今日,為貫徹落實(shí)《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,推動(dòng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰工作制度化、規(guī)范化開展,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量指引(試行)》,現(xiàn)向社會(huì)公開征求意見。
《數(shù)據(jù)安全法》施行兩年來,網(wǎng)安部門聚焦信息數(shù)據(jù)泄露、濫用、篡改等行業(yè)領(lǐng)域問題亂象,加大監(jiān)督檢查、通報(bào)預(yù)警和行政執(zhí)法力度。嚴(yán)厲懲治不履行數(shù)據(jù)安全保護(hù)義務(wù)的違法行為,全面壓緊壓實(shí)網(wǎng)絡(luò)運(yùn)營單位數(shù)據(jù)安全主體責(zé)任。
截止2023年三季度,僅江蘇公安已累計(jì)依據(jù)《數(shù)據(jù)安全法》辦理行政案件336起,單筆處罰金額高達(dá)百萬元。說明隨著《數(shù)據(jù)安全法》實(shí)施和相關(guān)配套體系的完善,相關(guān)部門正加大執(zhí)法力度和頻度。
數(shù)據(jù)安全行政處罰關(guān)注重點(diǎn)
(一)未定期梳理數(shù)據(jù),按照相關(guān)標(biāo)準(zhǔn)規(guī)范識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位具體目錄;
(二)未建立數(shù)據(jù)全生命周期安全管理制度,未針對不同級別數(shù)據(jù)明確數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、銷毀、轉(zhuǎn)移、委托處理等環(huán)節(jié)的具體分級防護(hù)要求和操作規(guī)程;
(三)未根據(jù)需要配備數(shù)據(jù)安全管理人員,統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理,協(xié)助行業(yè)(領(lǐng)域)監(jiān)管部門開展工作;
(四)未合理確定數(shù)據(jù)處理活動(dòng)的操作權(quán)限,嚴(yán)格實(shí)施人員權(quán)限管理;
(五)未根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要,制定應(yīng)急預(yù)案,并開展應(yīng)急演練;
(六)未定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn);
(七)未開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測,及時(shí)排查安全隱患,采取必要的措施防范數(shù)據(jù)安全風(fēng)險(xiǎn);
(八)發(fā)現(xiàn)可能造成較大及以上數(shù)據(jù)安全事件的風(fēng)險(xiǎn)后,未按照風(fēng)險(xiǎn)信息報(bào)送與共享工作機(jī)制向所在地行業(yè)監(jiān)管部門報(bào)告并及時(shí)處置;
(九)數(shù)據(jù)安全事件發(fā)生后,未按照應(yīng)急預(yù)案開展應(yīng)急處置;
(十) 數(shù)據(jù)安全事件發(fā)生后,未按照規(guī)定向所在地行業(yè)監(jiān)管部門報(bào)告;
(十一) 數(shù)據(jù)安全事件發(fā)生后,未按照規(guī)定及時(shí)告知用戶,并提供減輕危害措施;
(十二)未在數(shù)據(jù)全生命周期處理過程中,記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時(shí)間少于六個(gè)月;
(十三)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系,未明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),未建立常態(tài)化溝通與協(xié)作機(jī)制;
(十四)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé),未要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書;
(十五)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未建立數(shù)據(jù)內(nèi)部登記、審批等工作機(jī)制,未對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄;
(十六)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未按照有關(guān)規(guī)定做好重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案管理;
(十七)涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,未第一時(shí)間向所在地行業(yè)監(jiān)管部門報(bào)告,事件處置完成后未在規(guī)定期限內(nèi)形成總結(jié)報(bào)告,每年未向本地區(qū)行業(yè)監(jiān)管部門報(bào)告數(shù)據(jù)安全事件處置情況;
(十八)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未按照規(guī)定對其數(shù)據(jù)處理活動(dòng)每年至少開展一次風(fēng)險(xiǎn)評估,及時(shí)整改風(fēng)險(xiǎn)問題,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告;
(十九)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者報(bào)送的風(fēng)險(xiǎn)評估報(bào)告未包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動(dòng)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等;
(二十)對于核心數(shù)據(jù)跨主體提供、轉(zhuǎn)移、委托處理,未按照有關(guān)規(guī)定進(jìn)行評估、保護(hù)、報(bào)批等;
(二十一)其他不履行數(shù)據(jù)安全保護(hù)義務(wù)的。
數(shù)據(jù)安全主體單位應(yīng)對措施
>> 加強(qiáng)數(shù)據(jù)安全內(nèi)部防護(hù)
1、對數(shù)據(jù)進(jìn)行分類分級,梳理數(shù)據(jù)資產(chǎn),了解企業(yè)中有哪些機(jī)密數(shù)據(jù),并且按照保密等級進(jìn)行分類,嚴(yán)格把控?cái)?shù)據(jù)使用權(quán)限。
2、對企業(yè)內(nèi)部所有重要數(shù)據(jù)進(jìn)行強(qiáng)制、主動(dòng)加密,保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護(hù),防止數(shù)據(jù)被非正常獲取與使用。
3、對外發(fā)數(shù)據(jù)進(jìn)行嚴(yán)格管控,經(jīng)過相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài),進(jìn)行查看和編輯。防止內(nèi)部員工進(jìn)行有意或無意的機(jī)密文件發(fā)送,避免數(shù)據(jù)外泄。
4、對外提供的文件打上水印,記錄操作人員信息,在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭,啟動(dòng)應(yīng)急措施。
>> 完善數(shù)據(jù)安全管理制度
1、根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)規(guī)定,對數(shù)據(jù)進(jìn)行分類分級,梳理數(shù)據(jù)資產(chǎn),按照“最小必要”原則收集數(shù)據(jù),遵循合法、正當(dāng)、必要原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍。
2、對于第三方或者聘用人員,在協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求,包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求,服務(wù)質(zhì)量考核評價(jià),安全保密等內(nèi)容;
3、對數(shù)據(jù)交互過程進(jìn)行持續(xù)監(jiān)控,制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施,盡可能降低過程中的網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn);
4、建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制,并定期進(jìn)行事故處置演練。開展員工數(shù)據(jù)安全意識培訓(xùn),了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范,強(qiáng)化員工數(shù)據(jù)安全意識,明確數(shù)據(jù)泄密后企業(yè)和個(gè)人將會(huì)承擔(dān)的法律后果。
當(dāng)前,還是有不少企業(yè)或組織對于數(shù)據(jù)安全的認(rèn)知和重視性不足,投入較少,存在僥幸心理。在執(zhí)法趨嚴(yán)的形勢下,各企業(yè)或組織還需盡快查缺補(bǔ)漏、落實(shí)數(shù)據(jù)保護(hù)義務(wù),防止重大數(shù)據(jù)安全事件發(fā)生,避免遭受處罰。