日前,《个人信息安全保护法》和《数据安全法》完成了二审。对于企业而言,未来法规的正式颁布实施将是一把双刃剑。一方面,可以提高公众意识,促进各项数据安全工作的落实;企业对数据安全工作进行有效约束。如何做好数据生命周期管理一直是个让人头疼的问题。本文将简要分析《数据安全法》二审稿(草案)中涉及企业数据全生命周期管理的合规要求。法律背景《数据安全法二审稿(草案)》共七章五十一条,其中“总则”、“法律责任”和“附则”为常规章节,其他四章重点介绍对《数据安全与发展、数据安全体系、数据安全保护义务、政务数据安全与开放》提出四个方面的工作要求。全数据生命周期安全合规要求(一)制度建设建立健全数据全流程安全管理体系,落实数据安全保护责任,组织数据安全教育和培训,采取相应的技术措施和其他必要措施,确保数据安全。(2)风险监测应对数据缺陷、漏洞等风险采取补救措施(3)风险a评估定期对数据处理活动进行风险评估,并提交风险评估报告。(四)任何组织和个人收集、使用所收集数据必须合法合法,不得窃取或者以其他非法方式获取。法律、行政法规规定收集、使用数据的目的和范围的,应当在法律、行政法规规定的目的和范围内收集、使用数据。(五)数据交易数据服务提供者或交易机构必须提供并说明数据来源的证据,审核相关人员身份并留存记录。(六)存储、处理委托他人存储、处理、提供政务数据,需经批准和监督。(七)配合侦查要求配合公安、公安等部门依法开展刑事侦查工作。如果外国执法机构想要访问存储在中国的数据,他们必须首先对其进行审查。(八)审批和监管委托他人建设、维护系统,或涉及数据存储、处理的,应当履行严格的审批程序,并监督受托方和数据接收方履行相应的数据安全保护义务。以上八个方向是《数据安全法》对企业实施数据安全全生命周期管控的基本要求。数据全生命周期安全实施建议数据全生命周期涵盖收集、传输、存储、处理、共享、销毁六个阶段。数据全生命周期的安全管理也是企业开展数据安全管理的核心和难点。(一)数据采集:数据采集规范应明确数据采集的目的、用途、方法、范围、采集来源、采集渠道等,并标识和记录数据来源。建立明确的收集政策,仅收集和记录授权数据。定义数据采集过程中的风险项,形成数据采集风险评估规范。数据采集??的全过程需要遵守相关法律法规和监管要求,实现合规合法采集。(2)数据传输:做好传输接口的控制和监控。建议对敏感数据进行加密传输,主要采用对称加密算法和非对称加密算法。推荐对称加密算法如:DES、IDEA、AES、SM1(国密算法),非对称加密算法如:RSA、ECC、SM2(国密算法)。(3)数据存储:重要数据存储在国内,做好存储介质管理,建立数据存储和备份机制,定期进行备份和恢复演练。(4)数据处理:严格遵循数据处理最小化和必要性原则,明确数据处理和使用规范,确保员工只能访问履行职责所需的最少和足够的敏感数据。在操作数据时,需要进行去标识化处理,明确数据脱敏的业务场景,统一使用合适的脱敏技术。(5)数据共享:一是建立数据共享规范。共享前应严格审批归档,同时进行个人信息安全影响评估;三是开展共享监测审计。数据进出口要严格审批和监控,建立数据交换共享审核流程和监管平台,确保数据共享的所有操作和行为都有数据记录。并对高危行为进行风险识别和管控。(6)数据销毁:应建立数据销毁机制,明确存储介质的删除方式。数据销毁须经领导同意。同时,应采取可靠的技术手段,确保被删除、销毁的用户个人电子信息无法再次恢复。针对不同的存储介质和设备,存在不可逆的销毁技术和流程,并建立销毁监控机制,严防数据销毁阶段可能发生的数据泄露。数据销毁包括物理层面的销毁和逻辑层面的销毁。按照处理成本、复杂度、安全性从低到高的顺序,数据销毁方法分为三个级别:1级销毁:在软件系统级删除数据;一级销毁方式:清除存储介质层数据;第三级销毁方法:物理销毁数据及其存储介质。在监管数据全生命周期的同时,为了对数据进行监控和审计,数据的分类和分类必不可少。在数据分类分类之前,需要通过数据映射发现敏感数据以及数据主要存放的位置。对数据进行结构化分级分类,实现数据资产安全敏感分级管理,并根据每个层级部署相应的数据安全策略,确保数据在数据资产全生命周期和可用性期间的机密性、完整性、真实性。【本文为专栏作者“安妞”原创文章,转载请通过安妞(微信id:gooann-sectv)获得授权】点此查看作者更多好文
