网络安全|企业如何有效进行数据合规管理？网络安全

文章图片

文章图片

文章图片

近日，中国信通院发布了《2022大数据十大关键词》。其中，提到“关键词九”——：数据安全合规整体迈入新阶段。

具体内容如下：
随着2021年两法的颁布实施，各行各业的数据安全监管力度不断加强，合规工作也迈入新的阶段。首先，为了正确理解监管内容，有效落实监管要求，各行各业广泛掀起了政策法规的学习浪潮。其次，数据分类分级作为数据安全领域的重要工作，也是实现精细化安全管理的必要能力，同样成为这一轮学习热潮的重点关注对象。再次，为推动本行业企业数据安全的贯彻落实，部分行业主管单位启动监管报送工作。最后，在供应侧市场，部分企业开始着手开发合规管理工具，以协助需求方实现监管应对的自动化实现。

近年来，有不少APP软件或多或少都存在过度收集、违规收集用户数据信息、强制授权、不合理索取用户权限等等，如未经用户同意自动开启收集地理位置、身份证号、人脸、指纹等用户敏感信息，以及违规读取用户通讯录、使用摄像头、启用录音等功能收集用户信息，侵害用户隐私安全。
也因此，在个人信息搜集使用、大数据算法和人工智能的越来越广泛运用的大背景下，数据安全已经变的重要且迫切了，同时，数据合规的治理也是数字化时代全社会治理不可或缺的一部分。
【网络安全|企业如何有效进行数据合规管理？】
企业在生产经营过程中，会产生各种各样的数据，如财务报表、现金流水、用户活跃度等企业经营数据；行业统计报告、产品使用反馈、用户行为等企业决策所需的数据；用户画像、推荐算法模型、产品优化方向等企业开发利用的数据，等等。
据了解，数据合规管的是与用户相关的数据，具体边界并不清晰，而且用语都不同，有的人称之为用户数据，有的人称之为个人信息，大多数人称之为隐私。那么，企业如何有效进行数据安全合规管理？

1、数据内容安全合规
对数据内容进行分类分级，如从数据的性质和类型的角度出发，判断数据是否涉及个人信息、重要数据、商业秘密及其他非公开信息等，是否为公开数据，数据内容是否为法律法规允许采集的等，并根据数据等级的重要程度，对用户数据进行不同安全程度的保护。
如，企业在数据收集、处理过程中，识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据，并基于分类分级结果、对敏感数据和重要数据的流转及使用情况，结合企业场景化的数据安全风险分析及数据安全能力需求分析，制定企业的数据安全策略和技术防护保障措施。

2、数据来源及获取方式安全合规
数据的获取途径与方式是否合法合规，用户授权的自愿性，即授权链路的完整性、获取方式是否符合行业惯例及商业逻辑等等。
例如， 6月14日，国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》，自2022年8月1日起施行。新《规定》提出，不得以任何理由强制要求用户同意个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。而企业若强制，则是违规。