格联律师事务所召开企业数据安全体系构建座谈会
格联律师事务所召开企业数据安全体系构建座谈会
2021年9月1日起《中华人民共和国数据安全法》正式施行,《中华人民共和国个人信息保护法》也将于两个月后生效施行。在这两部关系数据安全的重要法律生效前夕,为保障数据安全、促进数据开发利用,保护企业和个人的合法权益,上海格联律师事务所特邀企业数据合规专家夏海波律师和互金平台信息安全负责人以数据安全体系建设为主题,面向企业高层、律师及风控法务人员召开内部座谈会,参会嘉宾包含飞利浦、罗氏中国、前云数据、比升资本等企业高管,座谈会中强调了数据安全体系建设的重心在于数据合规与数据治理,并从法律、制度层面针对数据合规与数据治理架构搭建进行详细阐述,最后预测了数据安全体系建设的未来发展趋势。
以下是座谈会部分内容的整理资料,以供参考。
一、数据合规
数据安全体系建设的关键在于数据合规,数据合规主要体现在数据收集、数据使用、数据加工、数据存储及数据出境五个方面。
1、数据收集
数据合规制度需要围绕刑法、数据安全法、个人信息保护法及近期出台的相关法律法规进行搭建,搭建的第一道防线便是数据收集工作。
数据被收集者应享有一定的知情权。以日常生活工作中遇到的访客登记表为例,该行为是侵犯数据安全的一大反面案例,大多数访客登记表在收集用户敏感信息和场景应用时并未明示用户,违反数据收集的原则,与个人信息安全规范的要求也不符。不少地方由于防疫原因,所以需要收集用户的身份证、姓名、手机号等信息以便防疫部门核对信息,信息收集界面制作极其简陋,仅有输入界面,未告知信息存储端口,也未提供隐私政策信息告知,该行为实际上已属违法。
数据收集场景要符合必要性原则。数据收集工作最有价值的就是它的测试方法,如何验证数据收集方面符合法律规定,关键看测试场景。数据收集测试方法,其实简单来说去全量检查所有的项目和业务中收集了哪些信息,收集的信息是否是一些必要场景所需要的。举个例子,比如开展投资理财,身份证和银行卡属于必要信息,那么就要解释身份证和银行卡为什么属于必要信息,同时还要列举收集了哪些其他非必要信息。站在投资理财角度看,是否婚配、有无子嗣、家庭成员人数这些数据收集都是超必要性的。投资理财的必要性数据就是收入、理财资历及年限确认是否为合格投资者,以此确定推荐哪种类型的产品,因此不能扩大范围收集。所以这边数据收集呈现是全量模式展示所有业务里面收集一个人数据的场景,而场景中收集的信息须是必要的。
数据收集场景应符合标准。《个人信息安全规范》为企业个人信息收集合规工作提供了权威的国家标准。国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》也为数据收集工作提供了详细的指引。它既指出了app范围包括移动终端预置、应用软件及小程序,又明确了必要个人信息指保障app基本功能服务正常运行所需的个人信息即缺少该信息无法实现基本服务功能。除此之外,该规定还特别强调app不得因用户不同意提供非必要信息而影响基本功能服务使用。基于上述规范,我们可以寻找数据收集过程中的风险点和控制点制作专门的测试软件验证数据收集工作的合法性。数据收集场景实际操作过程中是联系相应的业务方产品、研发、合规等团队一起拼数据,把完整的业务数据拼出来,数据中包括有多少条业务线,每条业务线有多少个业务产品或者场景,每个场景产品上会收集什么信息。比如我有接了保险代销业务线,保险代销的话需要输入用户的身份证,需要输入用户的家庭住址,因为要投保,需要确定投保区域,所以有收集必要性。这些工作都是由合规部门牵头到其他部门去收集场景模型,然后去验证过一遍这些数据验证收集工作都是合法合理的。
2、数据使用
数据使用分为数据分类分级和使用监控两个方面。
