企業數據安全制度建設和技術保護

在《當我們談數據合規的時候在談什么——數據合規的架構和基礎概念》中，我們提到數據合規可以分成兩大部分，一部分是《個人信息處理全流程合規——兼評<個人信息保護法>》里闡述的數據處理合規，因這部分內容更貼近用戶，與廣大消費者的生活直接相關，所以在備受關注的同時也往往會被誤解為數據合規的全部。實際上，數據合規的另一部分——數據安全合規也非常重要，它更多體現在國家/企業制度層面和技術層面，是數據處理合規的前提和基礎。對于企業來講，實現完整的數據合規，數據安全的制度建設和技術支持是不可或缺的重要內容。

一、現行法律法規對企業數據安全的要求

《網絡安全法》從網絡運行安全（第三章）、網絡信息安全（第四章）和監測預警與應急處置（第五章）三個方面搭起了網絡安全的架構，監測預警與應急處置主要是對國家、政府提出的要求，本篇暫且不論。就網絡運行和信息安全而言，《網絡安全法》對企業提出了十幾項要求[注1]并在法律責任章節明確如違反規定的，會遭受警告或對企業和直接負責人員的雙重罰款。

《數據安全法》與《網絡安全法》類似，分別從國家層面[注2]和數據處理者層面作出規定，要求數據處理者履行數據安全保護義務[注3]，否則可能遭受警告、對企業和直接負責主管人員的雙重罰款、暫停相關業務、停業整頓、吊銷相關業務許可證或吊銷營業執照。

《個人信息保護法》作為個人信息處理的專門法規，當然具有安全保護的內容[注4]，同時，由于個人信息是數據中最為重要的一類，該法對違反個人信息應當承擔的法律責任相對于上述兩部法律，明顯在責任類型和數額上都有所增加，即除了警告、對企業和直接責任人員的雙重罰款、暫停相關業務、停業整頓、吊銷相關業務許可證或吊銷營業執照外，直接負責人員還將被禁止擔任高管和個人信息保護負責人。

《深圳經濟特區數據保護條例》（以下簡稱《特區條例》）設立專章規定數據安全的實現，同樣對數據處理者提出要求[注5]，但《特區條例》相較于《個人信息保護法》，少了對應的罰則，使得對企業安全制度方面的要求有些缺牙老虎的無力感。

對以上四部法律的制度和技術要求進行簡化，共性匯總和特性分離后，我們整理出以下簡表：

二、企業數據安全重要制度介紹

從上述簡表可以看出，四部法律既規定了一些共同的制度，也規定了針對特殊數據類型或者特定信息處理者的特殊制度，可以說這些制度共同構筑起數據合規領域的基本制度架構。我們在此簡單介紹總要求并選取三項重要制度進行詳細介紹。

(一) 總要求——數據安全管理和信息保護制度

數據安全管理和信息保護制度是企業數據安全合規制度的總稱，其他各項制度是其具體內容。每部法律都作出了建立管理和保護制度的要求，但如何建立全面、完善和適宜的內部制度，還需要企業根據自身情況探索和實踐。一般來講，我們認為應當從機構及人員設置、數據安全技術管理、數據處理活動規范等幾個方面嘗試。

在機構及人員設置方面，應明確企業的法定代表人或主要負責人對數據安全負全面領導責任，同時下設數據/信息安全部、法務部等部門，并根據處理數據的類型或者處理數據的數量設置數據安全負責人或者個人信息保護負責人。

在數據安全技術管理方面，企業應當在開發產品或者服務時，根據相關法律法規及國家標準，在需求、設計、開發、測試、發布等各個階段考慮數據安全要求，設置網絡隔離、網站防護、漏洞管理、加密措施、權限管理和數據備份等數據保護措施。

