立足《數安法》，上上簽電子簽名守護企業(yè)數據資產(chǎn)

6月10日,《中華人民共和國數據安全法》(以下簡(jiǎn)稱(chēng)“數據安全法”)表決通過(guò),自2021年9月1日起施行。

《數據安全法》為企業(yè)的數據安全管理提出了更高的要求。同時(shí),它也給了企業(yè)一個(gè)方向,那就是與外部合作來(lái)將業(yè)務(wù)數據化,并利用外部資源存儲數據。有了法律保護,使得數據的外部存儲有了保障。

《數據安全法》推動(dòng)外部數據存儲方案

對于那些在數據保障基礎建設上相對薄弱的企業(yè)來(lái)說(shuō),數據安全管理面臨一個(gè)比較大的難題:公司需要將資源著(zhù)重花在業(yè)務(wù)發(fā)展上,可能沒(méi)有那么多的精力和數據安全專(zhuān)家來(lái)應對復雜的數據安全管理問(wèn)題。

因此,與外部供應商合作,一方面能更好地保障數據安全有效,另一方面也減少了企業(yè)在數據安全性上投入的成本。

結合《數據安全法》的要求,企業(yè)在與外部合作進(jìn)行數據云存儲時(shí),需要特別注意以下事項:

1. 個(gè)人隱私保護

個(gè)人隱私相關(guān)的數據,往往是數據安全性中最為敏感的數據,特別是對于人力資源從業(yè)者來(lái)說(shuō),需要極為重視。

一方面,我們需要這些數據來(lái)進(jìn)行員工管理的日常工作;另一方面在涉及員工身份證、銀行卡、電話(huà)號碼等個(gè)人隱私數據時(shí)又會(huì )受到嚴格限制。

那怎么做才最好呢?

基于不少企業(yè)的最佳實(shí)踐,我們建議企業(yè)在數據收集及使用上保持公開(kāi)透明,對于收集哪些數據,用于哪些場(chǎng)合,能夠有書(shū)面文檔進(jìn)行描述,并可以利用電子簽名等方式獲取員工及客戶(hù)的授權認可。

另外,《數據安全法》還提到“數據使用要符合倫理道德”,不過(guò)在倫理道德這一點(diǎn)上其實(shí)是很難有嚴格界定,這是HR們需要重點(diǎn)研究的。

2. 數據存儲的可管理性

《數據安全法》中要求,重要數據的處理者應當明確數據安全負責人和管理機構,落實(shí)數據安全保護責任。

因此無(wú)論是企業(yè)內部還是我們的合作方,對于重要數據我們都需要確保能及時(shí)進(jìn)行查詢(xún)、刪除、更正、注銷(xiāo)。

對于和客戶(hù)、員工有關(guān)的數據,如果客戶(hù)和員工提出要將個(gè)人數據在企業(yè)的相關(guān)系統中進(jìn)行刪除,那么我們就有義務(wù)要確保數據可追蹤溯源并實(shí)施刪除。

一些國外企業(yè)中已經(jīng)實(shí)際遇到的情況是在一些數據安全相關(guān)審查中被要求證明,如何在有需要的時(shí)候,能確保員工的數據在離職后能被有效地清除。

如果平時(shí)沒(méi)有做好數據的管理工作,你會(huì )發(fā)現這是一件非常不容易的事情。

基于《數據安全法》的出臺,我們也需要確保在未來(lái)有嚴格的管理措施,能夠追蹤到每位員工和客戶(hù)的相關(guān)數據。

其中,通過(guò)電子簽名來(lái)存儲一些電子合同和契約就是一種比較有效的方式來(lái)進(jìn)行管控,因為所有的簽約方都需要通過(guò)身份識別而且不可篡改,這是一種非常有效的管控方式。

