自2021年9月1日起,在《数据安全法》正式施行的两年时间里,数据安全合规建设正在全国各地加速落地。与此同时,因为数据安全合规建设缺位而导致的数据安全处罚事件也在全国各地不断出现。据有关机构统计报告显示,仅2023年上半年,有关部门公开发布依据《数据安全法》作出的行政处罚决定典型案例就有34起之多,罚金百万不等。
● 3月,浙江温州公安网安部门查处一起涉数据安全违法案件,根据《数据安全法》对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。 ● 5月,南昌市网信办依据《数据安全法》对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。 ● 7月,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。依据《数据安全法》对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。 可以看出,《数据安全法》正式实施以来,公安、网信等部门积极适用新法,全面压紧压实网络运营单位数据安全主体责任,充分体现“有法可依、有法必依、执法必严”的法治精神。而多地的罚单都属于当地“首例”,表明数据安全合规监管常态化时代已经到来。 根据对数据安全处罚事件的总结,大多数数据安全事件处罚是依据《数据安全法》中的第二十七条和第二十九条,即大多数企业并没有依法依规履行数据安全保护义务,没有开展数据活动的评估、检测和应急处置等活动。 二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 第二十九条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 通过对数据安全处罚事件的总结,结合自身在数据安全领域的攻坚与实践,敏捷科技对数字化转型中的企业数据安全合规建设提出以下几个建议: >>> 强化数据管理制度 强化数据安全管理制度的制定与执行,从制度与管理层面加强数据安全的管控。进行数据安全教育讲座、政策宣贯等,定期进行员工安全意识培训和应急方案演练。 >>> 数据存储强制加密 >>> 业务系统落地加密 对于内部业务系统(OA、ERP、PLM等)存储的敏感数据(基建设施信息、客户个人信息等)下载到电脑终端时自动加密。并且脱离加密环境不可读、不可用。可以在外出办公、跨境办公、居家办公等外部场景下实现对内部数据的安全保障。 >>> 涉密文件外发管控 在协同设计、协同生产等场景下,对需要通过正常渠道流通的涉密文件,通过设置分层多级的外发审核流程,确保对外发数据的管控与记录,通过审核之后转成明文的文件也可以进行权限设置来保证除接收方外不会发生二次泄密。 >>> 快速定位溯源审计 2023年一季度,伴随着国家数据局的设立,必将全力拉动数据要素市场和数据安全等产业的快速发展。而层出不穷的数据泄露事件也为各行业领域敲响警钟。 当前,数据安全在我国仍面临较大的挑战,数据处理者应当加强数据安全保护力度,落实国家总体安全观,切实履行数据安全保护义务,构建数据安全管理制度,维护国家安全和社会稳定。 ★ 为助力更多企业建设合法合规、统一高效的数据安全防护体系,敏捷科技现开展数据安全与数据管理系列“公益培训”,请有意向的相关单位及企业扫描下方敏捷小助手二维码与我们联系获取更多活动细节~
使用数据加密技术手段对所有内部终端进行加密管控,保证图纸、文档等敏感数据在创建、存储、传输、使用和销毁的全生命周期始终都处于加密状态,保证内部文件始终以密文状态存储,从源头杜绝数据安全风险。
通过文件水印、屏幕水印等手段对每一份文档数据的归属提供完全和可靠的证据,有效实现泄密文件的溯源。在安全事件发生后,审计部门也能在捕获到文件后,第一时间定位泄密源头,保障企业权益。
18120179909
关注敏捷小助手,了解更多