在《当我们谈数据合规的时候在谈什么——数据合规的架构和基础概念》中,我们提到数据合规可以分成两大部分,一部分是《个人信息处理全流程合规——兼评<个人信息保护法>》里阐述的数据处理合规,因这部分内容更贴近用户,与广大消费者的生活直接相关,所以在备受关注的同时也往往会被误解为数据合规的全部。实际上,数据合规的另一部分——数据安全合规也非常重要,它更多体现在国家/企业制度层面和技术层面,是数据处理合规的前提和基础。对于企业来讲,实现完整的数据合规,数据安全的制度建设和技术支持是不可或缺的重要内容。
一、现行法律法规对企业数据安全的要求
《网络安全法》从网络运行安全(第三章)、网络信息安全(第四章)和监测预警与应急处置(第五章)三个方面搭起了网络安全的架构,监测预警与应急处置主要是对国家、政府提出的要求,本篇暂且不论。就网络运行和信息安全而言,《网络安全法》对企业提出了十几项要求[注1]并在法律责任章节明确如违反规定的,会遭受警告或对企业和直接负责人员的双重罚款。
《数据安全法》与《网络安全法》类似,分别从国家层面[注2]和数据处理者层面作出规定,要求数据处理者履行数据安全保护义务[注3],否则可能遭受警告、对企业和直接负责主管人员的双重罚款、暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照。
《个人信息保护法》作为个人信息处理的专门法规,当然具有安全保护的内容[注4],同时,由于个人信息是数据中最为重要的一类,该法对违反个人信息应当承担的法律责任相对于上述两部法律,明显在责任类型和数额上都有所增加,即除了警告、对企业和直接责任人员的双重罚款、暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照外,直接负责人员还将被禁止担任高管和个人信息保护负责人。
《深圳经济特区数据保护条例》(以下简称《特区条例》)设立专章规定数据安全的实现,同样对数据处理者提出要求[注5],但《特区条例》相较于《个人信息保护法》,少了对应的罚则,使得对企业安全制度方面的要求有些缺牙老虎的无力感。
对以上四部法律的制度和技术要求进行简化,共性汇总和特性分离后,我们整理出以下简表:
二、企业数据安全重要制度介绍
从上述简表可以看出,四部法律既规定了一些共同的制度,也规定了针对特殊数据类型或者特定信息处理者的特殊制度,可以说这些制度共同构筑起数据合规领域的基本制度架构。我们在此简单介绍总要求并选取三项重要制度进行详细介绍。
(一) 总要求——数据安全管理和信息保护制度
数据安全管理和信息保护制度是企业数据安全合规制度的总称,其他各项制度是其具体内容。每部法律都作出了建立管理和保护制度的要求,但如何建立全面、完善和适宜的内部制度,还需要企业根据自身情况探索和实践。一般来讲,我们认为应当从机构及人员设置、数据安全技术管理、数据处理活动规范等几个方面尝试。
在机构及人员设置方面,应明确企业的法定代表人或主要负责人对数据安全负全面领导责任,同时下设数据/信息安全部、法务部等部门,并根据处理数据的类型或者处理数据的数量设置数据安全负责人或者个人信息保护负责人。
在数据安全技术管理方面,企业应当在开发产品或者服务时,根据相关法律法规及国家标准,在需求、设计、开发、测试、发布等各个阶段考虑数据安全要求,设置网络隔离、网站防护、漏洞管理、加密措施、权限管理和数据备份等数据保护措施。
在数据处理活动规范方面,既要明确数据处理全流程的合规管理要求,又要确立针对数据处理活动的记录制度,使得任何的数据处理活动都留有痕迹,便于企业发现漏洞和完善管理。
(二) 数据分类分级保护制度
《数据安全法》主要从国家层面确立了数据分类分级保护制度,同时提出各地区、各部门要制定本地区、行业或者领域的重要数据目录。而《个人信息保护法》直接规定了个人信息处理者应对个人信息实行分类管理。
可以预见,未来企业将以国家制定的数据分类分级保护制度为基准,以各地区、各部分的数据目录为指导,制定企业内部的数据分类分级管理制度。当前来看,虽然相关概念尚不明确,但部分企业基于管理的需要,已经建立了针对自身企业的数据分类分级管理制度。尤其是个人信息处理者,通常将敏感个人信息及一般个人信息进行分类管理,以满足不同类型数据监管的要求。
我们建议,在目前强监管的环境下,企业尽量细化自身处理的数据类型,针对不同数据设置不同的管理措施,既要把控风险,又避免过度限制,保障数据依法有序自由流动。
(三) 数据安全应急预案制度
由于网络环境的复杂性,即使数据处理者采取相应的技术手段,也仍然存在着数据泄露的风险。建立完善的数据安全应急预案制度,可将数据泄露的影响限制在可控的范围内,对于保护信息主体的权益及减轻企业的责任,都是极其重要的。
建立数据安全应急预案制度首先要求企业制定数据安全事件应急预案,预案的核心是在发生数据泄露事件时,企业需根据数据的类型、重要程度、对个人信息主体的影响,制定处理方案,并决定是否向个人信息主体进行告知及是否向监管部门进行报告。应急预案还应当包括一整套对外的文件,用于通知监督机构和受影响的个人以及通知媒体。以下为应急预案调查环节的部分内容:
