胡律师:13306647218

企业如何保证数据安全【企业如何构建「数据护城河」?】

时间:2021-07-28 13:37:58

数据安全大考,企业如何构建「数据护城河」?

数据时代,大数据野蛮生长,数据立法已是大势所趋。

6月10日,备受社会瞩目的3358www.sogou.com (以下简称《中华人民共和国数据安全法》 )经三次审议和修改后正式公布, 《数据安全法》

随着数字化的进程,当企业在数字蓝海辟疆时,数据安全是企业背后的掌舵人。 当然,数据安全是企业面临的一大考试,从《数据安全法》开洞,我们就可以窥见一二。

01

数据管辖除了「眼前」,还有「远方」

《数据安全法》在国外管辖实现了突破,覆盖了国内和国外两个层面。

确定将于今年9月1日起正式实施。

第二条:在中华人民共和国境内开展数据处理活动及其安全监督管理,适用本法。 在中华人民共和国境外开展数据处理活动,有损中华人民共和国的国家安全、公共利益或者公民、组织的合法权益的,依法追究法律责任。关于境内外数据安全风险表明,中国的数据安全法受长臂加瓦管辖,国外组织违反本法也同样要追究责任。

第三条)本法所称数据,是指用电子或其他方法记录信息。 数据收集、保存、使用、加工、传输、提供、发布等数据处理。 数据安全是指通过采取必要的措施,保证数据处于有效保护、合法使用的状态,具备保障持续安全状态的能力。解读:明确了数据、数据处理、数据安全的定义,中华人民共和国境内的所有数据处理者必须按照本法的要求进行数据安全建设。

第十一条)国家积极开展数据安全防范、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据的跨境安全、自由移动。解读:在数据跨境传输方面,中国鼓励数据处理者进行国与国之间的数据流通,在数据安全标准的制定方面,中国后来位居前列,参与了许多国际化标准的制定。

第三十六条(中华人民共和国主管机关依照相关法律与中华人民共和国缔结或者参加的国际条约、协定或者平等互利的原则,处理外国司法或者执法机关关于提供数据的请求。 未经中华人民共和国主管机关批准,境内组织、个人不得向外国司法或者执法机关提供在中华人民共和国境内保存的数据。解读:将数据传输到国外时,数据不能传输到国外司法或执法机构的平台。 国内外相关公司如子公司和母公司之间进行的数据传输,客户必须同时遵守我国和对方国家的法律法规。 实际上是将国内法律的适用范围通过合同扩大到国外主体。

02

数据管理要「知己」,更要「知彼」

等级分类是管理的基础,《数据安全法》明确了企业对数据进行等级分类,不同类型的数据面临不同的管理要求、合规义务。

解读:

第二十一条)国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要性,以及一旦被篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益的危害程度,对数据进行分类保护国家数据安全活动协调机构统一协调有关部门制定的重要数据目录,加强对重要数据的保护。 第二十七条)开展数据处理活动,应当依照法律、法规的规定,建立全流程的数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。 利用互联网等信息网络开展数据处理活动,应当基于网络安全等级的保护制度,履行上述数据安全保护义务。数据安全保护等级第21条和第27条表明,我国对数据安全将像同等保护一样分级、分类保护,并以《技术手段管理制度》为标准对企业的数据安全态势进行评价和审查。 未来的数据安全检查很可能包含在等保范围内,等保评价的检查项目变得丰富。

第二十九条)开展数据处理活动应当加强风险监测,发现数据安全缺陷、脆弱性等风险时,应当及时采取补救措施。 发生数据安全事件时,应当及时采取处置措施,按照规定及时告知用户,并报告相关主管部门。 第三十条)重要数据的处理人员应当按照规定对其数据处理活动定期进行风险评估,并向相关主管部门提交风险评估报告。解读:第29条和第30条规定,数据安全法如等保一样,在数据处理活动时需要“事前预防”、“事件中的处置”、“事后追溯”的动作,并根据数据的重要等级进行周期性评估工作,及时交给监管部门。

03

数据出境,做好合规「守门人」

《数据安全法》明确规定,重要的信息基础设施在向国外提供重要数据之前,要进行安全评价。

解读:

第三十一条(关键信息基础设施运营者在中华人民共和国境内运营中收集生成的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。 其他数据处理人员在中华人民共和国境内运营中收集和生成的重要数据的出境安全管理办法,由国家互联网通信部门和国务院有关部门制定。数据安全导向在数据出境规定中,中国区分重要的基础设施运营者和其他数据处理者,网络通信事业等监管部门加快制定相关规则,完善数据安全合规检查流程。

《数据出境安全评估指南(草案)》是中国第一部数据安全专业法律,将与《个人信息出境安全评估办法(征求意见稿)》和立法中的《数据安全法》一起全面构建中国信息和数据安全领域的法律框架; 它的出现消除了今后数据的灰色地带,明确了数据安全保护责任对今后大量的数据轮换会产生很多数据安全方面的需求。

中企业通信作为以智能科技驱动的数字化推动者,二十年来深耕企业数字化服务领域,在数据安全领域拥有丰富的实践经验和专业的技术优势; 未来,中企通信将严格遵守《网络安全法》的相关法律规定,致力于数据安全解决方案的落地,满足各行业客户的业务保障目标和政策合规性要求,恪守客户的数据安全建设道路。