在数字化、智能化时代,数据的价值越来越凸显,成为了企业核心的生产要素。随着大数据、AI技术应用的不断加深,数据安全问题也与日俱增,数据遭到篡改、破坏、泄露或非法获取、非法利用等事件频繁发生。《中华人民共和国数据安全法》等法律和法规明白准确地提出了数据处理者应履行的数据安全保护义务,但在实践中仍存在数据安全责任模糊且不一致、与其他安全职责不知道怎么来拆分等问题。基于此,文章提出数据安全责任制,从组织架构、部门职责、岗位设置、数据全生命周期责任划分等方面入手,进一步区分和界定各方数据安全责任,厘清各方权利边界,在分配各方数据安全责任的同时,更好地理清数据安全工作事项的落地执行,为企业履行数据安全保护义务提供参考。
《中华人民共和国数据安全法》(以下简称《数据安全法》)第二十七条第二款明白准确地提出了“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任”。《中华人民共和国网络安全法》(以下简称《网络安全法》)第二十一条也提出了类似的要求,即“……确定网络安全负责人,落实网络安全保护责任”。目前,针对网络安全负责人的设置,主要是通过网络安全责任制的途径进行落地实践,为“数据安全负责人”提供了可借鉴的实施路径。在网络安全领域,其主要特征是数据比较静态,相关责任也非常容易进行划定;而在数据安全领域,由于与业务强关联,数据大多处于流动的过程中,给数据安全负责人的设置、责任划分等带来非常大挑战,如责任模糊且不一致、职责拆分存在分歧、拆分不清存在“三不管”地带等。同时,在实际在做的工作中,数据安全负责人的设置不限于重要数据处理者,往往还会扩展到其他数据处理者。因此,本文通过对责任制的由来、网络安全责任制的先行应用、数据安全责任制设计和履行等进行研究,力求做到“知其然、知其所以然、知其所以必然”,为企业履行数据安全保护义务提供一定的参考。
“责任制”是指各项工作由专人负责,并明确责任范围的管理制度。《中华人民共和国宪法》第一章第十四条提到“国家通过提高劳动者的积极性和技术水平,推广先进的科学技术,完善经管体制和企业经营管理制度,实行各种各样的形式的社会主义责任制,改进劳动组织,以逐步的提升劳动生产率和经济的效果与利益,发展社会生产力。”
责任制的由来可以追溯到多个角度,包括历史背景、管理实践以及法律和法规的推动。
从管理学的角度来看,责任制是西方管理学最早、最重要的制度之一。早在1853年,美国铁路管理者丹尼尔·麦卡勒姆为改善对铁路系统的管理,首次提出了岗位责任制。这一制度的提出,旨在明确各个岗位的责任和权力,以提高管理效率和效果。随后,管理学大师亨利·法约尔也强调了权力和责任是管理的根本原则之一,认为在行使职权的同时,必须承担对应的责任。
1953年,我国开始实行第一个“五年计划”。由于当时的管理上的水准和技术水平较为落后,安全生产的问题很突出。为了应对这一问题,重工业部在同年5月发布了《关于在生产厂矿中建立责任制的指示》,要求各个生产厂矿领导有计划地建立和健全包括安全技术责任制在内的七大责任制度。这一指示的发布,标志着中国在生产领域开始推行责任制。
责任制在所有的领域都存在广泛的应用。在网络安全方面,2017年6月1日起施行的《网络安全法》提出了“网络安全负责人”的有关要求。同年8月15日,中央办公厅印发《党委(党组)网络安全工作责任制实施办法》,标志着我国网络安全责任制的正式建立。该办法的公开发布对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。
网络安全责任制的有关实践,包括明确责任主体与义务、加强监管与执法、提升技术防护能力、加强人员培训与意识提升。其中,责任主体与义务是网络安全责任制有效落地执行的重要环节,即按照网络安全等级保护制度的要求,制定内部安全管理制度和操作规程,明确责任分工并严格执行。
管理制度建设方面,主要通过构建《网络安全管理责任制度》或《网络安全工作责任制度》《网络安全责任制细则》等制度文件对组织设置、部门职责、工作流程、责任追究等内容做详细描述。
