沙龙论坛 · 专家观点

随着我国数据流通相关的法律法规相继落实,全国各地都开始推动数据要素安全有序流动相关管理办法有效落地,希望在有法可依、有例可循的基础上,最大限度地激活数据要素活力。对企业以及从事数据保护的管理者们,则有更高的期待。

数据跨境安全合规与实践研讨会暨数据保护官大湾区沙龙在论坛环节邀请到了来自多个行业的企业合规负责人,分享他们在企业数据合规的实践中的经验。

专家介绍

廖立澄,ISC注册信息系统安全专家(CISSP)、ISACA注册信息系统审计师(CISA)、国家网络工程师,熟悉网络及信息安全合规,IT审计和咨询,国际安全体系标准和技术;在数据保护和安全治理,运营和报告上有丰富经验。

主持人 裴轶老师 北京理工大学法学院副教授、国际网络空间治理研究基地研究员、北京知识产权法学会副秘书长

廖立澄先生是加拿大某能源公司中国区的负责人。我们都知道能源数据,它既是大国重器,又事关社会公益,还事关国家安全,但实际上对于普通人相对来说,却是比较封闭的行业。想请您分享一下,在进行数据利用时,我们应如何平衡数据共享和数据安全?

廖立澄:

其实我们行业数据对外分享的机会不是很多,因为我们的数据流动并不是特别频繁。当然,业务上有可能涉及重要数据,这和其他的个人信息保护路径又不一样。

我们是一个总部设在以盛产石油著名的城市——“卡尔加里”的加拿大公司。其实,很多年前来到中国时,我们对于《网络安全法》、《数据安全法》、《个人信息保护法》的合规非常重视。我们从2018年就开启了合规工作,即在《网络安全法》发布没多久之后。

在数据合规方面,我们主要是从四个领域去进行管理:第一是制度和流程第二是数据跨境,因为数据跨境对于外企来说非常的重要,但也是比较敏感、相对独立的领域;第三是基础架构保护第四是应用程序安全

总体来说,因为我们有覆盖制度流程、基础架构、应用程序的等级保护制度,我们的合规工作主要集中于数据跨境和等级保护。在数据跨境方面,我向大家分享一下我们落地的模型,即从人、流程和技术这三方面,确保合规活动的落地。

首先,从人的方面来说,应提高合规安全的意识。具体涉及两个层面,首先是“向上”,即我们必须让管理层知道合规很重要,并且去要获取他们的支持。我们公司也有信息安全委员会,由公司高管组成,有了这个作为基础,再去做对于员工的合规就变得简单很多。我们在数据跨境工作上,只是一个牵头部门,但是具体发送数据的部门是其他部门,比如业务部门,我们要提高他们的安全合规意识

其次是从流程上,涉及两个方面:一方面是内部自评估流程,即建立一套完善的表格,包含了对于发送方和接收方数据安全的控制能力,还有用于发送数据应用程序安全方面的控制能力评估,我们把全部内容放置在一个表格里去做评估,这就是自评估;另外一个是申报,即根据网信办等相关部门的流程去做申报。总体上,我们从自评估和申报内外两个流程,去做数据跨境合规工作。

最后一部分是技术。技术涉及到的内容比较多,举一个例子,我们去部署数据泄漏防护系统(DLP),该系统通过一些设置,除了保障组织内部到外部防泄漏外,还可以去监控数据跨境活动。比如,跨境到境外的供应商或者是加拿大总公司利用DLP等技术手段,可以更好地帮助我们掌握数据跨境的可见度。

主持人 裴轶老师

还有一个问题向您咨询,能源数据我们能够想象,但是石油公司有可能遇到哪些种类的个人信息?

廖立澄:

个人信息主要是员工信息,还有供应商人员的信息,我们的个人信息类型不针对消费者,不是to C。

因为我们对员工的个人信息也是非常重视,所以我们也关注个人信息保护问题。部分员工的个人信息需要发送到总部,虽然量不是很大,但是也会做个人信息安全影响评估,数据安全保护也会同时进行。只是没有像其他to C的企业做得那么深入,或者覆盖面没有那么广。

在跨境数据上,其实对于国家来说,涉及到了国家安全。另外,还需要关注的是数据本地化的趋势。如果数据发送到境外,会有很多监管要求或者风险,很多外企可能也会逐渐往数据本地化的方向走,这是值得大家考虑的方向。

主持人 裴轶老师

从企业的角度来说,并不是完全排斥数据本地化的路径?

廖立澄:

对,公司如果比较注重合规的话,肯定是要去考虑这方面的因素,数据本地化是很重要的路径

声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。