【精彩回顾-上海场】构建“内外兼修”的数据安全管理体系:涉及车企数据分类分级实战、监管机关视 角下的数据安全检查和数据跨境(上海)线下活动圆满落幕!

2022-08-01 09:32



1.png

2022 年 7 月 27 日,LEB 邀请到了大成律师事务所的资深律师孙鹏程律师以及上海赛博研 究院的高级研究员刘境棠博士,分享了大家高度关注的数据分类分级、数据安全检查和数据跨境 的热门话题。

2.png3.png

上海赛博研究院的高级研究员刘境棠博士,作为通管局开展数据安全检查工作的参与者,从|滴滴被罚款 80.26 亿人民币,两名高管各被罚 100 万元的事件作为分享的开端,为大家介绍了 2022 年度多行业的网络和数据安全检查,包括检查对象、检查范围、重要时间节点等,涉及电 信、互联网、车联网等行业。关于检查的范围,刘博士重点强调了三个部分:基础性评估(组织 机构和制度建设)、数据生命周期评估基于技术能力评估。基础性评估关于组织机构和制度建设 需要考虑机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急 响应、投诉处理、教育培训;数据生命周期评估需要涵盖数据采集、传输、存储、使用、开放共 享和销毁;技术能力评估需要考虑数据识别、安全审计、防泄露、接口安全和个人信息保护。刘 博士还介绍了数据安全检查的流程,并就大家关注的一些问题一一作了回复,比如通管局数据安 全检查有哪些要求、哪些企业需要特别关注数据安全检查、数据安全检查重点关注什么、企业应 该如何配合监管机构的检查等等。

4.png

此外,刘博士还介绍了企业应该如何准备数据安全的评估报告,一个好的数据安全评估报告 应该包括哪些要素,为企业的数据安全评估实践指明了方向。

3.png

数据出境一直都是大家关注的问题。刘博士为大家系统地、直观地呈现了属于数据出境的场景,并强调了对于在中国境内运营所产生或收集的个人信息,只要服务器或访问人员其中之一在 境外即为数据出境,无论是系统服务器位于中国境外,服务团队在中国境内;还是系统服务器位 于中国境内,服务团队在中国境外,或允许境外人员远程访问。刘博士介绍了目前数据出境的三 条路径:安全评估、专业机构认证和标准合同,并介绍了数据出境安全评估的触发条件,以及申 报安全评估的流程和必要材料。 对于大家感到困惑的数据出境风险自评估和个人信息保护影响评估(PIA)的差异,刘博士 从效力、自评估和评估重点进行了分析对比,帮助大家理解两者之间的差异,关于风险自评估和 PIA 是否需要分别评估的问题,刘博士认为,这两者的目标和方法论是一致的,都是通过对数据 处理活动的梳理,评估数据出境是否符合合法性、正当性、必要性要求,判断所采取的管理措施 和技术措施是否充分,提出整改或补救方案。PIA 主要关注数据处理活动对个人权益造成的影响, 也就是个人信息权益维护渠过程道是否通畅;而风险自评估除了 PIA 所关注的风险因素之外, 重点关注跨境因素带来的对个人权益造成的影响,如出境数据的情况、境外接收方的承诺、出境 中涉及的风险、出境后再转移的情况等。对于仅出境个人信息的情况,风险自评估涵盖个保法 56 条 PIA 的评估要素,可以为同一份评估报告。对于是否所有数据出境,都需要开展风险自评 估,刘博士结合网信办的专家解读,解答了大家的疑惑。

5.png

最后,刘博士具体介绍了企业数据出境的风险自评估的评估步骤,为企业落地数据出境的风 险自评估提出了务实的建议。

6.png

关于数据的分类分级,一直都是企业非常头疼的问题。虽然汽车行业相较于其他行业相对成 熟一些,但是依然面临很多问题。目前汽车企业,随着智能网联车时代的来临,座舱的功能不断 迭代导致的用户信息采集以及车身各类传感器不断收集环境以及个人信息,拥有的数据量已数倍 于从前,车辆已经逐渐成为移动的数据中心。建立健全数据安全治理体系,逐步提高数据安全保 护能力是汽车企业迫在眉睫的需求,对于如何治理好数据,如何使用好数据,也已成为每家车企 的绕不开的一个话题。而做好数据安全的第一件事情,是需要对数据进行分类分级。从调研情况 看,数据的分类方面,有根据管理主体划分是内部、外部监管进行区分的,也有根据数据域划分 经营管理类、业务类、个人类进行区分的;数据的分级方面,有根据管控级别划分为公开、内部、 有限管控、严格管控进行区分的,也有根据数据泄露产生的风险程度以及重要程度划分公开、内 部、保密、机密、核心进行区分的。各家都在探索更合理有效的分类分级方法,但是目前全行业 都没有相对共识标准。 孙律师结合其丰富的实战经验,从三个层级为大家分享了数据分类分级的思路:

7.png


1.0 级:从国家各行业的法律法规(涉及政务数据、金融数据、互联网数据、健康医疗数据、基础电信数据、工业数据、车联网数据等等)切入,分析了数据分类分级的法律法规的变化以及 国家立法部门的思路;从横跨多个领域的数据分类分级的规范,来分享对企业进行数据分类分级 的启发。2.0 级:从具体的业务场景切入,来讲数据分类分级的思路;在进行数据分类分级的过程中, 有一些场景需要将数据的安全级别进行调整,比如多维的数据之间进行关联会使得安全级别上 升,数据已经被公开或者披露会导致安全级别的降级等等。 3.0 级:从具体的车企项目分享数据的分类分级。孙律师分享了车企会涉及哪些数据类型、 数据应该如何分类分级,在进行分类分级的过程中需要注意哪些问题等等

8.png

推荐新闻
会员升级
会员升级