◎ 泄露的数据是什么
◎ 泄露的数据类型(一般数据/个人信息/敏感个人信息)
◎ 泄露给的接收者人数/规模
◎ 对数据主体的影响
◎ 风险是否可控
◎ 数据泄露等级
◎ 需启动的应急方案
◎ 是否需要告知数据主体
◎ 是否需要报告监管部门
此外,企业应当定期组织内部相关人员进行应急响应培训和应急演练,使各部门能够掌握岗位职责和应急处置策略。
(四) 风险评估制度
《数据安全法》针对重要数据的处理者提出了风险评估的要求,而《个人信息保护法》下的个人信息保护影响评估针对的情形包括处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息以及其他对个人权益有重大影响的个人信息处理活动。
风险评估的内容方面,《数据安全法》要求包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。而《个人信息保护法》规定的更加具体,包括个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
由于个人信息保护影响评估针对的情形非常广泛,而重要数据的概念目前尚不明确,在此情形下,我们建议企业尽量将风险评估制度作为一项基本制度确立下来。
尽管我们可以从现有法规中看到企业需要满足的要求,甚至在GB/T35273-2020《个人信息安全规范》中还有一些更为细节的指引,但是我们仍会发现,对于很多问题,尚无定性定量的明确规定,对于一些企业,尤其是中小型企业,有些无所是从。比如内部安全管理制度是否需要单独的文件,散落在不同的管理文件中是否符合了监管?在没有重要数据定义和政府、行业层面的数据分类分级制度下,企业如何进行数据分类分级管理?定期的合规审计是否一定要外部第三方进行,什么样的第三方出具的审计可信,定期的期有多久等?另一方面,面对上述十几项制度要求,在制度架构和设计上似乎也有些散乱,需要专业人士更为明确的建设指引。
三、现有案例剖析
2021年7月,中国信息通信研究院云计算与大数据研究所(以下简称“信通院”)发布了《数据安全治理实践指南(1.0)》,这并不是一份法律文件,不过可以从该指南中可以窥探到个别大型企业数据安全制度的搭建安排,尽管由于企业组织架构不同、业务不同,各个企业的安排存在不少差异,但依然可以看到他们的共有特征——即在数据管理(组织架构、管理流程)、数据运营(数据处理全流程)的过程中将技术安全贯穿其中。
图一:中国联通数据安全体系总体框架[注6]
图二:蚂蚁数据安全复合治理管理模式[注7]
图三:天翼云数据安全治理能力[注8]
另外,我们在上市企业的监管问答中也看到监管机构对数据安全及个人隐私保护措施及手段(技术手段、制度手段等)的关心。旷视科技在上市申请文件的审核问询函中详细回复了企业在技术维度(网络隔离、网站防护、漏洞管理、加密措施、权限管理和数据备份)、制度维度(数据分级、安全事件应急预案、员工信息安全守则)和人员机构维度(CTO下设置安全部、CFO下设置法务部、总裁下设置合规安管部、人力上的协议约束等)上就数据安全合规所作的努力。
四、企业数据安全合规体系搭建的思路
结合前述的法律规定、企业的实践案例,我们梳理出企业建设自己的数据安全合规体系是有思路可循的:在充分调研企业业务(尤其是数据处理相关业务)、组织结构、规章制度的基础上,分析差距要素,按照数据安全管理体系、安全人员体系、安全运营体系和持续化合规监管体系逐一对照法律要求,分门别类进行完善:
数据安全管理体系——建立数据内部管理制度(如散落在不同文件中,汇总审核是否全面完善;如有可能,建立单独的管理手册)、数据分类分级管理制度、数据安全负责人和/或特设机构制度(根据处理信息的数量决定是否设置)、审批和访问权限制度。
关于数据分类分级,《数据安全法》要求国家、各地区、各部门建立数据分类分级保护制度和重要数据目录,以便实现更统一的规则和更方便的监管;而《网络安全法》《个人信息保护法》和《特区条例》则要求数据处理者自身建立分类分级制度,应该是考虑到数据分类分级与企业业务的密切相关。当下,只有极少数行业存在一些分类分级的非强制性规范[注9],大部分行业还处在摸着石头过河的阶段。如兼顾实操便携性和合规需求,企业对业务进行分类,再根据业务类型就处理的信息结合信息对业务本身的重要性、一旦泄露丢失对用户权益损害的严重性,参考个人敏感信息分列等级。
数据安全人员体系——主要是搭建相应的人力资源管理制度和数据从业人员定期培训制度,使得相关人员具有该方面的合规敏感性和专业能力。
人力资源管理制度包括专业人员的匹配(专业管理人员、专业技术人员、专业法务人员)、人员背调(如担任信息安全负责人户或高管的人员是否已经因违反受到《个人信息保护法》下的任职禁止)、对员工的协议约束、对应的奖惩制度等。