在數據處理活動規范方面，既要明確數據處理全流程的合規管理要求，又要確立針對數據處理活動的記錄制度，使得任何的數據處理活動都留有痕跡，便于企業發現漏洞和完善管理。

(二) 數據分類分級保護制度

《數據安全法》主要從國家層面確立了數據分類分級保護制度，同時提出各地區、各部門要制定本地區、行業或者領域的重要數據目錄。而《個人信息保護法》直接規定了個人信息處理者應對個人信息實行分類管理。

可以預見，未來企業將以國家制定的數據分類分級保護制度為基準，以各地區、各部分的數據目錄為指導，制定企業內部的數據分類分級管理制度。當前來看，雖然相關概念尚不明確，但部分企業基于管理的需要，已經建立了針對自身企業的數據分類分級管理制度。尤其是個人信息處理者，通常將敏感個人信息及一般個人信息進行分類管理，以滿足不同類型數據監管的要求。

我們建議，在目前強監管的環境下，企業盡量細化自身處理的數據類型，針對不同數據設置不同的管理措施，既要把控風險，又避免過度限制，保障數據依法有序自由流動。

(三) 數據安全應急預案制度

由于網絡環境的復雜性，即使數據處理者采取相應的技術手段，也仍然存在著數據泄露的風險。建立完善的數據安全應急預案制度，可將數據泄露的影響限制在可控的范圍內，對于保護信息主體的權益及減輕企業的責任，都是極其重要的。

建立數據安全應急預案制度首先要求企業制定數據安全事件應急預案，預案的核心是在發生數據泄露事件時，企業需根據數據的類型、重要程度、對個人信息主體的影響，制定處理方案，并決定是否向個人信息主體進行告知及是否向監管部門進行報告。應急預案還應當包括一整套對外的文件，用于通知監督機構和受影響的個人以及通知媒體。以下為應急預案調查環節的部分內容：

◎ 泄露的數據是什么

◎ 泄露的數據類型（一般數據/個人信息/敏感個人信息）

◎ 泄露給的接收者人數/規模

◎ 對數據主體的影響

◎ 風險是否可控

◎ 數據泄露等級

◎ 需啟動的應急方案

◎ 是否需要告知數據主體

◎ 是否需要報告監管部門

此外，企業應當定期組織內部相關人員進行應急響應培訓和應急演練，使各部門能夠掌握崗位職責和應急處置策略。

(四) 風險評估制度

《數據安全法》針對重要數據的處理者提出了風險評估的要求，而《個人信息保護法》下的個人信息保護影響評估針對的情形包括處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息以及其他對個人權益有重大影響的個人信息處理活動。

風險評估的內容方面，《數據安全法》要求包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。而《個人信息保護法》規定的更加具體，包括個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權益的影響及安全風險；所采取的保護措施是否合法、有效并與風險程度相適應。

由于個人信息保護影響評估針對的情形非常廣泛，而重要數據的概念目前尚不明確，在此情形下，我們建議企業盡量將風險評估制度作為一項基本制度確立下來。

盡管我們可以從現有法規中看到企業需要滿足的要求，甚至在GB/T35273-2020《個人信息安全規范》中還有一些更為細節的指引，但是我們仍會發現，對于很多問題，尚無定性定量的明確規定，對于一些企業，尤其是中小型企業，有些無所是從。比如內部安全管理制度是否需要單獨的文件，散落在不同的管理文件中是否符合了監管？在沒有重要數據定義和政府、行業層面的數據分類分級制度下，企業如何進行數據分類分級管理？定期的合規審計是否一定要外部第三方進行，什么樣的第三方出具的審計可信，定期的期有多久等？另一方面，面對上述十幾項制度要求，在制度架構和設計上似乎也有些散亂，需要專業人士更為明確的建設指引。

三、現有案例剖析

2021年7月，中國信息通信研究院云計算與大數據研究所（以下簡稱“信通院”）發布了《數據安全治理實踐指南（1.0）》，這并不是一份法律文件，不過可以從該指南中可以窺探到個別大型企業數據安全制度的搭建安排，盡管由于企業組織架構不同、業務不同，各個企業的安排存在不少差異，但依然可以看到他們的共有特征——即在數據管理（組織架構、管理流程）、數據運營（數據處理全流程）的過程中將技術安全貫穿其中。

