存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务数据资产入表同样属于数据的处理行为之一。任何数据处理活动,均需要以保障自身合法合规性作为活动开展的基础。目前,我国《个人信息保护法》以及《数据安全法》等相关法律法规,均对于数据的处理提出了强制性的要求数据资产的入表必须开展在满足法律法规强制性要求的基础之上,否则可能会导致法律风险。
1.个人信息保护与数据安全实践层面,个人信息保护与数据安全的法定要求极为细致。在数据资产入表的工作项下,最为明确的风险点即为数据来源合规性、数据内容合规性、数据处理合规性。
第一,数据来源合规性要求。数据来源的合规性基于个人信息保护以及非个人信息类型的数据的不同,有所区别也有所联系。从共性的角度而言,数据来源可以源自于企业自行收集、产生,也可以源自于受托处理、上下游供应商的数据提供。在数据来源环节,重要的风险把控即为数据处理的合法性基础,该等合法性基础可以是《个人信息保护法》第十三条规定的合法性基础,也可以是《数据安全法》中第四十条国家机关委托第三方进行数据处理的合法性基础。这些合法性的基础可以体现为互联网信息服务的前端隐私政策,或者是受托处理数据过程中具备明确权利义务边界的委托协议。唯有具备合法性基础,才可以进一步论证后续在数据资产入表过程中企业对数据的合法权益,如持有权、加工权或者运营权。
第二,数据内容合规性要求。数据内容合规性要求源自于《网络安全法》对于内容审查,以及《个人信息保护法》对于数据应用“最小必要”的原则性要求。数据内容合规性审查的要点包括数据真实性核查、完整性核查、准确性核查一致性核查、时效性核查以及可访问性核查六个方面。
第三,数据处理合规性要求。数据处理合规性要求强调对于数据的处理和应用满足法律法规要求。举例而言,对于数据的应用和处理,不得超出原本的合法性基础。对于个人信息的应用,不得超出原本通过隐私政策等文件所获取用户知情同意的范围。对于授权运营的公共数据,不得超出授权文件已经授权的目的、范围和方式。又比如,通过协议模式受托处理第三方委托的数据或者个人信息的,应当遵循协议条款以及法律强制性规定,不得违背协议或者法律的要求。以及再比如《个人信息保护法》第五十五条规定下,需要开展个人信息保护影响评估的,应当事前开展个人信息保护影响评估。
2.数据管理合规
数据管理合规,也是数据治理能力在数据合规中的体现与要求。按照我国《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规的要求,各类数据处理者、个人信息处理者、网络运营者,应当建立健全全流程数据安全管理制度。在《个人信息保护法》中,明确地以法定义务的形式提出了这些个人信息保护的举措包括:制定内部管理制度和操作规程;对个人信息实行分类管理:采取相应的加密、去标识化等安全技术措施;合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;制定并组织实施个人信息安全事件应急预案等。进一步来说,还包括开展个人信息保护审计,开展个人信息保护影响评估,定期发布个人信息保护社会责任报告,明确指定个人信息保护负责人等。
对于企业内部业务活动产生的数据,工作人员需要追溯数据产生的流程和环节。具体来说,可以通过查看业务系统的日志记录,来确定数据是由哪些部门、哪些业务操作产生的。同时,工作人员需要核实企业是否通过合法的业务活动获得这些数据,并且是否投入了足够的人力、物力进行数据的收集、整理和存储。举例而言,企业通过自身的销售系统收集的销售数据,工作人员需要检查销售合同中是否有关于数据所有权归属企业的条款。又或者企业通过经营互联网信息服务收集的个人信息,是否通过隐私政策获得有效授权,这也是核查的要点之一。
如果数据是从外部获取的,工作人员需要审查数据获取的合法性。具体来说,工作人员需要检查数据采购合同、数据处理协议等文件,明确数据的来源渠道是否合法合规例如,企业从数据供应商处购买的数据,工作人员需要核实购买合同中对于数据权属的约定,是否是独家使用、是否可以二次加工等权利界定。对于通过数据共享合作获取的数据,工作人员需要查看合作协议中双方关于数据权属的分配条款,确保企业对共享数据的使用符合约定
从数据的类型来说,以下特定类型的数据,需要采取的核查重点有较为明显的区分:
个人信息:在涉及个人信息的数据资产时,工作人员需要检查是否符合《个人信息保护法》的规定,企业对个人信息的处理是否取得了个人的同意,是否在合法的目的范围内使用等。个人信息主体的知情同意是否合法,往往需要结合具体的业务场景来判断。举例而言,对于直接取得个人信息的,工作人员需要根据互联网信息服务的前端功能设置来具体判断。而间接取得个人信息的,则还需要考虑上游个人信息的处理者是否可以确保自身将个人信息提供给另一方处理已经获得了个人信息主体的有效同意。
涉知识产权类数据:涉及知识产权类的数据需要遵循知识产权相关法律法规的要求。如果数据资产是经过企业的创造性加工处理,如通过数据分析算法得出的具有创新性的分析报告、数据模型等,可能涉及著作权等知识产权。工作人员需要检查企业是否对这些数据资产进行了知识产权保护,如申请软件著作权、专利等,以进一步确认权属的合法性。
公共数据:公共数据系各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。对于公共数据的开发利用,合法性基础来自各类行政机关或者履行公共职能单位的完整授权。目前,各省市均有开展对于公共数据授权运营的地方性法规建设,特定的数据资产入表活动开展,还需要根据项目的具体情况参考地方性法规开展
重要数据:重要数据是我国法定的数据类型,一般受制于更加严格的法律义务。拟入表数据若是属于行业监管部门或者其他政府主管部门明文规定为重要数据的,在数据入表工作开展前,已经自行或者委托有资质的数据安全服务机构进行安全风险评估,评估结果认为该等数据交易不存在危害国家安全、公共利益的情形的,才可进一步开展数据资产入表工作。而法律法规规定特定数据的入表或者相关处理需要征得相关部门同意的,应当取得相关部门的同意。
官方订阅号
官方服务号
第59号
浙公网安备 33010502006954号 
