6月10日,《中華人民共和國數據安全法》(以下簡稱“數據安全法”)表決通過,自2021年9月1日起施行。

《數據安全法》為企業的數據安全管理提出了更高的要求。同時,它也給了企業一個方向,那就是與外部合作來將業務數據化,并利用外部資源存儲數據。有了法律保護,使得數據的外部存儲有了保障。

《數據安全法》推動外部數據存儲方案

對于那些在數據保障基礎建設上相對薄弱的企業來說,數據安全管理面臨一個比較大的難題:公司需要將資源著重花在業務發展上,可能沒有那么多的精力和數據安全專家來應對復雜的數據安全管理問題。

因此,與外部供應商合作,一方面能更好地保障數據安全有效,另一方面也減少了企業在數據安全性上投入的成本。

結合《數據安全法》的要求,企業在與外部合作進行數據云存儲時,需要特別注意以下事項:

1. 個人隱私保護

個人隱私相關的數據,往往是數據安全性中最為敏感的數據,特別是對于人力資源從業者來說,需要極為重視。

一方面,我們需要這些數據來進行員工管理的日常工作;另一方面在涉及員工身份證、銀行卡、電話號碼等個人隱私數據時又會受到嚴格限制。

那怎么做才最好呢?

基于不少企業的最佳實踐,我們建議企業在數據收集及使用上保持公開透明,對于收集哪些數據,用于哪些場合,能夠有書面文檔進行描述,并可以利用電子簽名等方式獲取員工及客戶的授權認可。

另外,《數據安全法》還提到“數據使用要符合倫理道德”,不過在倫理道德這一點上其實是很難有嚴格界定,這是HR們需要重點研究的。

2. 數據存儲的可管理性

《數據安全法》中要求,重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。

因此無論是企業內部還是我們的合作方,對于重要數據我們都需要確保能及時進行查詢、刪除、更正、注銷。

對于和客戶、員工有關的數據,如果客戶和員工提出要將個人數據在企業的相關系統中進行刪除,那么我們就有義務要確保數據可追蹤溯源并實施刪除。

一些國外企業中已經實際遇到的情況是在一些數據安全相關審查中被要求證明,如何在有需要的時候,能確保員工的數據在離職后能被有效地清除。

如果平時沒有做好數據的管理工作,你會發現這是一件非常不容易的事情。

基于《數據安全法》的出臺,我們也需要確保在未來有嚴格的管理措施,能夠追蹤到每位員工和客戶的相關數據。

其中,通過電子簽名來存儲一些電子合同和契約就是一種比較有效的方式來進行管控,因為所有的簽約方都需要通過身份識別而且不可篡改,這是一種非常有效的管控方式。

3. 防止數據丟失

對于數據丟失的危害性,可能很多人都深有感觸。

就好像使用多年的電腦或者移動硬盤一旦損壞,那么自己多年積累的個人數據可能就付之一炬。

在企業中更是這樣,一旦存儲的數據出現問題,那么對于企業來說將會是極大的損失。

沒有絕對安全的云,也沒有萬無一失的服務器。因此必須要確保企業和外部供應商都有數據備份和恢復機制。

同時也要確保相應的數據存儲服務器有防病毒措施,不被電腦病毒侵入導致數據被破壞。

4. 防止數據泄露

有時并不是企業和供應商有意想泄漏數據,而是由于安全性不夠而引發了數據泄漏問題。

例如,在2020年致力于提供高質量免費照片和設計圖形訪問的網站Freepik披露了一起重大安全漏洞,被黑客利用SQL注入漏洞訪問其一個存儲用戶數據的數據庫之后,獲得了830萬注冊用戶的用戶名和密碼。

如果這樣的事件發生在我們企業,代價一定是巨大的,因此我們要防范數據泄漏風險。

《數據安全法》在數據泄漏風險保障上提供了法律依據。我們也可以通過第三方的專業評估公司來對供應商進行評估,以確保供應商有定期漏洞查詢機制、傳輸安全性信息加密等方法防止數據泄漏。

5. 防止數據被不正當使用和交易

在這一點上,《數據安全法》起到了極大的作用:

一是明確了數據交易必須說明數據來源,同時由于是法律規定,對違犯者明確了重罰措施,將會極大震懾數據的違法交易。

在企業中我們也要做好數據安全相關的管控措施,提升數據保護意識,制定相關規則,只有必要的人員才能訪問必要的數據。

即使由供應商來存儲企業數據,也可以通過技術來限制供應商員工訪問企業的相關數據,從而充分保證數據安全性。

結語

互聯網時代,我們需要充分利用大數據的優勢,盡可能將我們公司的日常業務電子化。

例如,在電子簽名領域,我們可以將日常的各種企業間合同、員工合同、企業與個人之間的證明、協議等等,都通過電子化的方式進行簽約、存儲管理。

因為電子簽名擁有身份認證且不可篡改,可以確保相關簽署的真實、準確、有效、可信,同時也能極大提升查詢效率。

我們在和相關供應商進行合作時,也要重視供應商在數據安全性上的資質,以進一步確保數據安全。

在數據安全資質方面,上上簽電子簽名經過長時間的積累和實踐,在文中提到的這些數據安全領域,都已經有相應技術、標準、措施、認證來確保數據安全。

特別是在一些外部第三方機構的安全測評中,上上簽曾獲得過供應商有史以來最高分并被歸類為最高等級的成熟系統。

另外,國內供應商和國外供應商相比,在應對國內數據安全性上會有天然的優勢,因為國外供應商還要花不少精力來應對《中華人民共和國數據安全法》中對于數據境外存儲的相應要求。

未來,希望各家企業都能夠與可信賴的廠商進行更深入的合作,利用好數據,保護好數據,用數據提升效率,讓數據為業務賦能。