企业数据合规之数据分类分级(下)

来源:网络法实务圈

文章摘要
企业数据合规之数据分类分级的上篇,笔者简要概述了数据资产的梳理、数据的分类和分级,但上述内容主要针对的仍是停留在制度层面对企业的数据有了初步的排摸和划分,但企业如果要落地实施数据分类分级,除了制度以外

企业数据合规之数据分类分级的上篇,笔者简要概述了数据资产的梳理、数据的分类和分级,但上述内容主要针对的仍是停留在制度层面对企业的数据有了初步的排摸和划分,但企业如果要落地实施数据分类分级,除了制度以外,还需要在数据处理的全生命周期过程中融入技术管控措施。例如,在企业后台数据库表中的字段进行标准化打标,同一类型的字段设置唯一的字段编号,利用工具对不同的数据进行自动化识别,对于不同级别的数据设置不同的员工访问、下载、删除等权限,不同级别数据对外传输的方式不同等。
若不结合管控措施来实施,那么数据资产梳理以及数据分类分级可能最终流于“形式”,当然有了制度上的数据分类分级,企业至少满足了法律法规的最底线的“建立制度”的要求,但仍可能无法实现数据分类分级的“实质”合规。笔者将在下文详细介绍目前不同级别的数据需要采取的管控措施,给企业的数据分类分级提供相对落地的合规建议。
一、现有标准中可参考的管控措施
目前针对数据分类分级后的数据管控措施,可参考的法规文件并不多,笔者在此梳理部分有一定参考意义的措施,供大家参考。
(一)网络安全标准实践指南——网络数据分类分级指引
该指引的分级规则为四个级别。
1级数据:具有公共传播属性,可对外公开发布、转发传播,但也需要考虑公开数据量级及类别,避免由于类别较多或者数据过大被用于关联分析。
2级数据:通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。
3级数据:仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方授权。
4级数据:按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享和传播。
(二)基础电信企业数据分类分级方法
1. 基础电信企业应当根据本企业数据分类分级管理制度对数据进行分类分级标识;对于在数据库中存储的高安全级别数据(如第4级、第3级数据),标记应细化至数据库的字段级,其他级别数据采用的标记宜细化到数据库的字段级。若出现没有分类标识的数据,其默认安全控制等级为最等级;
2. 原则上未经过脱敏处理的数据不可降级使用,若确有需要,应执行严格的授权审批流程,并对降级使用数据进行全过程审计,数据使用完毕后,恢复至安全级别;
3. 数据传输过程中,若涉及高安全级别数据(如第4级、第3级数据)应对数据报文进行加密,并采取措施(如数字签名、MAC等),以保证数据传输的机密性和完整性;
4. 在使用数据或披露前,涉及高安全级别数据的,应采用数据脱敏技术,确保数据使用、对外披露等场景的脱敏;
5. 对于个人敏感信息的安全管控,还应满足GB/T35273—2020中对个人敏感信息的安全管控要求。
(三)中国移动大数据安全管控分类分级实施指南
1. 第4级数据基本管控要求
对第4级数据应实施严格的技术和管理措施,保护数据的机密性和完整性,确保数据访问控制安全,建立严格的数据安全管理规范以及数据实时监控机制。第4级数据严禁对外输出。
2. 第3级数据基本管控要求
对第3级数据应实施较严格的技术和管理措施,保护数据的机密性和完整性,确保数据访问控制安全,建立数据安全管理规范以及数据实时监控机制。第3级数据在满足相关条件的前提下,可以对外开放。
3. 第2级数据基本管控要求
对第2级数据应实施必要的技术和管理措施,确保数据生命周期安全,建立数据安全管理规范。第2级数据在满足相关条件的前提下,可以对外开放。