技术措施执行方面,主要是根据法律和法规、国家标准、行业规范以及企业制度要求等,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,如加密技术、入侵检测系统、防火墙等,并通过常态化监测机制记录网络运作时的状态、跟踪并处置网络安全事件,以此增强网络的安全性,防止网络攻击和数据泄露等安全事件的发生。
人员培训与意识提升方面,则通过定期对员工做网络安全培训,提升员工的网络安全意识和技能水平。同时,建立完善的网络安全管理制度和应急预案,确保在网络安全事件发生时能及时、有效地进行应对和处理。
网络安全责任制不仅践行了网络安全保护义务的法定要求,也对第一责任人、主要责任人、直接责任人等有着比较清晰的设置逻辑。
第一责任人是组织或机构的最高负责人,如企业的法人代表或领导班子主要负责人。实践中,党政一把手是各单位网络安全工作的主要负责人,也是网络安全工作的第一责任人。主要责任人是负责网络安全管理工作的具体负责人,如网络安全部门的主管。直接责任人是直接参与网络安全工作的人员,如网络安全工程师或相关技术人员。
综上所述,第一责任人对网络安全负有全面的领导责任,并制定相关的网络安全政策;主要责任人负责执行这些政策,并管理具体的网络安全工作;直接责任人负责执行具体的网络安全措施,并直接向主要责任人报告。
2021年以来,无论是行政部门、行业主管部门还是国家标准、行业规范等均提出了数据安全责任有关要求。一类是要求重要数据和核心数据的处理者、敏感个人隐私信息的处理者,需设置数据安全责任人,如《数据安全管理办法(征求意见稿)》《工业和信息化领域数据安全管理办法(试行)》《自然资源领域数据安全管理办法》《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》等。另一类是对非重要数据或敏感个人隐私信息的其他数据处理者也提出了这一要求,如《网络站点平台落实主体责任指南(征求意见稿)》《统计数据安全管理办法》《深圳市企业数据合规指引》《银行保险机构数据安全管理办法(公开征求意见稿)》《会计师事务所数据安全管理暂行办法》等。
如此看来,数据安全责任制可以说是把管理职责落实到各部门并将执行责任下放到数据全生命周期各具体人员身上。不仅如此,数据安全责任并非局限于重要数据和核心数据的处理者、敏感个人隐私信息的处理者,在具体实践过程中,无论是哪一类数据处理者,设立数据安全(第一)责任人都是有必要的。
根据法律和法规、标准规范、监督管理要求以及最佳实践,并结合真实的情况,企业可建立自上而下的数据安全管理四层组织架构,即决策层、管理层、执行层、监督层,如图1所示。
从公开的资料查询到A银行的数据安全治理体系建设与实践,其将数据安全管理组织进行了详细的职责分工,如图2所示。
按照战略层、决策层、管理层、执行层和监督层的设计原则,明确各相关方在数据安全治理活动中的职责。其中,管理层主要是指数据管理委员会,科技和业务的一些主要部门作为委员会的常规成员。执行层落脚于金融科技条线的有关部门,包括金融科技部、数据信息部、科技风险三道条线。除此之外,行内各部门配备数据管家,负责在日常数据安全管理的过程中提供管理或技术上的支持,保证数据安全的各类要求能够迅速上传下达。
安全管理部门为数据安全统筹部门,作为本机构负责数据安全工作的主责部门。其主要职责包括:组织制定数据安全管理原则、规划、制度和标准;组织并且开展本机构数据分类分级工作,维护数据目录,推动实施数据分类分级保护;组织并且开展数据安全评估和审查,避免不当的数据采集、使用、共享等行为;统筹建立数据安全应急管理机制,组织并且开展数据安全风险监测、预警与处置;组织并且开展数据安全宣贯培训,提升员工数据安全保护意识与技能;建立和维护内部数据共享、外部数据引入、数据对外提供、数据出境的统筹管理机制,牵头对外部数据供应商进行安全管理,统筹大数据应用、数据共享项目的安全需求管理;负责处理数据安全和个人隐私信息保护的投诉、举报等工作,并协调有关部门进行处置;向管理层报告数据安全重要事项,以及其他须统筹管理的数据安全工作事项。