3. 防止數據丟失

對于數據丟失的危害性,可能很多人都深有感觸。

就好像使用多年的電腦或者移動(dòng)硬盤(pán)一旦損壞,那么自己多年積累的個(gè)人數據可能就付之一炬。

在企業(yè)中更是這樣,一旦存儲的數據出現問(wèn)題,那么對于企業(yè)來(lái)說(shuō)將會(huì )是極大的損失。

沒(méi)有絕對安全的云,也沒(méi)有萬(wàn)無(wú)一失的服務(wù)器。因此必須要確保企業(yè)和外部供應商都有數據備份和恢復機制。

同時(shí)也要確保相應的數據存儲服務(wù)器有防病毒措施,不被電腦病毒侵入導致數據被破壞。

4. 防止數據泄露

有時(shí)并不是企業(yè)和供應商有意想泄漏數據,而是由于安全性不夠而引發(fā)了數據泄漏問(wèn)題。

例如,在2020年致力于提供高質(zhì)量免費照片和設計圖形訪(fǎng)問(wèn)的網(wǎng)站Freepik披露了一起重大安全漏洞,被黑客利用SQL注入漏洞訪(fǎng)問(wèn)其一個(gè)存儲用戶(hù)數據的數據庫之后,獲得了830萬(wàn)注冊用戶(hù)的用戶(hù)名和密碼。

如果這樣的事件發(fā)生在我們企業(yè),代價(jià)一定是巨大的,因此我們要防范數據泄漏風(fēng)險。

《數據安全法》在數據泄漏風(fēng)險保障上提供了法律依據。我們也可以通過(guò)第三方的專(zhuān)業(yè)評估公司來(lái)對供應商進(jìn)行評估,以確保供應商有定期漏洞查詢(xún)機制、傳輸安全性信息加密等方法防止數據泄漏。

5. 防止數據被不正當使用和交易

在這一點(diǎn)上,《數據安全法》起到了極大的作用:

一是明確了數據交易必須說(shuō)明數據來(lái)源,同時(shí)由于是法律規定,對違犯者明確了重罰措施,將會(huì )極大震懾數據的違法交易。

在企業(yè)中我們也要做好數據安全相關(guān)的管控措施,提升數據保護意識,制定相關(guān)規則,只有必要的人員才能訪(fǎng)問(wèn)必要的數據。

即使由供應商來(lái)存儲企業(yè)數據,也可以通過(guò)技術(shù)來(lái)限制供應商員工訪(fǎng)問(wèn)企業(yè)的相關(guān)數據,從而充分保證數據安全性。

結語(yǔ)

互聯(lián)網(wǎng)時(shí)代,我們需要充分利用大數據的優(yōu)勢,盡可能將我們公司的日常業(yè)務(wù)電子化。

例如,在電子簽名領(lǐng)域,我們可以將日常的各種企業(yè)間合同、員工合同、企業(yè)與個(gè)人之間的證明、協(xié)議等等,都通過(guò)電子化的方式進(jìn)行簽約、存儲管理。

因為電子簽名擁有身份認證且不可篡改,可以確保相關(guān)簽署的真實(shí)、準確、有效、可信,同時(shí)也能極大提升查詢(xún)效率。

我們在和相關(guān)供應商進(jìn)行合作時(shí),也要重視供應商在數據安全性上的資質(zhì),以進(jìn)一步確保數據安全。

在數據安全資質(zhì)方面,上上簽電子簽名經(jīng)過(guò)長(cháng)時(shí)間的積累和實(shí)踐,在文中提到的這些數據安全領(lǐng)域,都已經(jīng)有相應技術(shù)、標準、措施、認證來(lái)確保數據安全。

特別是在一些外部第三方機構的安全測評中,上上簽曾獲得過(guò)供應商有史以來(lái)最高分并被歸類(lèi)為最高等級的成熟系統。

另外,國內供應商和國外供應商相比,在應對國內數據安全性上會(huì )有天然的優(yōu)勢,因為國外供應商還要花不少精力來(lái)應對《中華人民共和國數據安全法》中對于數據境外存儲的相應要求。

未來(lái),希望各家企業(yè)都能夠與可信賴(lài)的廠(chǎng)商進(jìn)行更深入的合作,利用好數據,保護好數據,用數據提升效率,讓數據為業(yè)務(wù)賦能。