数据是现代企业的血液,以大数据或互联网为工具开发新型服务或产品的传统行业企业也依赖数据带来新的业务增长点。随着《中华人民共和国数据安全法》(以下简称《数据安全法》)正式生效并逐步深入落实,网络安全执法活动日趋活跃,科技企业的网络安全及数据保护合规状态亦成为监管机关的重点关注内容。本文将结合近期武汉市政府出台的《武汉市支持数字经济加快发展若干政策》、《网络安全法》、《数据安全法》以及相关国标的要求,对研发企业搭建自己的数据合规体系提出建议和指引,供科技研发类企业参考。
一、数据合规工作的重要性
为什么对于企业来说,数据合规工作如此重要?
二、研发企业如何应对数据合规
那么如何从《数据安全法》的角度出发,做好数据合规的应对工作呢? 在此,笔者提出了“三步走”的战略。
第一步:搭框架、定规矩、用工具
政策的上行下达和全面落实离不开完善的制度框架。搭建企业组织架构、完善制度体系、更新技术工具便是企业合规应对工作的第一步。企业做数据合规这个工作,至少要从三个部门展开工作:首先,确保数据处于有效保护的状态,意味着企业面临着在数据处理、数据保护的技术手段方面的挑战,其需要专业的技术部门来从容应对。其次,确保数据处于合法利用的状态。到哪种保护程度才属于“合法利用”?如何去判断数据利用是否已踩在“非法”的红线上?这需要深耕于数据合规领域具备相关法律知识的人员帮助,即应当交于法务部门或者外聘律师来负责。最后,确保具备保障持续安全状态的能力,需要实时检测和审计,即合规部门来负责。由上述部门负责明确企业数据安全制度流程和战略规划的建设,并可由这些部门开展基本的数据保护、个人信息保护意识培训,推广企业数据安全规划,使企业全体员工都能参与到保障数据安全的工作当中。
有了负责数据安全的岗位设置后,下一步则是明确相关负责人,落实数据安全保护责任,从而有效开展工作。研发企业应挑选能够将企业数据合规工作与业务发展工作进行有机结合的人才作为部门负责人,负责人能基本了解核心数据保护、重要数据保护、个人信息保护、跨境数据传输等方面的合规要求,并能持续跟踪科技行业最新的数据安全政策、标准、产业发展趋势、新型科学技术,并根据这些内容,对本企业的数据合规体系实现持续优化。
同时,研发企业可充分利用现有可信办公协同软件,进行日常工作流程审批、员工权限管理、数据备份、日志管理工作,并将数据合规结果通过图文化方式上报给战略层,以保证战略层对企业整体的合规情况得到有效了解。
第二步:动态监管
完成“第一步”后,企业已经能基本保障数据的安全,为进一步实时保护数据安全,还需要对数据处理活动进行检测和审计,以实现对数据生存周期各阶段可能存在的风险进行防控。企业可建立企业内部数据安全合规资料库,企业的所有工作人员都可以通过该资料库查询合规要求。针对个人信息,应采取必要的技术手段和控制措施实现个人信息安全保护,对个人信息进行匿名化、去标识化,并定期审核相关操作记录,并及时更新个人信息保护的解决方案。针对敏感数据,需要进行脱敏处理,保证数据可用性和安全性的平衡。
在对数据进行分类分级保护后,为更好地实现风险控制,企业还可以通过更新技术工具与手段,使各类数据的处理行为都能被有效记录,并且可以量化背后的数据安全风险,以最直观的方式呈现企业当前所有数据处理行为面临的风险。这对合规部门的工作人员在专业能力上也提出了更高的挑战。但若企业的数据风险如果能得到更快速更精准地预判,搭建起企业自有、可行、可发展的模型,甚至可以参与相关的标准制定,成为未来的行业标杆。
第三步:构建事故应急机制
由于数据的完整生命周期都受到《数据安全法》的保护,数据安全问题若没有持续有效的事故应急机制去及时应对,很有可能发生来势汹汹的安全性事故,因此在前两步之后,企业接下来要做的就是设计出反应及时、行而有效的事故应急机制。企业应当建立针对数据的安全事件应急响应机制,对各类安全事件进行及时响应和处置,保障企业数据安全,并能使相关业务快速恢复运营。
结语
在未来,数据合规必会是企业合规管理的一大重要板块,企业数据合规的工作需要根据相关行业定义的数据等级指南和保护指南补强企业现有的制度管控,建立数据保护制度、定期审查制度和事故应急机制;数据合规也不仅仅靠一个部门就能完成,需要多个部门通力合作,同心协力,搭建一个与自身业务性质和经营管理相适应的合规体系,为企业的发展保驾护航