《数据安全法》9月1日施行,企业应如何应对确保业务及个人数据安全?
6月10日,《中华人民共和国数据安全法》(以下简称“数据安全法”)由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议表决通过,自2021年9月1日起施行。这是我国第一部有关数据安全的专门法律。生效之后,将与《网络安全法》以及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。
一、《数据安全法》出台利好数字化战略
在其出台之前,我们可以看到国内各种数据安全事故的报道,例如2020年某快递公司由于“内鬼”致40万条个人信息泄露,2021年央视315曝简历贩卖乱象等。
这次《数据安全法》出台,企业和政府机构无疑是受影响最大的对象。该法明确规定任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。这对各家企业的数字化战略来说,可谓是雪中送炭。其中阐述了企业在数据使用上的权利与义务,有法可依才能进一步确保数据使用的合法性及安全性,更合规地收集、分析好数据,助力企业管理和业务发展。同时,企业的数据一旦被非法入侵、破坏、盗窃和泄露,就有了惩治不法分子的依据,保障了企业合规使用数据的权益。
二、企业应对数据安全的挑战
《数据安全法》同时也为企业中的人力、财务、采购、运营、销售、客服等各部门对于员工、客户、业务的数据安全管理,提出了更高的要求。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
“数据安全要求”对于那些在数据保障基础建设上相对薄弱的企业来说,确实会面临一个比较大的难题。公司需要将资源着重花在业务发展上,可能没有那么多的精力和数据安全专家来应对复杂的数据安全管理问题。因此,这样的企业在本地保存各种数据就始终存在相应风险。那如何存储使用数据才能满足法律法规要求,避免有一天因为数据而爆雷对公司产生重大损失呢?
三、《数据安全法》推动外部数据存储方案
《数据安全法》的出台,其实给了企业一个方向,那就是与外部合作来将业务数据化,并利用外部资源存储数据。有了法律保护,使得数据的外部存储有了保障。未来各项数据的全面电子化将会是必然。而企业中的合同、文书等在档案室中保存,既费时又费力终有一天会过时。与供应商合作,一方面能更好地保障数据安全有效,另一方面也减少了企业在数据安全性上投入的成本。
特别是,对于提供相关服务的供应商来说,数据安全是企业生存的生命线,现在又有了法律支持,服务供应商一定会更加有效地通过各种措施来保证数据安全。如果有些企业实在担心数据外部存储,当然也可以在企业内部对数据进行存储,但是本地部署所需要的费用及今后日常运维所花的成本会相对偏高。
通过这次疫情的健康码我们就能深刻感受到,未来的云端服务和数据存储是大势所趋。另外《数据安全法》也提到国家正在实施大数据战略,因此国家对于数据基础设施建设一定会持续推进。像电子签约的应用,也正因为有了国家层面的大力支持,才让各种企业和个人身份认证有了可能。
得益于法律保障,数据的云端存储将成为一种常态,也让我们企业能更灵活地与外部供应商进行更多合作。
四、外部数据存储的注意事项
结合《数据安全法》的要求,企业在与外部合作进行数据云存储时,需要特别注意以下事项:
■ 个人隐私保护
个人隐私相关的数据,往往是数据安全性中最为敏感的数据,特别是对于人力资源从业者来说,需要极为重视。
一方面,我们需要这些数据来进行员工管理的日常工作;另一方面在涉及员工身份证、银行卡、电话号码等个人隐私数据时又会受到严格限制。那怎么做才最好呢?
