合规管理
- 组织机构需要建立数据安全合规文化和有效的合规风险预防、预警及监督机制,从而避免组织因违反相关的国内外法律、行业监管指引、制度、规范等而导致的风险,是组织机构能够长久稳定运营的基础。
建立负责合规管理的职能部门
- 在数据安全合规管理的建设上,组织层面首先应设立专职岗位,分别负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规工作,并基于各岗位职责,分别明确组织机构在个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,并由各岗位的专职人员负责为其职责领域制定基于合规需求的数据安全规范要求和解决方案,并推进相关规范要求和解决方案在组织整体范围内的执行和落实。
明确合规管理岗位的能力要求
- 组织机构应基于上述规划设立相关岗位,对应的岗位将配备个人信息保护、重要数据保护、跨境数据传输等方面的专职人员。
- 了解对应岗位相关数据保护的法律法规。
- 对于上述法律法规,具备解读、自我分析理解和组织需求匹配的能力,并能确定组织合规需求的覆盖范围。
- 能够根据法律法规要求和组织合规需求覆盖范围,有针对性地输出基于合规需求的数据安全合规规范要求和解决方案,并具备一定的安全运营能力,可将对应规范要求和解决方案以符合组织内部流程及人员可接受的传达方式落实并执行。
合规管理岗位的建设及人员能力的评估方法
- 1.调研访谈
合规管理阶段的调研访谈,需要针对策略层、管理层、执行层各层级人员分别进行,具体访谈内容如下。
访谈策略层、管理层、执行层各层级人员,确认组织机构是否已经设立了专职负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规岗位;访谈上述岗位人员,确认是否已经明确了组织机构在个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,是否已经制定了基于合规需求的数据安全规范要求和解决方案;访谈执行层及业务基层人员,确认上述规范要求及解决方案是否落实,以及落实相关方案后,组织业务运作是否正常等。
- 2.问卷调查
在数据安全合规管理阶段,组织机构通过查阅已制定的基于合规需求的数据安全规范要求和解决方案,以问卷调查的形式,确认组织整体对上述规范和解决方案的了解情况,从而反向推测组织数据安全合规的实际执行情况。 - 3.流程观察
数据安全合规管理阶段的流程观察,主要是观察执行层团队的工作流程,并从中寻找可能的问题点和改善点,具体观察内容如下。
以中立的视角观察组织执行层日常数据安全合规相关的工作流程,并通过调阅组织内部的数据安全合规管理制度规范确认两者的相符度,同时观察当前组织内部的数据安全合规管理制度规范是否符合组织数据的操作需求,从而反推组织制定的基于合规需求的数据安全规范要求和解决方案是否明确并符合组织现状。 - 4.技术检测
合规管理阶段的技术检测,需要使用技术工具确认实际业务数据的处理是否符合制度规范要求,是否存在数据错误或伪造等情况,制度规范的实际执行覆盖范围是否全面,是否存在因业务人员自行更改规范而导致其失效的情况等。
明确合规管理目的
- 合规管理是组织数据安全最基础的能力层面要求底线,也是组织维持长期稳定运营的先决条件。数据安全合规管理需要依据法律法规及相关标准对重要数据的保护要求,为组织建立统一的符合安全性的管理规范,包括但不限于个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,以确保组织数据安全的合规性,并对相关方宣贯合规要求的内容,以保证组织整体合规意识的提升。
明确合规覆盖范围
- 要进行合规管理,组织机构应首先确认其合规覆盖范围,即组织所涉及的数据安全保护合规范围总和。
- 根据现有分类,数据安全合规要求包含个人信息保护、重要数据保护、数据跨境传输管理、互联网信息内容管理、区块链信息服务管理、商业数据保护、行业数据监管等。
- 组织的数据安全合规管理人员首先应明确与组织相关的合规覆盖范围,以及组织应遵守的数据安全保护合规范围,然后基于上述范围总和明确组织所有的外部合规要求,并形成检查清单。
构建检查清单
- 明确组织合规覆盖范围之后,合规管理部门应建立一份当前组织需要遵照的外部合规要求清单,并实时跟踪外部合规要求的发布和预研,保持清单的持续更新。
- 金杜律师事务所《2020年网络安全与数据合规:合规创造价值》从法律合规层面为数据安全合规的遵从来源提供了参考依据,组织在构建合规检查清单时应关注大量相关法律法规和国家标准等法律文件。
- 参考:https://www.chinalawinsight.com/2020/02/articles/cyber-security/2020年网络安全与数据合规:合规创造价值/
- 2021年9月1日正式实施的《中华人民共和国数据安全法》和2021年11月1日正式实施的《中华人民共和国个人信息保护法》等近期新实施或新颁布即将实施的法律法规,都需要作为组织机构在更新当年合规检查清单时应重点关注的内容。
- 组织机构在构建合规管理检查清单时,相关负责人员应充分理解并分析转化该合规分类下的全部合规要求,从而构建真实有效、检查有据的合规检查清单,以确保组织的合规安全性。
- 类似的还有重要数据保护,组织机构应充分理解自身行业对“重要数据”的定义和划分,并基于其要求进行数据分类分级和安全控制的操作。
定期评估与变更控制管理