圖一：中國聯通數據安全體系總體框架[注6]

圖二：螞蟻數據安全復合治理管理模式[注7]

圖三：天翼云數據安全治理能力[注8]

另外，我們在上市企業的監管問答中也看到監管機構對數據安全及個人隱私保護措施及手段（技術手段、制度手段等）的關心。曠視科技在上市申請文件的審核問詢函中詳細回復了企業在技術維度（網絡隔離、網站防護、漏洞管理、加密措施、權限管理和數據備份）、制度維度（數據分級、安全事件應急預案、員工信息安全守則）和人員機構維度（CTO下設置安全部、CFO下設置法務部、總裁下設置合規安管部、人力上的協議約束等）上就數據安全合規所作的努力。

四、企業數據安全合規體系搭建的思路

結合前述的法律規定、企業的實踐案例，我們梳理出企業建設自己的數據安全合規體系是有思路可循的：在充分調研企業業務（尤其是數據處理相關業務）、組織結構、規章制度的基礎上，分析差距要素，按照數據安全管理體系、安全人員體系、安全運營體系和持續化合規監管體系逐一對照法律要求，分門別類進行完善：

數據安全管理體系——建立數據內部管理制度（如散落在不同文件中，匯總審核是否全面完善；如有可能，建立單獨的管理手冊）、數據分類分級管理制度、數據安全負責人和/或特設機構制度（根據處理信息的數量決定是否設置）、審批和訪問權限制度。

關于數據分類分級，《數據安全法》要求國家、各地區、各部門建立數據分類分級保護制度和重要數據目錄，以便實現更統一的規則和更方便的監管；而《網絡安全法》《個人信息保護法》和《特區條例》則要求數據處理者自身建立分類分級制度，應該是考慮到數據分類分級與企業業務的密切相關。當下，只有極少數行業存在一些分類分級的非強制性規范[注9]，大部分行業還處在摸著石頭過河的階段。如兼顧實操便攜性和合規需求，企業對業務進行分類，再根據業務類型就處理的信息結合信息對業務本身的重要性、一旦泄露丟失對用戶權益損害的嚴重性，參考個人敏感信息分列等級。

數據安全人員體系——主要是搭建相應的人力資源管理制度和數據從業人員定期培訓制度，使得相關人員具有該方面的合規敏感性和專業能力。

人力資源管理制度包括專業人員的匹配（專業管理人員、專業技術人員、專業法務人員）、人員背調(如擔任信息安全負責人戶或高管的人員是否已經因違反受到《個人信息保護法》下的任職禁止)、對員工的協議約束、對應的獎懲制度等。

數據安全運營體系——即進行數據全流程的合規建設，具體是指針對數據處理的各個階段——收集、存儲、使用、加工、傳輸、提供、公開、刪除，確保合法合規，如進行特定情況下數據處理事前影響評估（《個人信息保護法》）；就業務所涉數據處理各階段法律上（對應協議）和實踐中（實際操作與承諾或協議是否相符）是否符合合法合規要點予以業務上線前和運營中的審查。

該部分還包括在對外合作中，就涉及數據處理的商業協議擬定相應的數據安全和數據處理合法合規條款，對合作方提出不低于自身的數據合規措施要求。

持續安全合規機制——建立風險監測方案、數據安全事件應急處置措施、定期合規評審、特定企業定期發布個人信息保護社會責任報告，同時確保與主管部門有效的溝通機制，方便在需要時能夠做到及時備案、報告，保障數據合規的長效化。

