6月10日,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“數(shù)據(jù)安全法”)表決通過,自2021年9月1日起施行。

《數(shù)據(jù)安全法》為企業(yè)的數(shù)據(jù)安全管理提出了更高的要求。同時,它也給了企業(yè)一個方向,那就是與外部合作來將業(yè)務數(shù)據(jù)化,并利用外部資源存儲數(shù)據(jù)。有了法律保護,使得數(shù)據(jù)的外部存儲有了保障。

《數(shù)據(jù)安全法》推動外部數(shù)據(jù)存儲方案

對于那些在數(shù)據(jù)保障基礎建設上相對薄弱的企業(yè)來說,數(shù)據(jù)安全管理面臨一個比較大的難題:公司需要將資源著重花在業(yè)務發(fā)展上,可能沒有那么多的精力和數(shù)據(jù)安全專家來應對復雜的數(shù)據(jù)安全管理問題。

因此,與外部供應商合作,一方面能更好地保障數(shù)據(jù)安全有效,另一方面也減少了企業(yè)在數(shù)據(jù)安全性上投入的成本。

結合《數(shù)據(jù)安全法》的要求,企業(yè)在與外部合作進行數(shù)據(jù)云存儲時,需要特別注意以下事項:

1. 個人隱私保護

個人隱私相關的數(shù)據(jù),往往是數(shù)據(jù)安全性中最為敏感的數(shù)據(jù),特別是對于人力資源從業(yè)者來說,需要極為重視。

一方面,我們需要這些數(shù)據(jù)來進行員工管理的日常工作;另一方面在涉及員工身份證、銀行卡、電話號碼等個人隱私數(shù)據(jù)時又會受到嚴格限制。

那怎么做才最好呢?

基于不少企業(yè)的最佳實踐,我們建議企業(yè)在數(shù)據(jù)收集及使用上保持公開透明,對于收集哪些數(shù)據(jù),用于哪些場合,能夠有書面文檔進行描述,并可以利用電子簽名等方式獲取員工及客戶的授權認可。

另外,《數(shù)據(jù)安全法》還提到“數(shù)據(jù)使用要符合倫理道德”,不過在倫理道德這一點上其實是很難有嚴格界定,這是HR們需要重點研究的。

2. 數(shù)據(jù)存儲的可管理性

《數(shù)據(jù)安全法》中要求,重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。

因此無論是企業(yè)內部還是我們的合作方,對于重要數(shù)據(jù)我們都需要確保能及時進行查詢、刪除、更正、注銷。

對于和客戶、員工有關的數(shù)據(jù),如果客戶和員工提出要將個人數(shù)據(jù)在企業(yè)的相關系統(tǒng)中進行刪除,那么我們就有義務要確保數(shù)據(jù)可追蹤溯源并實施刪除。

一些國外企業(yè)中已經(jīng)實際遇到的情況是在一些數(shù)據(jù)安全相關審查中被要求證明,如何在有需要的時候,能確保員工的數(shù)據(jù)在離職后能被有效地清除。