IT部门是数据安全的技术保护主责部门,其主要职责包括:建立数据安全技术保护体系,建立数据安全技术架构和保护控制基线,落实技术保护的方法;制定数据安全技术标准规范制度,组织并且开展数据安全技术风险评估;组织并且开展信息系统的生命周期安全管理,确保数据安全保护的方法在需求、开发、测试、投产、监测等环节得到落实;建立数据安全技术应急管理机制,组织并且开展数据安全风险的技术监测、预警、通报与处置,防范外部攻击行为;组织数据安全技术探讨研究与应用。
营销部或客户部是本专业个人隐私信息保护的主责部门,负责制定个人隐私信息保护的管理制度和规程,开展本专业个人隐私信息安全影响评估和合规审计,规范个人隐私信息加密、脱敏、匿名化、去标识化等技术保护要求,制定个人隐私信息安全事件应急预案,及时处置安全事件,在本专业内开展个人隐私信息安全教育和培训。
人力资源部是员工个人信息保护的主责部门,负责落实行内员工、外包人员等的个人信息保护合规要求,同时也需将部门及员工数据安全履职情况纳入考核体系,优化数据安全管理机构,建立数据安全人才培养引进和储备机制,突出抓好人才使用和管理,进一步强化人才评价和激励机制,构建覆盖业务、技术和管理各领域的高素质专业化数据安全人才体系。
按照“谁管业务、谁管业务数据、谁管数据安全”的原则,各业务部门是本条线数据安全管理工作的归口管理部门,负责明确本条线的数据安全管理责任。其主要职责包括:负责组织并且开展本条线的数据分类分级工作;负责落实数据生命周期安全管理要求,做好数据安全分级保护管控;负责加强与外包合作事项的数据安全管理;负责提出信息系统建设、运行维护等数据安全相关需求;负责本条线数据处理活动安全管理,包括数据权限管理、数据授权访问、数据申请使用审批等事项;负责组织学习贯彻数据安全法律和法规和管理规定;负责制定本条线数据安全应急预案,并定期开展数据安全应急演练,依据演练结果,修订数据安全应急预案;负责做好本条线数据安全应急管理,妥善应对数据安全事件,组织或配合违规问题调查并及时整改等;负责对数据安全和个人隐私信息保护的投诉、举报等做处理;其他数据安全管理工作事项。
在部门职责具体实践落地工作中,笔者收集并分析了B银行的数据安全组织架构。B银行形成了由信息安全领导小组统筹,总行数据管理与应用部组织推进,总行金融科技部提供技术支撑,总行人力资源部、法律合规部、审计部协同,各单位落实执行的整体格局,如图3所示。
在岗位设置方面,主要是根据部门职责有效拆分、岗位人员互斥制衡的原则,建立两级架构的数据安全责任矩阵,如图4、图5所示。
公司级数据安全责任矩阵主要从部门整体视角出发,以“牵头+配合”相结合的模式将数据安全工作事项做拆解并分配到各部门。同时,安全管理部门设立数据安全管理专员岗位,各部门明确1个数据安全管理专职或兼职岗位,以此强化数据安全责任的落地执行。
部门级数据安全责任矩阵则主要从数据全生命周期视角出发,聚焦数据处理活动每一个阶段的职责拆分,实现职责精细化管理。
与此同时,也可进一步细化部门级数据安全责任矩阵,覆盖数据全生命周期的各个阶段,形成数据全生命周期责任矩阵,如图6所示。
在具体实践工作中,C银行发布了《数据安全管理团队建设方案》,确定数据安全专兼职岗位设置标准及专业队伍建设要求,明确数据安全专兼职人员的职责,共同推进全行数据安全各项工作扎实落地,为全行数据安全管理提供人才保障。其他各行也不同程度强化了数据安全管理岗位工作职责的落地。
为了更清晰地展示数据安全责任矩阵设置过程,以下通过聚焦某一数据应用场景实现“用-管-办”的职责拆解示例进行说明,见表1所列。
根据数据安全责任制设计相关联的内容,结合《银行保险机构数据安全管理办法(公开征求意见稿)》,对数据安全工作事项做拆解,形成“3+1”模式(其中,“3”指的是数据安全管理体系、数据安全技术体系、数据安全运营体系,“1”指的是个人隐私信息保护专项工作),进一步针对每一项工作的实行责任到人,保障数据开发利用活动安全稳健开展。见表2所列。
