数据合规重点2023
1.1 《数据安全法》合规分析
《数据安全法》作为数据安全领域最基础、最重要的一部法律,是包括政务数据在内的各行各业数据处理都必须严格遵守的法律。《数据安全法》明确规定了各类数据处理者在数据处理活动中所应该遵守的数据安全相关责任与义务,数据处理者角色除了面向所有数据的通用数据处理者外,其他还包括重要数据的处理者、数据交易中介、国家机关等,政务数据的合规要考虑除了数据交易中介之外的所有数据处理者所应该遵守的法律责任和义务。针对政务数据处理者所应该遵守的《数据安全法》中的法律要求及合规思路分析见表1。
1.2 《个人信息保护法》合规分析
《个人信息保护法》中涉及的个人信息处理者角色包括:面向所有个人信息处理场景的个人信息处理者、境外个人信息处理者、重要互联网平台服务/用户数量巨大/业务类型复杂的个人信息处理者、接受委托处理个人信息的受托人、处理个人信息的国家机关。依据政务数据相关业务特点,政务数据涉及其中的个人信息处理者、重要互联网平台服务/用户数量巨大/业务类型复杂的个人信息处理者、接受委托处理个人信息的受托人、处理个人信息的国家机关等几个角色的相关法律要求,具体相关分析见表2。
表2 《个人信息保护法》合规分析
1.3 《关键信息基础设施安全保护条例》合规分析
《关键信息基础设施安全保护条例》明确规定了包括电子政务在内的领域属于关键信息基础设施,因此对于电子政务平台上的相关政务数据安全合规也必须符合该条例中的相关要求。《关键信息基础设施安全保护条例》对于关键信息基础设施运营者提出了一系列安全责任和义务,这些责任义务大部分也都在《数据安全法》中有所体现,下面仅针对《数据安全法》中没有体现的条款进行合规分析。
(1)第十二条提出“三同步”原则,即安全保护措施要与关键信息基础设施进行同步规划、同步建设和同步使用。这也就要求电子政务等相关平台或应用在规划和建设时必须同步考虑安全的规划和建设,其中也涵盖数据安全及个人信息保护相关内容。
(2)第十四条提出需要对安全管理机构负责人和关键岗位人员进行安全背景审查。
(3)第十七条提出需要每年至少进行一次网络安全检测和风险评估。
(4)第十九条提出采购网络产品和服务可能影响国家安全的,需要进行网络安全审查。
(5)第二十条提出应当与网络产品和服务提供者签订安全保密协议。
1.4 地方法规合规分析
近年来,很多地方都出台了地方数据法规,这也是地方政务数据合规所必须严格遵守的法规依据。地方数据相关法规都是在国家法律的基础上,结合当地数据相关产业发展特色及要求提出了更有针对性的相关要求,但是对于数据安全相关要求大部分还是在《数据安全法》等基础上提出一些具体要求。以2022年3月1日起施行的《浙江省公共数据条例》[3]为例进行地方法规合规分析。
(1)公共数据收集与归集的合规要求包括:遵循合法、正当、必要原则,按照法定权限、范围、程序等收集;通过身份证件验明身份的,不得强制收集指纹等隐私信息进行验证。
(2)公共数据共享的合规要求包括:科学评估并制定公共数据共享属性;共享的数据仅限履行法定职责需要,不得用于其他目的。
(3)公共数据开放与利用的合规要求包括:遵循依法、规范、公平、优质、便民的原则;编制开放目录,可能危及国家安全、公共利益、个人信息及商业秘密等禁止开放;涉及个人信息并匿名化处理、涉及商业秘密并脱敏处理等可以受限或无条件开放;获取开放数据应具备数据安全保护能力。
(4)公共数据安全总体要求包括:实行谁收集谁负责、谁使用谁负责、谁运行谁负责的责任制;建立数据安全管理制度,明确责任人,定期组织培训,加强日常管理与检查,监测平台风险,制定应急预案等。这些总体要求基本与《数据安全法》等保持一致。
