总括来看,从数据安全的技术角度出发,目前已经建立起围绕大数据的隐私、数据安全以及平台运营三个层面的立体监管框架。他们构成中国大数据产业安全发展的压舱石。
三、企业如何做到“合规用数”?4类要求
对于企业而言,数据安全合规工作是题中之义,但实操层面也可能的确存在一些现实困难,例如如何能快速、准确的排查当前的合规差距?如何能最小成本、最小影响的完成合规工作?这里可以从以下4个方面来开展工作:
1.技术建设类
技术建设类可分为技术措施建设和风险监测能力建设,技术措施根据实际数据活动情况,采取相应的技术措施即可,比较常用的技术措施有动态脱敏技术、访问控制、电子认证技术、数据加密存储技术和敏感数据发现技术。
传统的建设方式是直接采购相应的数据安全产品,数据场景不复杂的情况下比较适用,反之,则会造成功能冗余、产品堆砌、运维工作加重等附加工作。因此,在开展数据安全技术建设时建议采用平台化的方式,灵活、简捷,扩充能力强,在新法律法规不断颁布的同时,可以通过配置调整予以应对。
数据安全技术的运用,应做到精准化管控,“一杆子”的方式不利于数据活动的发展和数据价值发挥,精准化管控可基于分类分级进行设计。
2.排查与整改类
排查与整改类主要包括合理性、业务完善、数据跨境三个方面。该类的工作主要是排查自身业务是否存在违法违规的情况,主要应对手段是业务的整改和应用功能的整改。
通过数据资产自动发现技术能够快速、准确的辅助排查出合规风险点,节省大量的人力投入。整改工作完成后,还可以通过数据资产发现技术对数据的使用和变化情况进行实时监控,及时发现违规情况,降低违规风险。
合理性主要是指数据的采集应遵循最小够用原则,并在国家或行业规定的范围内开展数据活动,在开展数据活动前应当告知数据主体,并得到其授权,并严格按照约定管理数据,保障数据主体的合法权益。
3.管理完善类
切实可行的管理制度是保障数据安全的基础和依据,《数安法》中所提到的管理要求可归纳为管理制度、数据交易管理、数据认责、重要数据目录和分类分级五项。
管理制度可以基于数据活动进行制定,考虑事前、事中、事后三个维度,明确角色和义务,落实到人。
数据认责可以通过数据的拥有量、访问量、新增量、更新量等维度作为依据进行划分,认责的同时还要建设相应的自动化管理工具,辅助数据责任人管理数据。
数据交易管理首先要明确当前业务下所有数据的来源是否合法,大体可分为自采集和外购两类。外购类则应留存来源的相关证明材料。如果是从事数据交易的机构,则需要对买卖双方的身份进行验证,并在协议中说明数据用途、使用时长、使用形式等内容。
重要数据目录和分类分级是实现数据安全精准防护的基础和目标,因此,需要在数据安全技术建设前开展。为达到数据安全防护的最佳效果,重要数据目录的建立和分类分级应遵循全面性、合理性、明确性原则。
4.机制建设类
常态化数据安全管控需要相关的机制作为保障,包括安全培训机制、安全补救机制、应急处置机制和风险评估机制四类。
数据安全培训的目的是加强企业内部人员的意识,提升技术人员的技能水平,从而实现整体的数据安全防护水平提升。培训工作要有计划、有目的、有考核的开展,方可保证培训效果。
