国内外数据泄漏事件频繁发生。据安全情报提供商风险安全(RBS)的报告显示,2018年公开披露的6500多起数据泄漏事件中,有三分之二来自商业部门,12起数据泄漏事件涉及1亿多人。同时,5000多个数据泄漏的根本原因来自内部安全漏洞。这些数据远远超过黑客攻击,成为数据泄漏的主要原因。这一趋势必须引起相关企业和员工的警告。实现数据采集合规后,要认真履行数据控制员的责任,根据法律要求建立完善的数据存储管理合规体系,全面降低数据泄漏事件发生的概率,实现商业利益有机统一,用户权利和法律责任。
网络安全分层保护系统本质上是国家有关部门根据不同业务领域和各学科数据重要性对相关主体进行分类、分级管理的系统。网络运营商应按照分级保护的有关规定,按照国家法律法规的规定和网络安全分层保护体系的要求,建立和实施重要数据和个人信息安全保护体系;采取保护措施确保数据收集、存储、传输、使用、提供和销毁过程中的安全措施;采取技术措施,确保重要数据的完整性、机密性和可用性。数据的重要性和商业价值存在明显差异,可以将许多内容视为数据。
从降低法律风险的角度出发,企业应尽可能采取高水平的技术保护措施,并尽可能严格地制定数据管理系统。但是,为了保证企业的可持续性,企业应综合考虑自身的经营模式、数据的重要性和社会影响,根据国家法律、层次保护制度和业务发展需要,建立一套数据分层管理和保护体系,并选择相应的管理措施和安全技术。
企业应建立集中的数据存储和使用管理机构,全面负责数据脱敏、数据安全、数据使用权限审批、数据清理等系统建设和日常管理。这不仅是遵守《网络安全法》有关规定,落实企业数据管理主体责任的具体体现,而且可以帮助企业在数据领域开展中层办公建设,提高管理效率,降低越权风险,数据分散管理引起的泄漏等风险。
企业还需要根据实际情况建立一系列内部数据和信息安全管理体系和操作程序,包括数据安全员制度、员工背景审核管理系统、系统建设和管理系统等,企业还应建立建立投诉处理机制和审计制度,制定网络安全事件应急预案,及时处理系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险。技术层面,采取技术措施,防止计算机病毒、网络攻击、网络入侵等危害网络数据和信息安全的行为;采取技术措施,监测和记录网络运行状态和网络安全事件,并按要求保存相关网络日志。