各组织机构作为申报主体完成申报工作后,需要及时关注申报进展,对需要补充说明的内容进行准备,并在申请通过后,根据需要开展重新评估工作。
【结语】
为帮助企业度量其自身数据安全能力水平,发现数据安全治理能力不足,指明企业数据安全治理能力提升路径,中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)牵头制定了行业标准YD/T 4558-2023《数据安全治理能力通用评估方法》。截至2023年底,已完成23家企业的25次数据安全治理能力评估工作(简称:DSG评估),参评企业广泛分布于金融、电信运营商、互联网、汽车等领域。
在评估测试基础上,云大所数据安全团队结合国家法律法规,行业监管要求以及同业最佳实践,为多家大型银行、保险机构、知名企业提供了咨询提升服务,协助企业开展数据安全治理体系建设。
2024年云大所数据安全团队将持续围绕数据安全治理话题,开展框架研究、技术探索、评估评测等相关工作,欢迎业内共同致力于数据安全治理研究的专家、学者、同人咨询数据安全治理服务及数据安全风险评估服务,共话数据安全治理,携手护航企业数据的安全利用。
行标首批贯标单位火热征集中!诚邀有意向的单位踊跃参与。
联系人:刘雪花 18500238315(微信同号)
#重磅!《数据安全风险治理成熟度评价模型》发布,征集首批预评估单位