合规清单丨《数据安全法》下全流程数据安全管理制度构建要点
免费
吴丹君
时长/课时:9分钟/0.19课时
1个月之前
2021年6月10日,《数据安全法》正式通过,其与《网络安全法》一样,是网络安全和数据合规领域的基础性法律。如我们在上周的解读中所梳理的(拓展阅读:《9月1日正式实施,〈数据安全法〉深入解读》),《数据安全法》对数据处理者设置了多项义务。
然而,《数据安全法》对于数据处理者的数据安全保护义务更多是提纲挈领地做出制度安排,一些实施细则还有待后续配套法律法规明确。后续可能会对曾在2019年征求意见的《数据安全管理办法(征求意见稿)》进行修改,落实《数据安全法》的各项制度。
《数据安全法》中较为概括的条文可能会让企业们无所适从。比如第二十七条要求数据处理者建立健全全流程数据安全管理制度,但企业应如何建立这一制度才算符合《数据安全法》的要求呢?
下面我们结合《数据安全法》《数据安全管理办法(征求意见稿)》《数据管理能力成熟度评估模型》(GB/T 36073-2018)《数据安全治理能力评估方法》(T/ISC-0011-2021)等法律法规、国家标准和行业标准,从“顶层设计”“基础制度制定”“全流程数据安全管理”三个阶段,为企业梳理全流程数据安全管理制度的构建重点。
全流程数据安全管理制度构建要点
(简表)
顶层设计 | |
是否对业务和现有资源等情况进行评估,充分了解自身数据需求,以及企业在数据处理各个环节中的不同风险? | □是 □否 |
是否结合业务需求、监管要求、自身能力,确定企业数据安全目标,制定数据安全战略,并定期进行审查修订? | □是 □否 |
是否建立或指定负责企业内部数据处理各环节安全工作的部门、岗位或人员? | □是 □否 |
是否根据岗位职责设置各级数据处理权限,按照最小必要、职权分离等原则,授予不同账户为完成各自承担任务所需的最小权限,在各账号间形成相互制约的关系? | □是 □否 |
若企业为重要数据处理者,是否明确数据安全负责人和管理机构,落实数据安全保护责任? | □是 □否 |
基础制度制定 | |
是否开展数据分类分级工作? | □是 □否 |
是否建立风险监测制度,采取措施监控内部数据处理活动和外部访问活动,防范不正当的数据访问和处理行为? | □是 □否 |
是否把对高敏感数据的处理以及特权账户对数据的访问和操作都纳入重点监控范围? | □是 □否 |
是否建立数据安全事件应急制度? | □是 □否 |
是否制定数据安全事件应急预案并定期进行演练? | □是 □否 |
是否定期对员工进行培训,并考察员工能力与岗位职责的匹配程度? | □是 □否 |
是否建立数据安全审计制度,定期引入第三方机构对内部数据处理活动进行审计? | □是 □否 |
若企业为重要数据处理者,是否定期对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告? | □是 □否 |
全流程数据安全管理 | |
数据收集 | |
是否在数据分类分级基础上明确收集数据目的和用途,数据收集流程及数据收集安全管理要求等制度并及时更新? | □是 □否 |
是否规定数据收集的渠道及外部数据源鉴定方式,并对收集来源方式、数据范围和类型进行记录,确保数据来源的合法性? | □是 □否 |
是否提供满足数据收集安全要求的安全管理技术方案? | □是 □否 |
是否定期对数据收集工具进行安全测试并持续优化? | □是 □否 |
数据收集人员是否能充分理解数据收集的法律要求、安全和业务需求,并能根据业务需求和具体情况选择合理的数据收集方式? | □是 □否 |
数据存储 | |
是否按照法定要求留存相应数据? (拓展阅读:《网络运营者数据存储义务汇总表》) | □是 □否 |
是否在数据分类分级基础上建立数据存储安全制度,包括存储介质及逻辑存储管理、存储系统结构设计、介质保存环境、数据备份与恢复等各项制度,制定差异化的数据存储方案并及时更新? | □是 □否 |
是否提供满足数据存储安全要求的安全管理技术方案? | □是 □否 |
是否定期对支撑数据存储安全的技术工具进行安全测试并持续优化? | □是 □否 |
负责数据存储管理的人员是否熟悉数据存储结构,具备根据技术发展、实践案例、合规要求变化调整数据存储方案的能力? | □是 □否 |
数据使用 | |
是否在数据分类分级基础上,明确各业务场景数据使用范围和权限、合规要求、使用安全防护要求和数据使用限制等各项制度并及时更新? | □是 □否 |
