技术+法律的融合,数据强监管时代下的破局之路!

来源:深圳市网安计算机安全检测技术有限公司

文章摘要
编者按 近年来,我国网络数据领域的立法进程一路高歌猛进,安全监管的执法行动也在持续大力开展。
编者按
近年来,我国网络数据领域的立法进程一路高歌猛进,安全监管的执法行动也在持续大力开展。在此背景下,企业数据合规面临着更高的挑战和要求,如何构建科学的数字治理机制与合规发展模式已成为经济发展新形势下的热点话题。
对企业而言,要想真正地做好数据合规,不仅需要具备数据保护的全局观,还需要兼具法律思维与解决问题的实务经验,并进行重点化的合规管控与治理实践。如何将法律和技术融合,从而把数据合规工作落到实处,让数据发挥出应有的生产力价值,正是本篇文章探究的主旨所在。
(一)监管规范层面
在数据合规领域,近年来各类法律法规以及技术标准层出不穷,在《网络安全法》、《数据安全法》、《个人信息保护法》三大上位法的基础上,加之以《网络数据安全管理条例》等为代表的数十项国务院条例和法规,和数百项国家/行业等监管、自律标准以及数据相关各领域的规章制度,这些法律法规与技术标准作为开展数据合规工作的重要依据,内容相当之多,需要相关从业人员进行大量学习、持续更新才能准确掌握。这就导致不论是技术人员抑或是法律人对于如何应用上述规范都面临着执行困境。如何在符合执行标准的前提下尽量减少合规的成本,这是在法律规范层面,数据合规工作所面临的第一重挑战。
(二)数据全生命周期的挑战
在数据全生命周期服务中的各个阶段都会面临相应的风险,主要包括以下方面:
1、各部门对数据安全的重视度不够,缺少主动安全管控意识,加之数据安全管控投入资源不足,导致数据管控架构不清晰,职责划分不明确,缺少科学的数据安全管控实施路径。
2、缺少全单位统一、完整的数据安全管控体系,面临系统改造困难,存量数据难治理的困境,这种情况下,应当根据企业实际业务情况,尽早进行数据安全标准体系的规划设计。
3、系统每天收集、产生的数据量庞大,数据类别繁杂,企业面临数据治理第一道难关——做好数据分类分级的硬挑战。建议企业参照国家、行业和地区的分类分级标准,从自身业务条线出发,考虑数据性质、重要程度、敏感程度、行业主管部门要求等因素先对业务数据进行归类,进而根据数据的影响对象、影响范围、影响程度等角度,在分类基础上进行级别判定。
4、一方面监管机构对数据质量的真实性、完整性和准确性要求较高,另一方面企业方未形成数据资产清单和详细的数据地图。只有通过全面梳理企业中作为资产的数据,绘制数据资产地图、有机串联数据的技术面与业务面,才能让企业中的数据能看清、可理解、相关联。
5、数据使用中,纵向上会跨越数据的全生命周期,时限较长;横向上涉及机构不同条线,数量繁多的不同部门的数据源不同,不同主体的利益不一致,业务部门调取、使用相关数据时权限又不明朗,导致数据被非授权使用的情况时有发生。
6、未根据企业自身的需求以及数据全生命周期和组织架构、系统架构、网络架构情况部署符合本企业的数据安全技术体系和管理体系。
(三)供应链中的合规风险
数据收集过程中,机构的上游数据提供方可能存在非法收集、恶意爬虫、黑市买卖数据等行为,而这些行为可能会对公民个人信息主体权益造成一些负面影响。当上游数据提供方将此类非法采集数据提供给本机构,那么本机构也可能存在关联风险。
数据共享、委托处理过程中,机构因自身合规能力问题未能做到审慎义务,可能导致数据被下游方非法使用,严重侵害个人人身和财产权利。一旦出现以上情况,机构也会被关联的数据下游企业牵连,受到执法部门和监管机构的处罚。
(四)新产品、新业务、新技术的数据隐患
目前,对于数据的深度挖掘、再次利用、数据的所有权、衍生数据的所有权、数据的价值分配等方面存在法律空白。在系统的开发阶段存在一定的无序状态,比方说风险最大的数据汇聚融合、AI智能、算法模型的使用等方面,目前尚未具备相应的法律法规以及标准要求进行合理限制。