4. 第1级数据基本管控要求
对第1级数据应实施基本的技术和管理措施,确保数据生命周期安全。第1级数据可以直接对外开放,但需要考虑对外开放的数据量及类别,避免由于类别较多或者数据量过大,导致能够用于关联分析。
(四)证券期货业数据分类分级指引
4级(极高):数据主要用于行业内大型或特大型机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
3级(高):数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
2级(中):数据用于一般业务使用,一般针对受限对象公开;一般指内部管理且不宜广泛公开的数据。
1级(低):数据一般可被公开或可被公众获知、使用。
(五)广东省健康医疗数据安全分类分级管理技术规范
数据安全保护要求分为通用要求、技术要求和管理要求三部分,其中通用要求规定了概括性、整体性的数据安全保护要求,技术要求规定了数据全生命周期的安全保护技术要求,管理要求规定了数据安全相关的组织机构、人员以及活动的安全保护管理要求。
二、对于特殊类别数据的管控要求
(一)重要数据
《网络安全法》首次提出了重要数据的概念,并规定重要数据需要采取备份和加密等措施。《数据安全法》规定重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
一般情况下,重要数据系对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域的相关数据,处于特殊行业领域的企业需要进行关注。
值得注意的是,《网络数据安全管理条例(征求意见稿)》中规定了数据处理者处理一百万人以上个人信息的,还应当遵守条例第四章对重要数据的处理者作出的规定。因目前对于一百万人如何计算,是计算人次,还是累计信息字段,一个人的所有信息是否仅记为一人,这些细节仍有待商榷。同时,因为该规定亦暂未生效,建议公司可仅作参考使用。
(二)敏感个人信息
敏感个人信息一般可作为数据中较为特殊的一类,根据数据相关的法规一般有特殊的规定。根据GB/T 35273—2020《信息安全技术个人信息安全规范》的规定,对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施(注:采用密码技术时宜遵循密码管理相关国家标准);b) 个人生物识别信息应与个人身份信息分开存储;c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
1) 仅存储个人生物识别信息的摘要信息;
2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
同时《个人信息保护法》亦对敏感个人信息有较多特殊的规定,例如处理敏感个人信息应当取得个人的单独同意,再如处理敏感个人信息的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。这些都可以作为敏感个人信息这类信息的管控措施。
三、企业可落地的管控措施
第一部分的法规中列举的管控措施大多都较为抽象,目前较为具象的管控措施参考标准有《广东省健康医疗数据安全分类分级管理技术规范》(以下简称“技术规范”),该规范的附录中对于数据分类分级的保护通用要求和数据分级安全保护技术要求均有较为明确的说明。
但相对于医疗行业可能涉及的敏感数据较多,要求可能相较于一般的企业较为严苛,故笔者在技术规范的基础上梳理了一版管控措施的通用要求和数据生命周期维度的管控措施,企业可根据上篇的数据分类分级情况,判断不同的数据是否需要适用下述要求。当然下述安全要求项并非所有级别的数据都需要满足,对于影响对象、影响范围较小的数据仅选择若干较为宽松的要求适用即可。