在上述四個體系建設中保持技術的深度參與全面貫穿，從網絡安全的高度全面覆蓋和實現數據安全。

企業的數據安全合規雖然是數據處理合規的前提和基礎，但因為聚集在企業內部，又更多的以管理制度和技術防范的形式存在，似乎看不到摸不著。對于監管來講，除了巨型企業、頭部企業、上市公司外，面臨成千上萬的中小型企業似乎也很難一家一家的從企業內部查起。然而，這并非企業可以忽視數據安全方面制度建設和技術保護的理由，畢竟沒有了制度和技術，數據的處理合規也成為無源之水，分分鐘鐘出現違法問題。對數據處理的監管自2019年持續到現在，監管力度不降反增，一旦被發現數據處理不合規，我們不排除主管機關順藤摸瓜查出一系列安全制度不合法的情形，進而企業和主管人員都將會承擔嚴厲的法律責任（詳見《當我們談數據合規的時候在談什么——數據合規的架構和基礎概念》）。走得快并非走得遠，小心駛得萬年船。

注釋及參考文獻：

[1]（1）制定內部安全管理制度和操作規程、確定網絡安全負責人；（2）采取防范病毒和網絡攻擊、網絡侵入的技術措施；（3）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施；（4）采取數據分類、重要數據備份和加密等措施；（5）發現安全風險時，及時告知用戶并向主管部門報告；（6）為產品和服務持續提供安全維護；（7）制定網絡安全事件應急預案，發生安全事件時啟動預案并向主管部門報告；（8）建立健全用戶信息保護制度；（9）采取技術措施或其他必要措施確保信息安全；（10）加強對用戶發布信息的管理；（11）建立網絡信息安全投訴、舉報制度。

[2] 第三章數據安全制度，規定：國家建立數據分類分級保護制度；國家、各地區、各部門制定重要數據目錄、國家建立數據安全風險的評估、報告、信息共享、監測預警機制；國家建立數據安全應急處置機制；國家建立數據安全審查制度。

[3]（1）建立健全全流程數據安全管理制度；（2）組織開展數據安全教育培訓；（3）采取相應技術措施和其他必要措施；（4）重要數據處理者明確數據安全負責人和管理機構；（5）進行風險監測，發生數據安全事件時，及時向主管部門報告；（6）重要數據處理者定期開展風險評估并向主管部門報告。

[4] （1）制定內部管理制度和操作規程；（2）對個人信息實行分類管理；（3）采取安全技術措施；（4）確定個人信息處理的操作權限并定期對從業人員進行安全教育和培訓；（5）定制并組織實施個人信息安全事件應急預案；（6）特定處理者（達到國家網信部門規定的數量的） 應當指定負責人；（7）定期進行合規審計；（8）處理特定信息時進行事前個人信息保護影響評估；（9）發生安全事故時通知用戶和主管部門；（10）提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者還需要建立由外部成員組成的獨立監督機構、制定平臺規則明確保護義務、對違規者暫停服務和定期發布個人信息保護社會責任報告。

[5]（1）建立健全數據分類分級、風險監測、安全評估、安全教育等安全管理制度，落實保障措施；（2）處理敏感個人數據或者國家規定的重要數據的應當設立數據安全管理機構、明確數據安全管理責任人，并實施特別技術保護；（3）對數據處理全流程進行記錄；（4）對數據存儲進行分域分級管理；（5）采取安全技術防護，并建立重要系統和核心數據的容災備份制度；（6）建立數據銷毀規程；（7）落實與數據安全防護級別相適應的監測預警措施；（8）處理敏感個人數據或者國家規定的重要數據應當定期開展風險評估，并向有關主管部門報送風險評估報告；（9）建立數據安全應急處置機制發生安全事故時通知用戶和主管部門。

[6]《數據安全治理實踐指南（1.0）》，第31頁；來源中國聯通集團。

[7]《數據安全治理實踐指南（1.0）》，第35頁；來源螞蟻集團。

[8]《數據安全治理實踐指南（1.0）》，第45頁；來源天翼云。

[9] 如工業和信息化部辦公廳關于2020年2月27日發布的《工業數據分類分級指南（試行）》；證監會于2018年9月27日公布的《證券期貨業數據分類分級指引》（JR/T0158—2018）等。