数据分类分级虽然没有细化到企业层面,但是头部企业会建立自己的数据分类分级制度的查询系统,它是会分各种级别的,低层级数据在关联企业之间是同步的,高层级数据不同步。比如子公司数据的高级数据,禁止提供给母公司的其他子公司。数据分类后会涉及超出预定范围使用标签数据的过程,这类不同步的数据会打标签进行标签分类的,有价值的标签数据经常会被超范围使用。实现数据分类后应对数据去标识化,同时要对利用数据进行营销的规模进行控制。对数据使用要设立监控机制,监控机制体现在审批流程里。因为数据企业对外交流较为普遍,数据是对外发的,会有专门的外发平台,数据外发需要经过一系列的审批核对才能发出去。为什么会有外发?比如说监管部门需要数据。早期传输数据,都是人工到数据库拉取数据,这项工作会存在很多的泄漏源,每一道经手人都有泄露出去的可能,所以头部企业为了防止泄漏现在全部都做成了系统自动化的业务平台,比如说接到证监会通知数据类型需求,业务方先提需求,走签报流程审批了,然后大数据后台自动根据他的需求去拉数据,拉数据过程无人知晓,拉完数据通过系统形成一个压缩包,然后发送到证监会的时候自动发邮件给证监会,同时将密码以短信形式发给对方,最后对方根据地址去下载,凭借密码去解压缩,这种方式少了很多中间人的步骤,保证了数据就是一对一出去就是给监管同时对数据使用的过程进行了监控。在监控过程中应采取多项措施。比如邮件外发监控、内部通信工具监控、文件上传监控、水印监控等。安全部门每天对监控节点审批,同时进行审计工作,尤其是审计待离职人员,针对安全风险列单上的人员会进行使用监控,比如说在打印信息或邮件外发之类的工作,系统对于每次操作会进行告知,然后定期要求对上级领导作出解释。
3、数据加工
数据加工分为敏感数据加密与等级保护测评。
敏感数据的加密是数据加工的重要步骤。因为数据加密工作耗费成本较高,所以很多公司选择性忽视敏感数据加密工作的重要性,导致数据加密工作被间接性搁置,如果敏感数据加密工作不重视,始终是企业发展的雷点。
与敏感数据加密同等重要的是信息安全等级制度测评,它为数据加工工作提供安全指向。如果在未通过等保测评的情况下出现了网络安全时间,对于负责人可能要追究刑事责任。所以另一个层面等级保护测评相当于企业的一个护身符。数据加工检查步骤:监管部门第一项调查事项就是查取等保报告,查取过程中还会询问网络拓扑图情况,是否采取加密措施及操作日志如何管理,在必要时会启用专业设备检查加工合规情况。
4、数据存储
数据存储应遵循合法、自愿、安全及必要性原则。数据存储合规工作重点应针对存储内容、存储的介质及存储时长进行布局。存储的内容应是法律允许的且经用户同意的,存储的介质应当能够保证数据内容不被泄露。
存储介质应考虑安全优先。大部分数据被存储在服务器上,给数据泄露埋下安全隐患,美国电信巨头T-Mobile遭遇重大安全事件,超1亿用户数据被泄露值得深思。目前我国金融行业头部企业为了保护用户数据安全将数据储存在硬盘中,并且定期以审批形式对不符合必要性的数据硬盘进行报废处理,极大地提升了数据安全系数。
数据存储时间应根据不同行业具体分析。《反洗钱法》第三十条第三款规定“客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年。”《电子商务法》第三十一条规定:“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”《证券法》第一百三七条规定:“证券公司应当妥善保存客户开户资料、委托记录、交易记录和与内部管理、业务经营有关的各项信息,任何人不得隐匿、伪造、篡改或者毁损。上述信息的保存期限不得少于二十年”;《证券投资基金法》第一百零二条第二款规定:“基金份额登记机构应当妥善保存登记数据,并将基金份额持有人名称、身份信息及基金份额明细等数据备份至国务院证券监督管理机构认定的机构。其保存期限自基金账户销户之日起不得少于二十年。”上述法条都是部分行业关于客户信息的存储规定,因为有监管规定,所以数据存储时间应结合行业监管规则进行制定。
5、数据传输
数据传输的重点在数据出境,出境规则是非重要数据出境要同意,重要数据出境要评估。个保法规定个人信息处理者向境外提供个人信息的,应当提前告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意,如关键信息基础设施运营者和个人信息处理达到一定规模涉及数据出境还要经过评估。
监管部门要求涉及数据出境的企业提交测试场景数据。以出境上市的企业为例,数据提交以外网证监会所披露的信息为准。境外证监会官网的所有的报送信息都包含在检查范围内。
