数据安全法的意义
目前,全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。在这样的背景下,《数字安全法》的出台更被赋予保障国家安全的重大使命。
《数据安全法》是继《网络安全法》提出数据安全防护的概念后,我国在数据安全立法层面的又一个重大里程碑。《数据安全法》实施后,单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。
《数据安全法》明确了数据分级分类以及针对数据进行差异化保护的要求 ,明确数据安全治理与数据安全保障能力,建立“协同治理体系” 。《数据安全法》要求利用互联网等信息网络开展数据处理活动的,首先要遵守等保制度,在此基础上,所有的数据处理活动均应当履行数据安全保护义务。
《数据安全法》对个人信息保护的重点内容
数据只有在流动、分享、加工处理过程中才能创造价值。《数字安全法》的核心就是保障数据在安全可控的情况下使用并发挥价值。
从已经出台的《网络安全法》,到《数据安全法》,再到酝酿中的《个人信息保护法》,其中一个共通的原则就是对数据的使用和收集进行管控。在法律约束的前提下,企业需要明确哪些数据是必须要收集的,并且对数据的收集和使用遵循相应的制度规范。
《数据安全法》一些条款可以看做是从个人信息保护到数据保护的延伸。
《数据安全法》要求对数据进行分级分类。也就是说,对不同类别不同级别的数据采取不同的安全处理方式,对级别越高的数据,采取强化保护的力度也会越强。对个人信息和企业信息需要采取不同的管理方法。
《数据安全法》第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”互联网企业收集数据应符合此条规定。
综上所述,企业在收集和使用数据方面,需要有合法基础,在不涉及公共利益的绝大多数情况下需要获得用户(个人信息主体)的授权同意。
如何在不侵犯个人隐私前提下保护企业数据安全
《数据安全法》出台后,各行各业为了满足行业合规和自身业务的安全需求,纷纷购买数据安全设备。比如数据防泄露设备,WEB安全网关,邮件安全网关。多数员工的电脑是公司给员工办公配备的设备。电脑上存在着公司数据也有个人数据,不少员工担心,安装了数据安全软件会监控个人隐私,或者收集个人信息。在这里,我们可以很明确的告诉大家,合规的企业数据安全软件不会监控个人隐私。
这里我们首先来明确一下个人隐私数据和企业数据有哪些方面的区别。
识别个人隐私和企业数据资产
首先,什么是个人隐私?个人隐私有各种不同的定义,但普遍是指公民个人生活中不愿为他人(是指在一定的时间和范围以外的人)公开或知悉的秘密,且这一秘密与其他人及社会利益无关。这个定义里有两点非常重要的内涵:一是个人秘密,即不愿意让别人知道的秘密;二是这个秘密与其他人和社会利益无关。如果和社会利益有关,那就不一定算作个人隐私或者说需要保护的个人隐私。判断个人信息是否属于个人隐私的关键在于其本人是否愿意该信息被他人知晓,以及该信息是否与他人及社会利益相关。
企业数据资产数据是企业生存的命脉,也是竞争力的关键。不同行业用户的企业数据资产也会有所不同:
高科技:
产品计划和发展路线图,供应链以及制造流程。
制造业:
产品蓝图,制造过程。
石油 & 天然气勘探:
地理位置信息。
娱乐:
音乐和电影的发行版本,脚本等。
法律业:
案件材料,客户信息。
那么如何在企业数据防护的过程中,有效地防护企业数据资产又不侵犯个人隐私呢?我们需要用数据内容识别工具,来识别哪些是个人隐私,哪些是企业数据。DLP是数据内容识别的最优选择。DLP可以识别出哪些是企业敏感信息,敏感数据分布在哪里,然后通过安全策略对这些敏感信息的传输、存储、使用等行为进行监控。这样才能在不侵犯个人隐私前提下保障企业的数据安全。
选择合适的数据防泄露产品
如何防止数据泄露,是企业无法回避的问题。选择合适的数据防泄露产品,时刻严守安全边界,不触碰用户隐私,保证企业数据安全使用,从数据收集到分析、存储、传输、查询、利用和删除整个全生命周期的各个环节对数据进行保护,保证数据不被滥用。
