其他
原创 | “防删库”硬核操作指南
因各企业“库内”数据类型多样。不同的数据内容也决定了企业安保义务有所不同。本文谨以涉个人信息的数据企业的安保措施予以分析,其他数据企业则可参照实施。
内 容 提 要
一、先行:安全保障制度与操作规程
二、硬核:网络安全技术等级测评
三、双赢:审慎委托第三方存储
四、Plan B: 安全事件的紧急处理
先行:安全保障制度与操作规程
我们在数据合规系列文章中提到,目前我国的数据立法不甚完善,各类数据企业在实操过程中,也有一些迷茫。可以上现实,并不代表着目前数据安全保障就无法可依,无据可循。结合我国现有的关于个人信息保护的各类规范及各项国家标准,我们将企业保障数据安全的制度与基本操作规程进行总结。
1.日常操作中的权限管理
(1)最小权限:
A.对被授权访问企业数据的人员,建立最小授权的访问控制策略,使其只能访问职责所需的最小必要信息,且仅具备完成职责所需的最少数据操作权限;
B.对企业数据的重要操作设置内部审批流程,如批量修改、拷贝、下载等操作;
C.对安全管理人员、数据操作人员、审计人员的角色分离设置;
D.确因工作需要,需授权特定人员超权限处理个人信息的,应经数据安全责任人或个人信息保护工作机构进行审批,并记录在册。
(2)及时删除信息
A.数据保存期限为实现授权使用目的所必需的最短时间。超出上述信息保存期限后,应删除数据或对数据进行匿名化处理;
B.当涉数据企业停止运营其产品或服务时,应及时停止继续收集个人信息;将停止运营的通知以逐一送达或公告的形式通知个人信息主体;并对其所持有的个人信息进行删除或匿名化处理。
(3)去标识化
收集个人信息后,企业应立即进行去标识化处理,并采取技术和管理措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用权限管理。
(4)敏感信息存储
A.存储个人敏感信息时,采用加密措施;
B.存储个人生物识别信息时,采用技术措施,确保信息安全后再进行存储。
2.内部职能部门部署
(1)法定代表人或主要负责人对个人信息安全负全面领导责任,包括为数据安全工作提供人力、财力、物力保障;
(2)任命数据保护负责人和数据保护工作机构,数据保护负责人由具有相关管理工作经历和数据保护专业知识的人员担任,参与有关数据处理活动的重要决策;
(3)数据保护负责人和数据保护工作机构的职责应包括但不限于:
A.全面统筹实施组织内部的数据安全工作,对数据安全负直接责任;
B.组织制定数据保护工作计划并督促落实;
C.制定、签发、实施、定期更新相关规程;
D.建立、维护和更新企业所持有的数据和授权访问策略;
E.开展个人信息安全影响评估,提出数据保护的对策建议,督促整改安全隐患;
F.组织开展信息安全培训;
G.进行安全审计;
H.与监督、管理部门保持沟通,通报或报告数据安全及突发事件处置等内容。
3.内部风险评估(审计)
内部审计可以对安全事件的处置、应急响应和事后调查等提供有力支撑,对此,企业应:
(1)对相关规程和安全措施的有效性进行审计;
(2)建立自动化审计系统,监测记录数据处理活动;
(3)防止非授权访问、篡改或删除审计记录;
(4)及时处理审计过程中发现的数据违规使用、滥用等情况;
(5)妥当保存审计记录。
硬核:网络安全技术等级测评
我们在前期数据合规系列文章中,曾提到网络安全技术等级测评的五级标准。
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)指出,“等级保护对象是指网络安全等级保护工作中的对象,通常是指计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络,云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等”。可以看到,市场中,大多数涉数据企业都涵盖在以上范围之内。
但目前,我国尚没有专门的法律规范明确各类涉数据企业应达到的网络安全保护等级。各行业可参照的具体文件包括《信息安全技术 网络安全等级保护定级指南》(GB/T 22240)、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)等。
将以上规范内容概而言之,即,信息系统的安全保护等级主要由两个要素决定:A.等级保护对象受到破坏时所侵害的客体;B.对客体造成侵害的程度。
目前,我们了解到,银行的多数系统采用的是等保三级,而其他各类涉数据企业,还请自查。
双赢:审慎委托第三方存储
在某盟的“删库”案件中,一度某主流云存储服务提供商也被推上风口浪尖。云空间已成为企业数据存储的重要方式。
根据《信息安全技术 个人信息安全规范》、《信息安全技术 网络安全等级保护基本要求》,数据企业需选择安全合规的合作服务商,履行系列注意义务,并通过协议约束双方的数据安全责任,具体而言:
(1)选择安全合规的云服务商,且服务商提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
(2)建立云服务商产品或服务接入管理机制和工作流程,必要时,应建立安全评估机制,设置接入条件;
(3)督促云服务商加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
(4)涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,应对第三方嵌入或接入的自动化工具收集数据行为进行审计,发现超出约定的行为,及时切断接入;
(5)与云服务商通过合同等形式明确双方的安全责任及应实施的数据安全措施;合同中应具备的特殊条款有:
A.云服务商的各项服务内容和具体技术指标;
B.云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
C.在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上的清除;
D.设置保密条款,要求其不得泄露云服务客户数据。
(6)妥善留存云服务接入有关合同和管理记录等。
温馨提示:根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第8.2.4.6条,即使采用云服务存储数据,云服务客户,也即数据企业仍应在本地保存其业务数据的备份。对此,还请提请各位读者注意。
Plan B: 安全事件的紧急处理
为应对突发的数据安全事件,数据企业还需做好B计划,突发安全事故发生后,及时启动急预案或备份系统,对此,数据企业需:
(1)制定个人信息安全事件应急预案;
(2)定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
(3)发生数据安全事件后,根据应急响应预案进行以下处置:
A.记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的信息数量及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
B.评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
C.按照《国家网络安全事件应急预案》等有关规定及时上报;
D.根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案;
E.涉及可能会给他人合法权益带来严重危害的,及时告知信息主体。应告知内容应包括但不限于:
a) 安全事件的内容和影响;b) 已采取或将要采取的处置措施;c) 个人信息主体自主防范和降低风险的建议;d) 针对个人信息主体提供的补救措施;e) 个人信息保护负责人和个人信息保护工作机构的联系方式。
(4)启用备份系统,减少故障损害。
以上,就是今天的分享。感恩读者!
扫描下方二维码即可购买
往期精彩回顾
原创 | 如何找到肖飒"金融科技”法律团队?
用心 | 重启"飒姐约饭",中午见!
肖飒,垂直“金融科技”的深度法律服务者,中国银行法学研究会理事、中国社会科学院产业金融研究基地特约研究员、金融科技与共享金融100人论坛首批成员、人民创投区块链研究院委员会特聘委员、《区块链应用蓝皮书(2019)》撰稿人之一。被评为五道口金融学院未央网最佳专栏作者,互金通讯社、巴比特、财新、证券时报、新浪财经、凤凰财经专栏作家。
让金融科技人远离“囹圄”!!
办公邮箱:sa.xiao@dentons.cn