数据安全合规评估主要开展思路如下。
(1)数据安全法律法规知识库构建与分析结合组织所属行业及所在地区,全面梳理及分析该组织所应遵循的国家法律,以及国家、地方及行业相关的政策法规,并输出合规评估相关材料,包括但不限于合规调研问卷、合规知识库、合规指标参数等。
(2)制定数据安全合规能力成熟度模型构建数据安全合规能力成熟度模型参见图1。
图1 数据安全合规能力成熟度模型
数据安全合规能力成熟度模型包括三个方面:数据安全合规覆盖整个数据处理活动,包括数据收集、存储、使用、加工、传输、提供/共享、公开/开放、销毁/删除;数据安全合规涵盖数据安全组织保障、规范制度与技术工具各个方面;数据安全合规成熟度等级分为基础级、标准级和优化级。
(3)执行数据安全合规评估
基于合规分析及数据安全合规能力成熟度模型,执行数据安全合规评估,主要评估要点如表4所示。执行数据安全合规评估可以基于评估人员现场调研及采用自动化评估工具进行,但是基于评估人员调研的方式存在调研人员评估业务技能要求很高、评估时效性比较差、与数据应用强耦合的应用场景难以覆盖等问题,因此建议采用以自动化评估工具为主、人工调研为辅的方式进行展开。
表4 数据安全合规评估要点
2.3 政务数据安全合规创新实践设计
政务数据安全合规创新实践设计总体框架如图2所示。
图2 政务数据安全合规创新实践设计框架
政务数据安全合规创新实践主要包括以下方面。
(1)梳理合规依据。主要涉及国家法律、中央及地方政府法规、政府行业相关的规范、国家/行业/地方等标准,以及相关组织内的规章制度等都是合规重要的参考依据,这些材料的重要性不完全相同,如果相关要求存在冲突或不一致,应以上位法律法规相关要求为准。
(2)合规咨询评估。主要对于所有梳理的合规依据进行相关法律法规以及标准规范等的分析解读,重点是根据组织所在的业务及地区等相关要求进行合规性分析,并提取相关的合规要点,进一步根据合规要点输出合规知识等信息以及对评估中发现的合规风险及问题提出合理的改进建议。
(3)合规知识库的建设。重点根据合规咨询评估等获取的合规知识,持续进行积累和更新。
(4)合规运营管理平台的建设。主要包括合规数据采集、合规数据分析及合规数据运营等基础功能组件。合规运营管理平台主要是基于合规知识库,采用大数据分析、自然语言处理NLP、用户实体行为分析 UEBA等相关技术对采集的合规数据进行深入分析,并对数据安全合规结果进行闭环处置管理。
2.4 政务数据合规自动化监控设计思路
对于政务数据合规的自动化监控,主要是基于“合规运营管理平台”的承载和支撑,从数据处理活动的各个数据处理活动出发,结合数据相关的业务场景识别其合规要点并制定针对性的合规监控策略。合规监控策略是指能够对数据处理业务场景中所发生的数据处理活动本身的合规符合度进行持续性、周期性或按需触发地分析判定,分析判定的依据和被判定的对象来源能够被采集、被识别、关联和持续学习。自动化监控中合规性判定的方向主要有三个方面。
(1)需要聚焦到政府组织内组织架构设立的正式发文、人员责任落实记录、制度规范的关键细则与施行情况记录、涉及到个人信息的告知/同意/授权等服务协议的关键细则等静态数据的扫描检测等方面。
(2)需要落实到具体数据处理相关的行为稽核,通过法律法规的深入解读和规则化的转化,能够对数据处理行为进行捕捉记录、环境背景等因素的综合关联以及最终的合规性校验分析。
(3)针对技术手段应用的满足度和有效性进行检测,典型如加密、脱敏技术措施的应用与否判断,以及应用后的密文数据加密强度、脱敏数据再识别的风险等情况。