目前数据合规工作在操作上围绕数据收集、数据使用、数据加工、数据存储及数据传输五个环节开展三个阶段检查工作。内部层面第一个阶段是部门自查,第二阶段是公司自查,第三阶段是外部检查。自查主要是围绕这数据安全的规章制度自我开展,自主性强但发现问题有限,而外部检查发现的问题最多,但是有一定的局限性,因为外部检查主要围绕着app个人隐私保护进行检查,其他问题较难发现。滴滴事件被通报的原因是涉嫌数据出境,属于数据管理中数据交换的环节出现质疑,这个问题应当在企业自查环节中发现并进行解决,属于内部治理方面上发生的问题,因此对于数据治理工作应加以重视。
二、数据治理
数据安全体系建设往往都是合规先行,治理在后,数据治理的精髓在于机制探索。数据治理体系搭建是从0到1的过程,也是经历量变到质变的过程。而这量变正是机构设置、规章制度与技术基础的相互支持与完善。
1、数据治理委员会。从架构上来说数据治理委员会的级别是非常高的,决定企业的数据治理工作。基本上CEO是负责人,领导班子成员都在其中,但实际工作中基本上是CTO负责进行数据治理工作,然后向各职委员去做汇报工作进展,不光是数据管理委员会,像信息委员会的架构也是比较高的,基本上主任都是CEO,副主任的话是CFO之类。
2、数据治理章程。除了法律法规之外,有的公司内部还得有一套数据治理的章程制度。如果数据是共享使用的,是什么层面来讨论,如果只是访问由什么样的级别来讨论,同时关于数据管理委员应纳入章程管辖,章程属于管理的层面,如果说将来要去作为一个投资方与管理方对于数据治理工作有什么核心规制都可在章程中予以体现。
3、数据治理防护。对数据进行安全保护,各种关卡把握住数据安全是治理防护的关键。需要设置数据访问权限,排除未经授权访问的风险,有效的方式是要采用身份健全访问控制全员分配的安全措施,确保非授权用户不能访问存储数据,那么基本上现在都是采用双输认证的,在原有的用户名密码前提下,你还要采用另外一种认证措施,比如说手机平台短信验证码。这样的话就能实现身份鉴别认证,一定程度上实现数据防护。
4、数据留痕与数据审计制度。数据留痕的好处是一个数据流程可以明确到在某年某月某日某时进行一个统一操作数据,有无相应的审计日志、违规防控机制有无采用访问次数限制或者其他端口日常访问采取措施都会被记录。所以它的检查样本也很简单,就是提供样本,说明我们的数据在访问控制上是怎么管理的。想要看到数据要经过多重关卡。
数据审计制度解决了诉讼过程中的困难问题。比如一个数据传输过程中采用的必要技术和管理。在数字传播过程中进行http的加密,如果有条件的话也可以进行一些验签或健全,就是校验数据完整性来证明接口传输数据的完整性。在诉讼过程中,我怎么证明其实这个数据是真实的,因为很难辨别,只是在使用你这个数据,做这个模型,这就需要专业的审计团队来处理。
三、数据安全体系发展未来趋势
1、监管管理办法会越来越细化,数据企业承担的责任会更重。
虽然新的数据监管细则还没出台,但是征求意见稿已经在紧锣密鼓地收集当中,近期出台的法律法规及司法解释等法律文件都释放出了一个共同的信号,即监管制度会细化,企业责任会加重。具体见《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第六条“当事人请求信息处理者承担民事责任的,人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条,《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。”
2、数据保护发展会衍生新的产业链,合规范围逐步变广。
一方面咨询公司还是以咨询制度为主,包括像这种评测公司,还有一些网络安全设备厂商,还有一些专门做数据特殊化服务的,比如说做深度测试之类的,还是做安全加固系统的,数据合规范围会涵盖财务审计、网络安全、人事管理等方面。
3、数据的价值与贡献渐趋明显。
数据会随着信息技术的发展成为未来最宝贵的资源。在大数据时代,数据往往是一家企业产品升级改造的风向标,企业数据安全体系的建设价值会在公司发展与升级过程中会凸显出来。
随着个人信息保护法的施行,在数据安全体系建设的工程上无论是律所还是企业都在探索之中。近期关于数据安全体系建设的工作仍需要根据法律法规的完善不断推进,格联律师事务所会始终陪伴着客户在企业数据安全工作方面提供最新的法律资讯、最前沿的法律分析及一体化的落地方案。