(一)数据安全管理之痛点排查
1、缺少清晰的数据安全管控意识
(1)各部门对数据安全的重视度不够,缺少主动安全管控意识;
(2)数据管控架构不清晰,职责划分不明确;
(3)对数据安全管控认识不全面、不深刻。
2、缺少科学的数据安全管控实施路径
(1)数据安全管控投入资源不足、开展晚,回报周期长;
(2)缺少全面统一、完整的数据安全管控标准体系建设;
(3)既有系统改造困难,又有存量数据治理难题。
3、缺乏专业的数据安全管控人才
(1)数据安全管控未走向团队化、部门化;
(2)缺乏既懂业务又懂安全的复合型人才;
(3)缺乏即懂法律法规又懂技术的综合性人才。
(二)数据安全合规之一般路径
1、确立组织与角色划分
建议在数据安全管控体系建设的初期,成立专门的数据安全治理机构,确定好数据安全治理相关政策的制定、落实和监督工作的长期负责人。
数据安全治理机构的组成人员按照职责划分,一般可以分为四种角色:决策人员、管理人员、执行人员、审计人员。
2、数据资产梳理
数据资产梳理是指对企业的数据资产进行全面清查和摸排,构建企业级的数据资产目录的过程。
资产梳理是保障数据安全的基础,通过数据资产梳理以完成对数据的分类和敏感等级划分,是建立数据安全管控体系的开始。
3、数据分类分级
利用数据分类分级,企业可以实现合规的需要,既能够应对国家层面的法律法规,亦能满足企业所属行业法规的要求。
利用数据分类分级,从安全角度指引企业相关责任人员,使之明确涉及哪些数据,在哪里,哪些数据可以使用,哪些数据需受控使用,哪些数据可以直接对外开放等。从而指导不同等级的数据在多种应用场景下,能适配多类型的安全设备进而开展安全策略的部署与实施。
4、数据资产风险与影响评估
风险评估:数据资产风险评估是建立在数据资产识别及数据分类分级基础之上的,是数据资产风险管理的基础。风险评估将从所属行业数据安全合规性评估、数据安全风险评估、个人信息安全风险评估、数据出境安全风险评估等方面进行重点评估。
影响评估:影响评估即风险量化之后,对数据资产所面临的风险会产生何种影响,无论是内部还是外部的影响都在评估范围之内。影响评估来源于实际的数据参考、资产重要性、资产的敏感度等等,以指导企业风险控制部门、科技部门、业务部门对所面临的风险做出提前预防及发生风险时该采集何种响应措施。
5、建立规范制度体系
国家及行业的针对企业的法律法规,更多的是一种普适性的比较宽泛的法律法规条款,而且比较多的条款存在重复性,不具备企业客户具体的需求。
在实际的数据安全体系建设过程中,数据安全的制度规范体系建设是非常重要的,一方面是能够保障自身的数据安全体系建设指南落实到位;另一方面,也是希望通过制度规范体系的建设能够更好地应对监管机构的合规检查。
(三)数据安全合规之路径适用
1、方法论解析
首先,从组织建设入手,梳理数据安全的业务、合规、风险等多方面需求,确定数据安全合规的保护目标,完善数据安全管理体系,给出切实可行的策略、要求、标准规范及实施指南,不断地更新知识。
在健全组织的基础上,通过全面的业务关系与数据流向梳理,明确数据资产的脆弱性及面临的主要威胁,得出采集、传输、存储、处理、交换及销毁的全生命周期风险评估结论。
根据当前数据安全能力现状与能力目标的差距,结合目前法律法规的要求,监管执法部门的处罚程度和概率,给出切实可行的数据安全整改方案。确保数据安全能力切实落地,从而降低因不合规被处罚的风险。
2、数据安全管控实践
数据安全管控需要充分考虑企业内部 IT 系统、数据资源以及业务应用的发展现状,贯彻落实数据安全管理方面的法律、法规、标准,以防滥用、防泄露作为数据安全核心需求,以合法合规为底线、以管理流程为手段、以技术措施为核心,建设与安全风险相匹配的数据安全管控能力体系。
3、数据安全合规依据
数据安全合规管理需要依据法律法规及相关标准,合规依据包括法律法规、部门规章、标准规范以及内部制度四个层面,包括但不限于个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,以确保企业数据安全的合规性。

(一)法务合规工作的痛点
法务的职责在于评估产品的合法合规性,确定产品是否可以推出。这就要求法务人员需要针对评估的对象、评估的业务以及评估的场景有着充分的认知。
(二)技术人员的法律困局
1、法律边界在哪?
产品、业务、场景规划的法律边界如何界定?——技术人员的限制边界很难界定。
2、技术实现边界在哪?
产品规划完后技术实现的技术限制要求如何界定?技术实现使用的工具范围如何界定?
——产品实现违规技术背锅。
3、技术人员防火墙在哪?
技术人员如何保护自己,如何不踩法律红线?法务如何给技术人员部署法律防火墙?
(三)举例:数据传输技术合规要点
1、内部传输技术合规要点
本业务系统内传输:
(1)业务系统架构(各模块业务功能);
(2)各业务部门权限(各模块对应的部门对个人信息的权限:增、删、改查);
(3)内部加密传输;
(4)非授权禁止传输或者展现。
业务系统间内传输:
(1)跨业务系统对接鉴权(接口认证);
(2)跨业务平台数据传输个人信息字段审批(合法性使用);
(3)内部加密传输。
2、外部传输技术合规要点
业务系统外部传输的合法性:
(1)传输的合法性验证(合同、协议);
(2)传输的个人信息字段(合同附件);
(3)外部传输对个人信息主体的影响评估。
业务系统外部传输的安全性:
(1)保密性,保证机密信息不被窃听,或窃听者不能了解数据的真实含义。
(2)完整性,保证数据的一致性,防止数据被非法用户篡改。
(3)可用性,保证合法用户对信息和资源的使用不会被不正当地拒绝。
(4)不可抵赖性,建立有效的责任机制,防止用户否认其行为。
(5)可控制性,对个人信息的传输及字段具有控制能力。
(6)可审查性,对出现的网络安全问题提供调查的依据和手段。
3、数据处理者的合规要点
法律法规要求执行的既定任务;国标、行标的技术标准要求;公司正式发布的规章制度、流程。
(四)技术与法律融合的意义
数据合规(个人信息合法合规)是法律问题、也是技术问题,需要综合团队才能为企业提供完整的解决方案。律师的法律合规建议层面;技术咨询顾问的技术规划设计层面;系统集成工程师、系统开发程序员的技术实现层面都需要紧密配合。不同专业知识背景的专业人才组成一个虚拟的整体,共同协作缺一不可,如果没有了其中一个,企业很可能做不到全面的合法合规。
技术驱动法律,专业成就未来