数据安全运营体系——即进行数据全流程的合规建设,具体是指针对数据处理的各个阶段——收集、存储、使用、加工、传输、提供、公开、删除,确保合法合规,如进行特定情况下数据处理事前影响评估(《个人信息保护法》);就业务所涉数据处理各阶段法律上(对应协议)和实践中(实际操作与承诺或协议是否相符)是否符合合法合规要点予以业务上线前和运营中的审查。
该部分还包括在对外合作中,就涉及数据处理的商业协议拟定相应的数据安全和数据处理合法合规条款,对合作方提出不低于自身的数据合规措施要求。
持续安全合规机制——建立风险监测方案、数据安全事件应急处置措施、定期合规评审、特定企业定期发布个人信息保护社会责任报告,同时确保与主管部门有效的沟通机制,方便在需要时能够做到及时备案、报告,保障数据合规的长效化。
在上述四个体系建设中保持技术的深度参与全面贯穿,从网络安全的高度全面覆盖和实现数据安全。
企业的数据安全合规虽然是数据处理合规的前提和基础,但因为聚集在企业内部,又更多的以管理制度和技术防范的形式存在,似乎看不到摸不着。对于监管来讲,除了巨型企业、头部企业、上市公司外,面临成千上万的中小型企业似乎也很难一家一家的从企业内部查起。然而,这并非企业可以忽视数据安全方面制度建设和技术保护的理由,毕竟没有了制度和技术,数据的处理合规也成为无源之水,分分钟钟出现违法问题。对数据处理的监管自2019年持续到现在,监管力度不降反增,一旦被发现数据处理不合规,我们不排除主管机关顺藤摸瓜查出一系列安全制度不合法的情形,进而企业和主管人员都将会承担严厉的法律责任(详见《当我们谈数据合规的时候在谈什么——数据合规的架构和基础概念》)。走得快并非走得远,小心驶得万年船。
注释及参考文献:
[1](1)制定内部安全管理制度和操作规程、确定网络安全负责人;(2)采取防范病毒和网络攻击、网络侵入的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施;(4)采取数据分类、重要数据备份和加密等措施;(5)发现安全风险时,及时告知用户并向主管部门报告;(6)为产品和服务持续提供安全维护;(7)制定网络安全事件应急预案,发生安全事件时启动预案并向主管部门报告;(8)建立健全用户信息保护制度;(9)采取技术措施或其他必要措施确保信息安全;(10)加强对用户发布信息的管理;(11)建立网络信息安全投诉、举报制度。
[2] 第三章数据安全制度,规定:国家建立数据分类分级保护制度;国家、各地区、各部门制定重要数据目录、国家建立数据安全风险的评估、报告、信息共享、监测预警机制;国家建立数据安全应急处置机制;国家建立数据安全审查制度。
[3](1)建立健全全流程数据安全管理制度;(2)组织开展数据安全教育培训;(3)采取相应技术措施和其他必要措施;(4)重要数据处理者明确数据安全负责人和管理机构;(5)进行风险监测,发生数据安全事件时,及时向主管部门报告;(6)重要数据处理者定期开展风险评估并向主管部门报告。
[4] (1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取安全技术措施;(4)确定个人信息处理的操作权限并定期对从业人员进行安全教育和培训;(5)定制并组织实施个人信息安全事件应急预案;(6)特定处理者(达到国家网信部门规定的数量的) 应当指定负责人;(7)定期进行合规审计;(8)处理特定信息时进行事前个人信息保护影响评估;(9)发生安全事故时通知用户和主管部门;(10)提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者还需要建立由外部成员组成的独立监督机构、制定平台规则明确保护义务、对违规者暂停服务和定期发布个人信息保护社会责任报告。
[5](1)建立健全数据分类分级、风险监测、安全评估、安全教育等安全管理制度,落实保障措施;(2)处理敏感个人数据或者国家规定的重要数据的应当设立数据安全管理机构、明确数据安全管理责任人,并实施特别技术保护;(3)对数据处理全流程进行记录;(4)对数据存储进行分域分级管理;(5)采取安全技术防护,并建立重要系统和核心数据的容灾备份制度;(6)建立数据销毁规程;(7)落实与数据安全防护级别相适应的监测预警措施;(8)处理敏感个人数据或者国家规定的重要数据应当定期开展风险评估,并向有关主管部门报送风险评估报告;(9)建立数据安全应急处置机制发生安全事故时通知用户和主管部门。
[6]《数据安全治理实践指南(1.0)》,第31页;来源中国联通集团。
[7]《数据安全治理实践指南(1.0)》,第35页;来源蚂蚁集团。
[8]《数据安全治理实践指南(1.0)》,第45页;来源天翼云。
[9] 如工业和信息化部办公厅关于2020年2月27日发布的《工业数据分类分级指南(试行)》;证监会于2018年9月27日公布的《证券期货业数据分类分级指引》(JR/T0158—2018)等。