近日,为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及工业和信息化领域数据安全管理的有关要求,贯彻《上海市建设网络安全产业创新高地行动计划(2021-2023年)》有关精神,上海市通信管理局试点开展电信和互联网行业数据安全评估服务机构遴选工作,旨在推动加强电信和互联网企业数据安全评估工作,满足行业实际需求,支持促进上海市数据安全产业的健康发展。第一批入选的数据安全评估服务机构有7家,有效期为1年。
本次遴选所谓的“数据安全评估”是否是指《网络数据安全管理条例(征求意见稿)》(下称 “《条例》”)中规定的企业每年需要履行的“数据安全评估”义务,现在不得而知,但是本次遴选可以说是向市场释放的一个信号,是监管部门开始对企业数据安全评估工作的落地情况进行监督的信号。那么何种企业需要数据安全评估、数据评估中还需要关注哪些方面,下文将具体介绍。
(一)数据安全概念及评估框架
《数据安全法》第三条,给出了数据安全的明确定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。结合定义,应该从广义和狭义两个角度理解数据安全概念内涵。
数据安全评估分为通用性管理评估和数据全生命周管理评估。通用性管理评估包括企业组织架构、人员保障、数据资产梳理、数据分类分级、权限管理、日志留存、安全审计、应急响应、举报投诉处理、教育培训、合作方管理,以及平台系统安全管理。
数据全生命周期管理评估包括数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁等。
数据安全评估不仅仅只限于数据处理活动的安全评估,亦包括企业自身组织架构、制度建设相关评估。对于个人信息部分,需依照相关法律法规进行评估。
(二)需要数据安全评估的情形
^依据《数据安全法》第三十条的规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。《条例》也明确规定,处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,数据处理者应当保留风险评估报告至少三年。
^《条例》第二十六条还规定,处理100万以上个人信息的数据处理者,比照重要数据处理者进行规范。若该条文正式通过,则意味着用户数量达到100万人以上的互联网企业,每年开展数据安全评估提交年度报告成为法定义务。
此外,当出现以下情况时,企业也需要进行数据安全评估:
^业务运营阶段,在数据承载环境发生较大变化时开展评估:如数据采集渠道变更、数据存储系统升级改造、数据处理技术变更等;
^企业应在开展数据重要操作(如开放数据对外接口、数据共享、数据转移、数据加工、数据出境等)前对涉及到的数据相关管理措施、技术措施开展评估;
^行业主管部门要求企业进行数据安全评估的;
^满足国家法律法规其他有关情形时,应开展数据安全评估。
(三)数据安全评估的内容
前文已介绍数据安全评估的概念以及需要进行评估的情况,那么数据安全评估具体需要做什么呢?
其中对共享、交易、委托处理和向境外提供重要数据需要重点评估。如评估结果为可能危害国家安全、经济发展和公共利益,则不得共享、交易、委托处理、向境外提供数据。 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意。
本文对数据安全评估相关要点进行了说明,接下来的文章将将介绍数据资产梳理、映射分析与全生命周期管理的相关内容。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.