9月27日,为贯彻落实党的二十届三中全会决策部署,培育全国一体化数据市场,促进企业数据资源合规高效开发利用,国家数据局会同有关部门研究起草了《关于促进企业数据资源开发利用的意见》(下文简称企业数据指导意见),企业数据指导意见明确数据为企业发展的重要资源,强调企业在获取重要资源会通过生产经营过程产生和合法合规获取来进行持有,通过持有的数据来支撑企业的发展。以数据为出发点看企业产生、获取、持有重要资源及支撑企业发展,在不同阶段会有不同数据和数据安全诉求,来保障企业数据资源开发利用。
原文提到的“生产经营过程”,将其分阶段来看,不同阶段会产生不同数据(如:投入阶段会产生资产数据,生产阶段会产生过程数据,销售阶段会产生市场数据,分配阶段会产生成果数据,管理阶段会产生风险数据等),因此,从保障企业数据资源高效利用及数据安全的角度出发,需要在企业的生产经营阶段对数据进行资产梳理、数据分类、数据分级、数据治理等相关工作。原文提到的“合法获取”,需保障数据来源的合法,数据获取范围的合规,采集工具的合法合规,如涉及个人信息需征得主体同意及保护相关权益,只有产生数据、获取数据中满足了合规诉求才能保障持有数据和利用数据发展业务的合法性。原文提到“持有数据”,此动作对于企业来讲,需要重点对数据建立弹性与韧性的数据安全防御体系,来保障数据安全、保护用户隐私、防范内外部攻击等,对于涉及个人信息主体的诉求需开放交流通道及及时应答与响应。原文提到“企业发展”,首先需明确业务发展要与安全建设并重,针对支撑业务发展的数据资源,需要对数据处理活动各阶段的安全问题进行满足,重点需求聚焦数据流动安全问题,规避数据越流动无法控制及追溯的问题等。
我司助推企业数据资源开发利用:
一是我司可在企业生产经营过程中帮助相关企业对数据资源进行前期的数据资源梳理摸清自身家底,并对数据进行分类分级,厘清数据数据类别、级别,将涉及的个人信息、敏感个人信息、重要数据、核心数据等进行明确标注,让每一份数据都标记他的源头以及合规性检查情况。二是我司可在企业合法获取数据过程中,对获取数据的行为及获取数据本身的安全风险进行评估,支撑企业获取行为合规、获取数据边界合规、满足个人信息主体相关合法权益等。三是我司可在企业数据持有阶段,帮助企业由内而外构建数据安全体系,也可针对性发现缺失的数据安全防护能力,即针对性补强缺失能力,帮助构建资产边界,明确可执行什么、不可执行什么,让数据资产从开放式风险收敛到资产边界上。四是我司可在企业发展阶段,对企业数据资产的使用和处理保障数据资产的真实性和机密性,让数据从生成阶段开始的每次变更可以追溯和确认,厘清并明确数据资产的副本数量和所有者等。
一、总体要求
二、提升数据安全合规治理效能
通过本章节的要点来看,涉及的客观主体主要由两部分组成,一是以数据安全合规工作为主体,规划市场环境,主要聚焦认证、管理、监管、自律、规范层面;二是以数据安全合规工作的治理为主体,形成弹性包容的治理环境,强调尽职、免责、包容、弹性等要点。兼顾治理环境和市场环境,在要点中强调了政企沟通机制和稳定企业合规预期。
关于治理环境的弹性包容原则,也映射了近些年一直强调数据资源责任落实到人的现状,由于数据的动态性、人员的不确定性,人的理性和非理性,需要强化数据资源责任,便于提升保护意识、主体能动、合规自律等良性要点,但如果过于强调责任到人,变会出现试错的能动性降低、谨小慎微、不敢创新等问题。那么关于在治理环境中提到的尽职免责、容错纠错、弹性包容看似是一种落实责任的降低,实际是一种促进治理环境良性发展及主体能动性的提升。基于此演化出下一步问题,如何让弹性包容变得合理,如何才算尽职,如何才能免职,是否需要量化,基于数据安全合规的细化与量化要点也许是一种方式(如:底线要求是否建立为必须;合规级别晋升、新理念与新技术融入为弹性等)。
我司助推企业数据资源开发利用:
一是我司在违法行为监管侧可提供数据安全风险评估、数据安全专项检查服务,提升企业对自身风险、自身行为的合规与违法情况。二是我司在数据安全管理侧可提供对企业应用系统数据的安全管控服务,提升企业管控能力。三是我司个人信息保护层面可提供个人信息保护咨询服务,提升企业对涉及个人信息的合规情况、影响情况的认知能力。四是我司可通过提供针对数据安全风险意识、保护意识、政策解读、行为动作底线等提供数据安全专业培训,提升企业在行为自律和安全意识能力。五是我司可从数据安全风险合规防范和业务发展探寻角度,辅助界定责任人是否尽职尽责及是否享受包容政策等。六是从尊重人性的角度,探寻智人潜意识中的行为动作,将人的非理性部分进行梳理,在遵循潜意识的前提下,进行边界收敛及向理性转化。
三、提高数据治理能力
本企业数据指导意见中,对提升数据安全治理能力,从制度、能力评估、平台支撑、数据流动安全、数据开发利用、数据分类分级、数据资源体系、基于数据分类分级的管理措施和合规审批流程等进行要求。
变向来看,这也是数据安全治理体系中应该映射的能力。可按照基础能力、强化能力、支撑能力、持续性能力进行完善。围绕要点来看,基础能力需要聚焦在制度和体系层面(即:数据资源管理制度、数据分类分级制度、数据资源体系等);强化能力需聚焦在数据流动安全、数据开发利用、差异化合规管理、内部合规审批的能力建设层面;支撑能力主要聚焦在结合新技术构建的平台服务,为数据治理能力提供辅助支撑;持续性能力主要聚焦持续对数据治理能力进行评估、持续优化数据处理行为内部合规审批流程及持续对数据流动安全能力进行检测等。
我司助推企业数据资源开发利用:
我司可支撑企业在构建与提升数据安全治理能中,一是基础能力层面,辅助支撑企业构建数据分类分级制度,基于业务划分数据类别、基于数据重要性划分数据级别。在数据资源管理制度中,我司可对企业数据资产面对的风险角度,帮助确定数据资源风险边界,进一步收敛暴露面,构建基于数据资源风险的数据资源管理制度。二是强化能力层面:我司可通过数据安全风险评估、数据安全应急服务支撑企业数据在内外部流动过程中的溯源、风险发现和预警能力。对数据开发利用提供数据安全基线,便于企业在利用数据中的底线确定。三是支撑能力层面,我司可通过态势感知平台和大数据平台,助力企业在数据资源开发利用过程中提升感知外部风险、监测安全威胁、风险分析等能力。四是持续性能力层面,我司可支撑企业构建数据安全治理体系,通过运营模式夯实数据安全治理工作,通过风险权重,针对性开展数据安全风险评估,检测数据安全治理能力成效等。
爱加密作为国内知名的移动信息安全综合服务提供商,长期关注监管要求与企业痛点,不断解读监管部门文件,协助企业理解文件核心精神,将持续加强技术创新与研究,帮助企业有效防范化解风险,为企业高质量发展保驾护航。