- 在确定外部合规检查清单条目内容后,组织数据安全合规管理相关人员应基于该检查清单对组织内部合规要求进行定期检查,对重要数据安全策略、规范、制度和管控措施定期进行风险评估,并及时响应,从而确保组织数据安全合规的常态性。
- 制定全年检查计划,以常规检查、专项检查、事件驱动检查相结合的方式,100%覆盖数据安全风险检查标准库;专项检查应围绕数据安全域(包括数据采集安全、数据传输安全、数据处理安全、数据交换安全)和通用安全域进行展开。
- 同时,组织数据安全合规管理相关人员还应定期更新外部检查清单,并关注组织内部数据的相关变更,针对组织内部因业务架构、组织职能变更而引发的重要数据流向变化建立有效的变更管控机制,以控制重要数据流向发生变化时可能引发的合规风险。
- 为达成该目标,组织机构应成立变更控制管理虚拟团队,变更控制管理虚拟团队一般至少应包含各数据流动相关业务技术负责人、业务项目经理或产品经理、管理层CTO,以及上述各数据安全合规管理专职人员,该虚拟团队将定期评估业务变更对合规管理的影响,当涉及数据流动的业务出现需求变更,并且更改流向将影响原有合规范围或要求时,该虚拟团队就要通过评审确定变更范围和影响因素,以及变更后的合规控制建议,从而实现合规检查与实际业务变动的及时更新。
跨境数据安全管控
- 跨境数据流动已经成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分。随着数字经济的深入发展和数据作用的日益凸显,各国对数据跨境流动的含义和影响的认识也日益深入,数据跨境流动的相关立法和国际规则的制定也呈现出新的趋势和特点,具体说明如下。
- 简单来说,跨境数据流动是指数据跨越边境,在不同国家的计算机服务器间转移和流动。跨境数据流动包括出境和入境两个方向,本文将主要探讨数据出境政策。而对数据跨境流动管理采取的则是广义的理解,其中包含了自由流动、本地化副本保留、有条件出境、本地化存储和处理等从完全开放到完全禁止的各种限制程度的跨境数据流动管理措施。
- 当前,越来越多的国家已经或正在制定适合本国国情的数据跨境流动政策,但在出台目的(例如国家安全、执法需要、个人数据保护和国内数字经济产业保护)、适用范围(例如个人数据、行业数据、其他重要数据)、严格程度(例如要求本地存储和处理、本地存有副本或有条件出境)等方面存在着较大的差异,下面就来对欧盟、巴西、印度各地区对数据安全的相关要求进行简要说明。
2018年5月,欧盟《通用数据保护条例》(“GDPR”)正式实施,允许采用如下三种方式对个人数据进行有条件的跨境转移。 - 欧委会认定一国、一个区域、一个或多个特定行业或一个国际组织具备充分保护能力即为“充分性认定”,获得充分性认定的国家、地区或行业在将欧盟的数据转移到境外时不再需要进行具体的授权。
- 欧盟批准的标准合同条款、约束性公司规则、行为规范和认证机制,这些方式主要适用于组织和企业。
- 获得数据主体的明确同意等特定减损情形。
- 巴西在2018年8月也通过了《通用数据保护法》,其对个人数据跨境转移的条款很大程度上借鉴了欧盟“GDPR”的规定。
- 印度于2019年12月推出了《个人数据保护法案(2019年版)》(即“The Personal Data Protection Bill,2019”),同时相关的更新法案(暂定称为《2021年数据保护法案》,即“DataProtection Bill of 2021”),正在制定当中(截至2021年10月),现行法案中的跨境数据转移要求比“GDPR”更为严格,个人数据将被要求在印度境内存有副本,并且在满足充分性认定的条件下才允许出境,关键个人数据必须仅在印度境内存储。
- 因此若组织数据流动涉及数据跨境的情况,则应有针对性地确认跨境方所采取的法律法规,并依据相关要求进行跨境数据安全管控管理规范和解决方案的输出、宣贯与落实执行。
明确考核规范
- 流程的落实、制度的遵守永远离不开对相关业务人员的指标确定及相关考核,因而组织机构在数据安全合规管理过程中,需要建立一套适用的整改和考核规范,用于指导检查发现和整改情况的跟踪、报告管理和问题管理等一系列工作。
使用技术工具
- 建立数据安全合规资料库,相关人员可以通过该资料库查询合规要求:使用知识库系统。
- 采取必要的技术手段和控制措施实现个人信息安全保护,例如,在个人信息处理过程中进行匿名化、去标识化操作:使用数据脱敏技术。
- 建立重要数据的监控机制,防范重要数据安全事件:使用制度检查流程跟踪系统。
知识库系统
数据脱敏技术
- 数据脱敏技术是指通过将敏感数据进行数据变形操作,为用户提供虚假数据而非真实数据,以实现对敏感隐私数据的有效保护。这样就可以在开发、测试和其他非生产环境及外包环境中安全地使用脱敏后的真实数据集,既保护了组织的敏感信息不被泄露,又达到了挖掘数据价值的目的。
制度检查流程跟踪系统
- 制度检查流程跟踪系统,旨在建立一套检查跟踪系统,实现检查计划制定、检查实施、报告管理、问题跟踪等全过程的电子化管理,并将检查发现和整改情况纳入问题管理流程。具体实现方式可以基于组织现有的办公自动化系统制定一套新的审批流程,将数据安全合规管理相关的计划制定、检查实施、报告管理、问题跟踪等全过程管控点进行细分,并设计到各环节的流程交付物中,仅在该环节流程交付物完整时才可进行下一环节的审批操作,从而实现制度流程全周期材料的规范化留存,并且可以在该过程中随时掌握当前检查的问题改进和管理进度,以便实时介入可能存在的潜在风险造成的延期或误判等。
迷茫的人生,需要不断努力,才能看清远方模糊的志向!