如果平時沒有做好數(shù)據(jù)的管理工作,你會發(fā)現(xiàn)這是一件非常不容易的事情。

基于《數(shù)據(jù)安全法》的出臺,我們也需要確保在未來有嚴格的管理措施,能夠追蹤到每位員工和客戶的相關數(shù)據(jù)。

其中,通過電子簽名來存儲一些電子合同和契約就是一種比較有效的方式來進行管控,因為所有的簽約方都需要通過身份識別而且不可篡改,這是一種非常有效的管控方式。

3. 防止數(shù)據(jù)丟失

對于數(shù)據(jù)丟失的危害性,可能很多人都深有感觸。

就好像使用多年的電腦或者移動硬盤一旦損壞,那么自己多年積累的個人數(shù)據(jù)可能就付之一炬。

在企業(yè)中更是這樣,一旦存儲的數(shù)據(jù)出現(xiàn)問題,那么對于企業(yè)來說將會是極大的損失。

沒有絕對安全的云,也沒有萬無一失的服務器。因此必須要確保企業(yè)和外部供應商都有數(shù)據(jù)備份和恢復機制。

同時也要確保相應的數(shù)據(jù)存儲服務器有防病毒措施,不被電腦病毒侵入導致數(shù)據(jù)被破壞。

4. 防止數(shù)據(jù)泄露

有時并不是企業(yè)和供應商有意想泄漏數(shù)據(jù),而是由于安全性不夠而引發(fā)了數(shù)據(jù)泄漏問題。

例如,在2020年致力于提供高質量免費照片和設計圖形訪問的網(wǎng)站Freepik披露了一起重大安全漏洞,被黑客利用SQL注入漏洞訪問其一個存儲用戶數(shù)據(jù)的數(shù)據(jù)庫之后,獲得了830萬注冊用戶的用戶名和密碼。

如果這樣的事件發(fā)生在我們企業(yè),代價一定是巨大的,因此我們要防范數(shù)據(jù)泄漏風險。

《數(shù)據(jù)安全法》在數(shù)據(jù)泄漏風險保障上提供了法律依據(jù)。我們也可以通過第三方的專業(yè)評估公司來對供應商進行評估,以確保供應商有定期漏洞查詢機制、傳輸安全性信息加密等方法防止數(shù)據(jù)泄漏。

5. 防止數(shù)據(jù)被不正當使用和交易

在這一點上,《數(shù)據(jù)安全法》起到了極大的作用:

一是明確了數(shù)據(jù)交易必須說明數(shù)據(jù)來源,同時由于是法律規(guī)定,對違犯者明確了重罰措施,將會極大震懾數(shù)據(jù)的違法交易。

在企業(yè)中我們也要做好數(shù)據(jù)安全相關的管控措施,提升數(shù)據(jù)保護意識,制定相關規(guī)則,只有必要的人員才能訪問必要的數(shù)據(jù)。

即使由供應商來存儲企業(yè)數(shù)據(jù),也可以通過技術來限制供應商員工訪問企業(yè)的相關數(shù)據(jù),從而充分保證數(shù)據(jù)安全性。

結語

互聯(lián)網(wǎng)時代,我們需要充分利用大數(shù)據(jù)的優(yōu)勢,盡可能將我們公司的日常業(yè)務電子化。

例如,在電子簽名領域,我們可以將日常的各種企業(yè)間合同、員工合同、企業(yè)與個人之間的證明、協(xié)議等等,都通過電子化的方式進行簽約、存儲管理。

因為電子簽名擁有身份認證且不可篡改,可以確保相關簽署的真實、準確、有效、可信,同時也能極大提升查詢效率。

我們在和相關供應商進行合作時,也要重視供應商在數(shù)據(jù)安全性上的資質,以進一步確保數(shù)據(jù)安全。

在數(shù)據(jù)安全資質方面,上上簽電子簽名經(jīng)過長時間的積累和實踐,在文中提到的這些數(shù)據(jù)安全領域,都已經(jīng)有相應技術、標準、措施、認證來確保數(shù)據(jù)安全。

特別是在一些外部第三方機構的安全測評中,上上簽曾獲得過供應商有史以來最高分并被歸類為最高等級的成熟系統(tǒng)。

另外,國內供應商和國外供應商相比,在應對國內數(shù)據(jù)安全性上會有天然的優(yōu)勢,因為國外供應商還要花不少精力來應對《中華人民共和國數(shù)據(jù)安全法》中對于數(shù)據(jù)境外存儲的相應要求。

未來,希望各家企業(yè)都能夠與可信賴的廠商進行更深入的合作,利用好數(shù)據(jù),保護好數(shù)據(jù),用數(shù)據(jù)提升效率,讓數(shù)據(jù)為業(yè)務賦能。