新闻详情

News

两家公司违反《数据安全法》被处罚,数据合规警钟长鸣
新闻动态
2024-10-29

近期,两家公司未履行网络安全保护义务,未采取必要的安全防护,导致大量敏感数据被窃取。该市网信办依据《数据安全法》分别对两家公司作出责令改正,给予警告,并处人民币5万元罚款的行政处罚。

严厉处罚不是偶然之举,而是数据安全重要性日益凸显的必然结果。在信息时代,数据安全不仅关乎人民群众的切身利益,更是国家安全和社会稳定的基石。任何开展数据处理活动的企业和个人,都必须依法行事,建立健全数据安全管理制度,确保数据的万无一失。

数据安全合规:谁是守护者?

那么“数据安全合规”的主体是谁呢?

根据《数据安全法》第八条的规定,“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。”

据此可知,在我国,“数据安全合规”的主体就是开展数据处理活动的人。

那么数据处理活动又包括哪些行为呢?根据《数据安全法》第二十一条第一款的规定可知,“开展数据处理活动应当……建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”,也就是说《数据安全法》中所称的数据处理活动是指在数据全生命周期中所涉及的所有活动,包括但不限于对数据的收集、存储、使用、加工、传输、提供、公开、删除等。

三年来《数据安全法》实施成效显著

自《数据安全法》实施以来,我国数字经济呈现出蓬勃发展的态势。

一方面法律法规体系不断完善,形成了以《数据安全法》和《个人信息保护法》为核心,涵盖数据跨境、数据交易等多个领域的法律法规体系。这些法律法规的出台,为数据的安全流动和有效利用提供了坚实的法律支撑。

在跨境数据传输上,网信办于2022年先后公布了《数据出境安全评估办法》以及《个人信息出境标准合同办法》。2023年9月28号网信办公布的《规范和促进数据跨境流动的规定(征求意见稿)》,在上述规定的基础上进一步细化规范,适当优化了审批程序和适用范围,一定程度地明确和放松了监管要求。在数据互联互通与数据交易上,中共中央国务院于2022年年底发布《关于构建数据基础制度更好发挥数据要素作用的意见》、2023年2月发布《数字中国建设整体布局规划》,国家数据局于2023年10月25日的正式成立标志着国家数字化发展迈出关键一步。2023年发布《“数据要素×”三年行动计划(2024—2026年)》,是其自成立以来的首次重磅发声。

另一方面,各级政府和各行业严格贯彻落实《数据安全法》,加强数据安全发展。通过建立健全数据保护法律法规体系,引导企业强化数据安全治理,规范数据处理活动,确保数据在采集、存储、使用、加工、传输、提供、公开等全生命周期中的安全可控。同时,政府还积极推动数据互联互通与数据交易,促进数据要素市场的健康发展,为数字经济注入新的活力。

合规视角下的数据安全新挑战

随着相关法规的逐步实施与完善,那么数据安全问题就已经不再仅仅是企业“关起门”来处理的内部问题,同时也是国家监管部门参与进来的监管问题。现阶段,企业的数据安全建设在满足内部数据安全需求的同时,也必须遵循法律法规的合规性条款。然而,数据安全合规之路并非坦途。

数据分类分级不清:组织可能未能准确识别要对哪些据进行分类和分级,导致关键数据与一般数据的保护措施混为一谈。

风险评估不全面:风险识别过程可能仅关注技术层面,忽视了组织管理、人员意识等非技术因素带来的风险。

技术实施不足:虽然认识到防护需求,但未能按照《数据安全法》要求采用适当的技术手段,如加密、访问控制等。

第三方管理疏忽:对外包服务提供商的数据处理活动监管不严,未要求其达到相应的安全标准。

监控盲点:虽然按照《信息安全技术政务信息共享数据安全技术要求》GB/T39477-2020 要求进行了部署,但监控系统未覆盖所有数据处理环节,如数据流转和使用过程中的异常未被有效监测。

威胁响应迟缓:虽然按照《信息安全技术政务信息共享数据安全技术要求》GB/T39477-2020 建立了检测响应机制,缺乏实时威胁情报和自动化的监测响应机制,对新出现的威胁反应缓慢。

应急计划不完善:虽有应急响应计划,但未针对数据泄露等特定场景制定详细步骤,或未进行定期演练。

信息通报不畅:事件发生后,内部沟通和外部通报流程复杂,延误了响应时间。

恢复措施表面化:仅进行数据和系统的简单恢复,未深入分析事件根源和采取长期改进措施。

持续改进机制缺失:缺乏将事件经验转化为组织学习和改进的机制,问题重复发生。

全过程风险管控保障数据安全合规

在这样的背景下,道普信息风险管控专家建议企业和机构应加强内部管理和技术防护,从风险识别、防护加固、检测监测、应急处置、恢复改进等各阶段过程,采取措施,确保符合数据安全法等相关法律法规。

数据分类分级与保护强化:制定敏感性与价值导向的数据分类分级标准,实施精准分类并差异化保护,同时强化员工培训以提升数据安全意识。

全面动态风险评估:综合非技术因素,采用定性与定量法精准识别风险,并随业务与技术发展定期更新评估,确保全面性与时效性。

强化技术防护与创新能力:依据法规加强数据加密、访问控制等技术防护,同时引入AI等前沿技术,并强化技术培训,提升数据安全防护水平。

严控第三方数据风险:严格筛选外包商,签订保密协议明确责任,并强化监管审计,确保数据安全无虞。

智能监控与日志管理强化:扩展监控范围,引入AI技术提升监控效能,完善日志管理,确保数据处理全程可视可控。

构建智能应急响应体系:建立实时威胁情报系统,引入自动化监测响应,强化应急演练,确保数据安全无忧。

强化应急准备与响应:完善应急计划,定期演练评估,组建专业团队,确保数据泄露等风险高效应对。

优化通报与协作机制:简化流程,建立明确通报机制,强化内部沟通协作,确保信息畅通无阻,应对迅速有力。

深入分析事件原因:深度剖析泄露根源,系统性制定改进方案,持续跟踪评估效果,确保问题根治无复发。

两家公司的教训,是数据安全合规道路上的一个小插曲,却也是对所有企业和机构的一次深刻警醒。数据安全合规对于各行业、数字经济的发展具有深远的影响和重要意义。未来,我们将继续加强数据安全法治建设,推动数据安全技术的创新与应用,为数字经济的持续健康发展提供坚实的法律保障和技术支撑。