从公开资料查询到,D银行的数据安全具体实践主要围绕以“管控数据全生命周期流动”为核心的数据安全链路建设,涉及数据分类分级、数据安全风险评估、数据安全培训、数据安全治理体系建设、数据全生命周期技术落地(如隐私合规工具、数据流动链路技术监测、数据异常行为技术检验测试、应用程序编程接口(API)技术监测)等数据安全工作的具体拆解。
从企业角度来讲,数据安全监督层负责对各层级、各部门在数据安全管理方面的履职尽职情况做监督评价。
安全管理部门建立数据安全日常监督巡查的策略、方法、流程等,定期开展企业内部数据安全管理监督检查和评价工作,并及时督促问题的整改。
法务部门、风险管理部门定期开展数据安全风险评估(包括全面风险评估、专项风险评估、特定时点风险评估3种类型)、监督检查与评价问责,督促问题的整改。
审计部门制定数据安全审计策略及规范,围绕全流程数据安全管理制度和相关操作规程执行情况、数据安全相关投诉处理情况,定期开展数据安全专项审计工作,发现并反馈问题和风险,并对后续相关整改工作做监督。
针对数据安全的评价则主要围绕以上梳理的数据安全工作事项的落实情况做考核。具体如下。
数据分类分级工作评价:检查数据分类分级的准确性、合理性等,是否依据数据分级管控要求遵照执行,是否对数据分类分级清单进行动态维护。
技术措施有效管控评价:检查是不是基于数据分类分级情况,落实相应的技术能力和措施,如操作权限管理、数据加密、数据脱敏、数字水印、数据防泄露、数据流动监测、操作行为审计、数据备份与恢复等。
数据全生命周期管理评价:检查是不是落实在数据采集、传输、存储、使用、删除以及销毁等数据生命周期所有的环节的安全管理要求,如是否建立数据使用正当性的内部责任制度,是否落实数据访问权限申请和审核批准机制,高频查询、3级及以上数据批量导入导出等操作要不要进行安全审计,数据使用完毕后要不要进行数据删除等。
2023年11月23日,工业与信息化部发布了《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》,对工业和信息化领域数据安全行政处罚裁量权作出规范化、系统化的规定,这使工信领域数据安全管理的法治化、规范化又迈出务实的一步。
随着我国《网络安全法》《数据安全法》《个人隐私信息保护法》的相继发布和深入实施,执法依据日益明确。2021年以来,各级市场监督管理局、网信部门、公安机关、通信管理局等多个部门分别依法开展数据安全、个人隐私信息保护等领域的执法。
据公开信息不完全统计分析,近年来针对数据安全和个人隐私信息保护的行政处罚主要呈现以下3方面问题。第一,在国家数据主权和数据安全层面,数据处理者未遵守履行法定义务,未将高敏感数据存储于境内、擅自向境外提供重要数据或国家重要情报,泄露该类数据将会危害国家安全。第二,在企业数据安全层面,大多未履行数据安全保护义务,大多数表现在组织建设、制度流程、人员能力、技术工具4个维度缺乏相应的能力。第三,在个人隐私信息保护层面,特别是与用户直接面对的各行各业,如饮食、房产(含物业)、建筑、零售等行业,最为普遍的是未经过用户同意收集使用个人隐私信息,侵害个人隐私信息主体依法得到保护的权利。
通过对行政处罚案例的分析,可以轻松又有效地进行履职倒推和查缺补漏,进一步强化数据安全责任的履行,降低被处罚的风险。
数据安全是一个比较大的新领域,由于与业务强关联,在落地执行的过程中往往存在着许多困难。通过对数据安全责任制的研究,不仅需要对管理机构进行重新分配和设置,而且要对部门职责、岗位设置等进行详细梳理,同时基于数据处理活动进一步细化数据应用场景中的数据安全责任拆解,以实现“职责层层压实、责任到岗到人”的目标。总的来说,数据安全责任制是履行数据安全保护义务的重要手段之一,也是企业落实数据安全工作的“尚方宝剑”。
新闻推荐
【2024-12-23】
【2024-12-23】
【2024-12-23】
【2024-12-22】
【2024-12-22】
【2024-12-20】
【2024-12-20】
【2024-12-20】
【2024-12-20】
【2024-12-19】
【2024-12-19】
【2024-12-19】