近日,工信部出台于2023年1月1日起施行的《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),明确工信部和地方行业监管部门承担电信数据安全的监管职责,要求电信运营企业健全数据安全管理和技术保护措施及履行主体责任,全面提升数据安全的保护能力,助推数字经济高质量发展。电信企业依法构੦建新型企业数据运营合规体系,包括Η组Ÿ织架构、制度体系和运行机制。搭建企业数据合规组织体系
在全面依法治国的形势下,企业应当按照法律法规、¨监管规定和行业准则构建数据合规组织体系,保障数据安全和使用的依法合规。电信运营企业应当将数据安全合规管理作为企业合规管理体系的重点领域,纳入现有合规管理体系进行专项管理。按照国务院国资委《中央企业合规管理办法》规定要求,健全“三道防线”的合规组织体系,明确由企业承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为∠数据安全合规管理的第一道防线;合规管理牵头(法律事务)部门作为数据合规管理第二道防线;纪检、审计部门作为数据合规管理第三道防线,并通过决策程序明确各自的职能和责任。涉及重要数据和核心数据的,应当建立覆盖本企业相关部门的数据安全工作体系,设置专门的数据安全管理责任部门,企业党委或领导班子对数据安全负主体责任,主要负责人是数据安全第一责任人,分管数据安全的负责人是直接责任人,明确各部门数据安全职责及人员,建立常态化沟通与协作机制。
健全企业લ数据合规制度ω体▥系
依照法律法规规定和国家标准的强制性要求,建立健全企业数据合规制度体系十分必要。构建成熟有效的数据合规管理体系,需要在顶层制度、配套规范和执行工具等层面进行构建和完善。一是在顶层制度上,需要将统一的纲领性制度文件,包括管理或责任部门、组织架构、数据安全与个人信息保护原则等方面,通过公司员工大会或者其他合法形式公开发布,成为员工严格遵守的内部纪律制度。二是在配套Τ规范上,企业需要根据相关法律分别对“网络运营者”“数据处理者”“个人信息处理者”“关键信息基础设施运营者”等不同主体施加的不同网络安全和数据保护义务,建立可参照执行和监督的指引性规定。三是建立与商业伙伴合作中的数据保护制度,规范与商业伙伴合作ਲ਼中的数据安全管理,明确合作方准◙入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。四是明确履行企业配合义务的制度,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据时应当予以配合。注意企业配合义务,在收到协助调查请求时,应要求执法机构出具《协查函》等文件并进行存档,作为企业履行配合义务提供数据的证明而非轻易对外提供用户个人信息。
÷创设企业数Ν据安全运行机制
创设数ૠ据管理运行机制是企业防范合规风险的核心和重点,是规范数据处理活动、加强数据⌉安全管理、促进数据开发利用、保护个ੑ人及组织合法权益的重要保障。
建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分级,针对不同类别级别的数据采取相应的保护措施;根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的标准。《管理办法》将电信领域数据分为一般数据、重要数据、核心数据三个级别。依据国家数据分类分级保护的法律制度,重要数据处理者在履行一般数据处理者数据安全保护义务的基础上,还应承担以下保护义务:开展数据识别备案,按照相关标准规范识别重要数据,形成本单位具体目录并进行备案;加强内部管理,建立数据安全工作体系,明确数据安全负责人,加强数据处理关键岗位管理,构建重要数据处理登记审批机制,强化数据全生命周期安全保护措施;组织常态化监测预警与应急处置,涉及重要数据和核心数据安γ全事件的应第一时间进行≈上报;定期实施风险评估,发现整改风险问题并上报风险评估报告,及时上报涉及重要数据和核心数据的安全事件。