通用要求维度

具体安全要求项

数据系统安全

①承载公司数据的信息系统和网络设施不低于等级保护二级/三级(具体根据公司网络安全的等保要求)的要求。

②对可接入、访问数据系统的员工设备(包括手机、电脑等智能终端)统一部署防护工具,如防病毒、终端入侵检测等软件,定期进行系统更新,避免系统漏洞。

数据资产管理

①建立便于查询的数据资产分类分级清单,及时梳理、更新数据资产相关信息。

②在进行数据处理活动前,根据产品数据资产分类分级清单明确处理的数据字段所属类别及安全等级,并根据数据分级管控措施要求执行相应的技术措施。

③应建立数据分类分级的打标工具,实现对数据的分类分级。

数据系统的身份认证

①对登录信息系统的员工或访客使用“密码口令认证”等方式进行身份识别。

②对登录信息系统的员工或访客使用“密码口令认证”、“动态口令”、“数字证书认证”等的组合验证方式进行身份识别。

③安全责任落实到接触数据的个人,签订个人安全承诺和保密承诺。

授权控制

①建立不同员工,不同数据处理权限的授权机制和审批制度,赋予员工处理最小必要的操作权限和最小数据集。

②建立统一的授权管理机制,授权范围、时长、数据范围均在系统中留痕。

访问控制

①建立不同员工,不同数据访问权限的授权机制和审批制度,赋予员工访问最小必要的操作权限和最小数据集。

安全审计

①对数据的采集、存储、使用、传输等处理环节的操作行为建立日志,日志的内容包括但不限于时间、操作设备、操作人员、操作内容和操作对象等。

②委托第三方处理用户个人信息时,需要事先进行个人信息保护影响评估。

③处理敏感个人信息时,需要事先进行个人信息保护影响评估。

④日志保存期限不少于法定期限。

⑤采取备份的措施保存日志,避免意外删除、修改和破坏行为。

⑥通过技术措施识别分析异常的操作日志。

监测溯源

①采用技术措施,对数据的采集、存储、加工、使用、传输等过程实时监控,及时发现异常行为并警告,防止数据的泄露、篡改、丢失和滥用。

②对异常或未经授权的数据访问和操作行为自动化识别和实时预警(可根据不同级别的数据数量设置阈值)。

③建立数据追踪机制,实现对数据的异常流向进行监测,确保数据的来源和去向明确。若发生数据安全问题,可以进行溯源分析及追踪。

安全预警

①若公司人员或相关业务非经授权和审批采集、存储、使用、加工、传输、对外提供、公开、删除若干数据即启动安全预警方案。


公司亦可以根据数据生命周期维度,针对不同级别的数据字段设置不同的安全要求。

数据生命周期维度

具体安全要求项

数据采集

①明确数据采集渠道、采集范围、数据采集流程及方式,确定数据格式标准。

②依据权限最小化原则实现采集账号认证及权限分配。

③从外部数据供应方处采集数据的,对数据源的合法性进行确认,要求供应方说明数据来源与数据主体授权同意的范围。

数据存储

①如涉及存储个人生物识别信息的,应与个人身份信息分开存储。

②设置数据存储期限,确保存储期限为实现数据使用目的所必需的最短时间。

③收集个人信息后进行去标识化处理,并将可用于还原恢复识别个人的信息与去标识化后的信息分开存储,并加强访问和使用的权限管理。

④应采取加密等安全技术措施存储数据。

⑤采取实时备份与异步备份、增量备份与完全备份的方式,提供本地数据备份与恢复功能。

⑥采取安全措施在物理上保护数据存储介质存放场所不被非法访问及人为破坏,控制各种可能引起数据丢失的环境因素,包括但不限于温度、湿度、电磁等因素。

数据使用

①针对数据的访问、使用、展示,根据业务需要进行必要的脱敏处理等措施,降低数据敏感度及暴露风险。

②需要直接对数据进行非脱敏的访问、使用、展示的,通过操作日志和系统留痕等措施保存历次操作记录,标记操作时间和操作人员信息,确保历次操作记录可查询、可追溯。

③直接对数据进行非脱敏的访问、使用、展示的,应事先经审核批准。

④对涉及数据重大操作行为(如对数据进行批量修改、拷贝、下载、上传等)设置内部审批流程,并记录操作行为。

⑤利用个人信息进行自动化决策,应事前进行个人信息保护影响评估,并对处理情况继续记录。

数据加工

①明确原始数据在加工过程中的数据获取方式、访问接口、授权机制、逻辑安全、处理结果安全等内容。

②数据加工采用加密、脱敏等技术措施,保证数据加工过程的数据安全性。

③数据加工后产生的数据需重新确定相应数据的安全级别。

数据传输

①采用数字签名、时间戳等方式,确保数据传输的抗抵赖性。

②采用校验技术保证数据传输过程中的数据完整性、一致性。

③数据的对外传输应事先经过审批授权。

④采取数据加密、安全传输通道或安全传输协议进行数据传输。

⑤在数据传输不完整时或在数据传输完成后时及时清除传输缓存数据。

数据提供

①向第三方提供个人信息的,事先开展个人信息影响保护评估。

②提供数据时与数据接收方通过合同协议等形式明确双方的数据安全保护责任和义务,采取加密、脱敏等措施保障数据安全。

③利用自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)进行数据提供时,采取技术手段有效防范网络攻击,并定期检查或评估自动化工具的安全性和可靠性。

⑤采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制数据提供过程中可能面临的安全风险,必要时及时切断数据提供。

数据公开披露

①产品或服务涉及通过界面展示个人信息的,对需展示的个人信息采取去标识化处理等措施。

②公开个人信息前开展个人信息保护影响评估。

③公权机关要求调查取证时,需要公开披露的数据以公权机关协助调查取证所示范围的内容为准。

数据销毁

①进行定期排查,发现数据超出储存期限、未获得用户授权或者相关产品或服务停止运营后,对过期数据进行删除、销毁或匿名化处理。

②采用确保数据不可还原的技术手段删除数据。

③建立数据销毁审批机制,设置销毁相关监督角色,监督操作过程。


技术驱动法律,专业成就未来