基于不少企业的最佳实践,我们建议企业在数据收集及使用上保持公开透明,对于收集哪些数据,用于哪些场合,能够有书面文档进行描述,并可以利用电子签约等方式获取员工及客户的授权认可。
另外,《数据安全法》还提到“数据使用要符合伦理道德”,不过在伦理道德这一点上其实是很难有严格界定,这是HR们需要重点研究的。
■ 数据存储的可管理性
《数据安全法》中要求,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。因此无论是企业内部还是我们的合作方,对于重要数据我们都需要确保能及时进行查询、删除、更正、注销。对于和客户、员工有关的数据,如果客户和员工提出要将个人数据在企业的相关系统中进行删除,那么我们就有义务要确保数据可追踪溯源并实施删除。
一些国外企业中已经实际遇到的情况是在一些数据安全相关审查中被要求证明,如何在有需要的时候,能确保员工的数据在离职后能被有效地清除。如果平时没有做好数据的管理工作,你会发现这是一件非常不容易的事情。
基于《数据安全法》的出台,我们也需要确保在未来有严格的管理措施,能够追踪到每位员工和客户的相关数据。其中,通过电子签约来存储一些电子合同和契约就是一种比较有效的方式来进行管控,因为所有的签约方都需要通过身份识别而且不可篡改,这是一种非常有效的管控方式。点击这里,体验电子签约技术>>>
■ 防止数据丢失
对于数据丢失的危害性,可能很多人都深有感触。就好像使用多年的电脑或者移动硬盘一旦损坏,那么自己多年积累的个人数据可能就付之一炬。在企业中更是这样,一旦存储的数据出现问题,那么对于企业来说将会是极大的损失。
没有绝对安全的云,也没有万无一失的服务器。因此必须要确保企业和外部供应商都有数据备份和恢复机制。同时也要确保相应的数据存储服务器有防病毒措施,不被电脑病毒侵入导致数据被破坏。
■ 防止数据泄露
有时并不是企业和供应商有意想泄漏数据,而是由于安全性不够而引发了数据泄漏问题。例如,在2020年致力于提供高质量免费照片和设计图形访问的网站Freepik披露了一起重大安全漏洞,被黑客利用SQL注入漏洞访问其一个存储用户数据的数据库之后,获得了830万注册用户的用户名和密码。如果这样的事件发生在我们企业,代价一定是巨大的,因此我们要防范数据泄漏风险。
《数据安全法》在数据泄漏风险保障上提供了法律依据。我们也可以通过第三方的专业评估公司来对供应商进行评估,以确保供应商有定期漏洞查询机制、传输安全性信息加密等方法防止数据泄漏。
■ 防止数据被不正当使用和交易
在这一点上,《数据安全法》起到了极大的作用:
一是明确了数据交易必须说明数据来源,同时由于是法律规定,对违犯者明确了重罚措施,将会极大震慑数据的违法交易。在企业中我们也要做好数据安全相关的管控措施,提升数据保护意识,制定相关规则,只有必要的人员才能访问必要的数据。即使由供应商来存储企业数据,也可以通过技术来限制供应商员工访问企业的相关数据,从而充分保证数据安全性。
五、外企如何看待《数据安全法》的出台
《中华人民共和国数据安全法》出台后备受外企的关注,对此,我们采访了外企客户相关负责人。
某外企客户:
作为外企人,得知《数据安全法》出台,主要的感受是中国的数据安全管理已经追赶上了世界的步伐,因为在之前的工作中,听到的更多是欧洲GDPR等国外数据保护规范。同时,外企中国分公司的数据安全相关管理者需要及时和总部沟通,让总部了解中国的法律法规出台。
为什么这么说?
通常外企总部由于距离和文化的关系,对于中国的法律法规和实操并不是特别了解,例如之前很多外企的中国分公司要用微信平台都需要通过长时间和总部拉锯沟通,才能让总部最终同意。
而现在随着中国数据安全法规的健全,我们也需要总部及时了解法规细节并分析相关影响。特别是外企通常都会使用国外的人力资源云服务软件,那么这些国外厂商的数据服务器如果在国外,就要及早引起重视,并采取相应的风险防范措施。例如是否要考虑及时和供应厂商沟通了解“是否可以将中国员工的信息存储服务器转移至国内,或者进一步了解中国对于国外服务器存储中国员工个人信息数据的规范要求。”这样才能更好地应对未来《中华人民共和国数据安全法》的落地实施。
互联网时代,我们需要充分利用大数据的优势,尽可能将我们公司的日常业务电子化。例如,在电子签约领域,我们可以将日常的各种企业间合同、员工合同、企业与个人之间的证明、协议等等,都通过电子化的方式进行签约、存储管理。因为电子签约拥有身份认证且不可篡改,可以确保相关签署的真实、准确、有效、可信,同时也能极大提升查询效率。
我们在和相关供应商进行合作时,也要重视供应商在数据安全性上的资质,以进一步确保数据安全。在数据安全资质方面,上上签电子签约经过长时间的积累和实践,在文中提到的这些数据安全领域,都已经有相应技术、标准、措施、认证来确保数据安全。特别是在一些外部第三方机构的安全测评中,上上签曾获得过供应商有史以来最高分并被归类为最高等级的成熟系统。
另外,国内供应商和国外供应商相比,在应对国内数据安全性上会有天然的优势,因为国外供应商还要花不少精力来应对《中华人民共和国数据安全法》中对于数据境外存储的相应要求。
未来,希望各家企业都能够与可信赖的厂商进行更深入的合作,利用好数据,保护好数据,用数据提升效率,让数据为业务赋能。