确立个人信息的处理规则。作为生产要素的数据成为数字经济社会争先利用的对象,移动互联网应用程序使用混乱,非法收集、过度收集、强制收集个人信息情况突出,利用电信网络诈骗行为、侵害个人信息权益较严重,使得数据泄露、滥用等社会现象层出不穷,其引发的民事侵权和刑事犯罪问题开始凸显。数据处理者应当采取安全保护措施收集、传输、存储、加工、使用、提供、公开个人信息数据,应按照《个人信息保护法》的规定及时删除个人信息或者进行匿名化处理。企业在处理个人信息前,应当以显著ૣ方式、清晰易懂的语言真实、准确、完整地向个人告知本企业个人信息处理规则。收集的个人„图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新❄取得个人同意,同步修改处理规则。
加强关键岗位人员权限管控。《关键信息基础设施保护条例》规定企业应设立专门的安全管理机构并实行专岗专责,根据现有安全管理组织机构建立分级管理机制,健全以企业一把手为负责人的关键信息基础设施安全管理专门机构,在关键信息基础ⓐ设施运营部门落实专岗专职专责,统一对关键信息ÿ基础设施网络安全进行管理。针对用户数据信息管理的重要岗位、重点领域环节,确认数据处理关键岗位及人员,建立健全岗位职责,加强关键岗位人员权限管控,形成集事前防范、事中控制和事后救济于一体的闭环管控机制。企业从业Ąe;人员、外包人员必须通过法律培训、考试上岗,对关键岗位人员工作权限、账号权限进行严格管控,签订安全保密协议和依法合规行为承诺书,确立严禁非法提供、出售用户信息的法律红线,记录数据处理活动。
规范数据加ⓞ工使用和重要数据备案。数据处理者应当按照《管理办法》规定,定期梳理本企业数据资源,根据所属行业标准规范识别的重要数据,及时向本地区行业监管部门备案重要数据目录;当–备案内容发生重大变化后,应当履行备案变更手续,保证目录备案的时效性、准确性与真实性。
健全数据出境评估制度。《管¢理办法》明确电信领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据,依法依规应当在境内存储,确需向境∃外提供的,需要依照《数据安全法》《数据出境安全评估办法》等法律法规进行安全评估。关键信息基础设施的电信运营企业在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,确需向境外提供的,应当按照国家网信部门会同国务院有关部Φ门制定的办法进行安全评估。
建立数据Ð安全应急处置机制。《管理办法》明确建立工业和信息化领域数据安全应急处置工作机制,细化不同主体的责任与义务:工业和信息化部统筹行业数据安全应急处置管理工作,制定Ó数据安全事件应急预案,组织协调行业重要数据和核心数据安全事件应急处置工作;地方行业监管部门负责组织开展本地区数据安全事件应急处置工作,及时上报涉及重要数据和核心数据的安全事件;数据处理者制定本企业数据安全事件应急预案并定期开展应急演练,在发生数据安全事件后及时采取补救措施…,并按要求及时向行业监管部门和网信部门报告。
ઙ 加强对外合作协议合法性审查。数据的开发应用和合作交易离不开协议的签⇓订,一旦发生行政处罚、法律纠纷和诉讼案件,必须看协议签订内容,其成为企业有效维权和化解风险的关键。在交易涉及重要数据、核心数据≈时,尽调过程中已确认传输的必要性并明确前置报批等事项安排,应将该等责任和义务在协议中体现,需要考虑未能通过行业主管部门审批的风险。在签订社会代理商和对外合作协议时,必须明确约定违规违法泄露个人信息和企业数据的法律责任和赔偿内容、保护客户个人信息的职责和保密义务、客户个人信息泄露的补救手段与责任追究、保证数据信息安全的承诺和措施。外包协议终止后,需要监督合作方及外包服务供应商及时销毁因外包业务而获得的客户个人信息,签订的保密协议需要明确约定保密义务不因外包服务的终止而终止。
“掌”握科技鲜闻 (微信搜索ßtechs☻in£a或扫描左侧二维码关注)
∫
新ⓞ浪科技δ
新☻憨浪科技为你带来a0;最新鲜的科技资讯
⌉–苹果汇Σ
Ζ苹果汇为你带来最新 鲜Þe;的苹果产品新闻
É
新Β浪众测
新酷产品第一℘时间ક免费试Η玩
સ
♡☏新浪探索
提ડ供最新的科学家新闻,精ⓙ彩b3;的震撼图片
新浪科技意☻见Ý反馈એ留言板
˜
All Rights Reser⌊ved 新浪അ公司 版权所有