是否明确数据使用权限审批流程,对数据源、数据使用场景、数据使用范围、数据使用逻辑进行审核以开放相应权限? | □是 □否 |
是否对使用数据输出的业务结果进行安全审查,避免业务结果包含不必要的敏感数据? | □是 □否 |
是否提供满足数据使用安全要求的安全管理技术方案? | □是 □否 |
是否定期对支撑数据使用安全的技术工具进行安全测试并持续优化? | □是 □否 |
使用数据的人员是否能基于业务场景和合规要求对数据使用过程中所可能引发的安全风险进行有效的评估,并能够针对各业务场景提出有效的解决方案? | □是 □否 |
数据对外提供 | |
是否在数据分类分级基础上,明确各业务场景中数据对外提供的范围、目的、方式、安全管理措施等各项制度并及时更新? | □是 □否 |
是否明确向境外提供数据的安全管理规范? | □是 □否 |
是否对外部数据接收者进行评估,以确保其具备足够的数据保护能力? | □是 □否 |
是否与外部数据接收者签订协议,明确数据使用方式、数据留存时间、数据安全保护责任及保密义务? | □是 □否 |
在数据对外提供后,是否对外部数据接收者的数据处理行为进行监督? | □是 □否 |
是否提供满足数据对外提供安全要求的安全管理技术方案? | □是 □否 |
是否定期对支撑数据对外提供安全的技术工具进行安全测试并持续优化? | □是 □否 |
负责数据对外提供的人员是否充分了解数据对外提供制度,能够对数据接收者的安全保护能力进行评估,以采取合理的数据对外提供方案? | □是 □否 |
数据删除 | |
是否在数据分类分级的基础上,建立数据删除、存储介质销毁、对外提供数据删除及介质销毁等各项制度并及时更新? | □是 □否 |
是否建立数据删除、存储介质销毁流程和审批机制,对审批和销毁过程进行完整记录? | □是 □否 |
是否提供满足数据删除要求的安全管理技术方案? | □是 □否 |
是否定期对支撑数据删除的技术工具进行安全测试并持续优化? | □是 □否 |
负责数据删除的人员是否熟悉数据删除的相关合规要点,能够根据需求使用相应的数据删除工具、介质销毁工具? | □是 □否 |
作者:吴丹君律师 张振君律师助理
来源:微信公众号“大数据法律研究”
精选评论
(3)-
王律师
我们应当从法律法规、国家标准和行业标准,从“顶层设计”“基础制度制定”“全流程数据安全管理”三个阶段出发,为企业梳理全流程数据安全管理制度的构建重点。
2021-06-27点赞:1 回复
还可以输入 280个字 回复
-
吴律师
负责数据对外提供的人员是否充分了解数据对外提供制度,能够对数据接收者的安全保护能力进行评估,以采取合理的数据对外提供方案?是我们应当思考的问题。
2021-06-26点赞:1 回复
还可以输入 280个字 回复
-
方律师
是否在数据分类分级基础上,明确各业务场景数据使用范围和权限、合规要求、使用安全防护要求和数据使用限制等各项制度并及时更新在数据使用上十分受用。
2021-06-25点赞:1 回复
还可以输入 280个字 回复
公司决议下次,股东是否打赏的卡死了肯德基阿里
声音
- 情感童声
- 性感男声
- 特别男声
- 普通男声
- 普通女声
语速
- 0.7X
- 1.0X
- 1.5X
- 2X
- 3X
- 4X
字号
- 特大
- 大
- 标准
- 小
作者
- 文章156
- 读者52w
- 关注25
- 点赞435
观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。精耕于网络安全合规领域.
执业领域:
互联网|数据信息、兼并收购、外商直接投资、酒店等
曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。
我也要当作者思想共享 知识变现
猜你喜欢
换一换作者推荐
换一换
常见问题
-
1、“点读”是什么?
点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。
-
2、“点读”的作者?
在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。
-
3、“点读”的文章?
作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。
-
4、“点读”的审核?
作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。