本风险点主要涉及数据内控机制与数据安全评估两个风险项。
1 数据内控机制
用人主体应当聚焦不同安全等级数据在全生命周期各阶段的保护要求,持续促进数据安全管理工作效能的提升,不断完善内部数据控制机制,积极应对内控制制度风险。
PART 01 风险提示
1、未建立科学数据安全采集机制
数据采集是数据生命周期的开始,这一阶段的安全关乎数据生命周期的建设,也是数据安全、健康、高效地开放共享的基础。《信息安全技术网络安全等级保护基本要求》要求数据处理者采取技术措施保证采集数据的完整性与保密性。用人主体若未建立数据安全采集制将影响后续数据的真实可用性,若因此引发数据风险,用人主体可能因此承担过错责任。
2、未经批准向境外传输科学数据
《数据安全法》第36条规定了非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。根据我国《数据安全法》第48条第二款的规定,未经批准向境外机构传输数据的,用人主体将面临警告、罚款甚至责令暂停相关业务等处罚,主管人员和其他直接责任人员将面临一万元以上五百万元以下的罚款。
3、未建立科学数据安全存储机制
我国《科学数据管理办法》第16条的规定,法人单位应建立科学数据保存制度,配备数据存储、管理、服务和安全等必要设施,保障科学数据完整性和安全性。用人主体若未建立数据安全存储机制,存在数据泄露的风险,妨害用人主体的数据安全管理工作。同时,《信息安全技术 网络安全等级保护基本要求》也要求数据处理者提供重要数据的本地数据备份与恢复功能,用人主体应当按照要求为重要数据配备备份与恢复功能,否则将面临数据丢失等数据安全风险。
4、未充分运用数据控权和数据脱敏等技术保障数据安全
未充分运用数据控权和数据脱敏等技术保障数据安全,可能增加数据泄露风险。
PART 02 风险防控建议
用人主体通过对不同安全等级的数据在全生命周期各阶段,从数据采集、数据传输到数据存储,再到数据使用,健全安全管控机制,以保障不同阶段的数据安全。
Q1:如何在数据全生命周期中建立安全管控机制?
1、建立以项目或团队为单位的科学数据资源库。
2、开展科学数据管理风险自查,针对下列风险形成数据安全自评报告:
(1)数据采集风险;
(2)数据传输风险;
(3)数据存储风险;
(4)数据使用风险。
Q2:如何有效排除全生命周期中的安全风险?
1、完善科学数据采集安全机制
(1)明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认。
(2)明确用人主体的数据采集安全原则,规范不同业务场景的数据采集流程,明确数据采集的目的、方式、范围和频度等,确保不收集与提供服务无关的个人信息和重要数据。
(3)建立通过数字签名等技术对数据源进行鉴别和认证,并对采集后的数据进行分类分级标识。
2、完善科学数据安全传输机制
(1)在制度方面,用人主体应当严格按照国家网信部门以及国家安全部门的规定,履行报批义务,未经批准不得向外国司法或执法机构传输数据;同时,应当严格审查数据接收方的数据存储条件以及使用方法、目的等,避免因数据接收方导致重要数据泄露。
(2)在技术方面,用人主体应当通过可信物理信道、加密传输和通信协议约定等实现数据的安全传输。
3、完善科学数据安全存储机制
用人主体应通过加密等技术保证数据存储的完整性,并根据数据的安全等级和系统的安全等级制定数据备份和恢复策略。
4、完善科学数据安全使用流程
用人主体应当应用数据控权和数据脱敏等技术保障数据安全,并探索使用多方安全计算和联邦学习技术在数据不出域的情况下发挥数据融合联动效能,实现数据可用不可见。
PART 03 法律依据
3、《科学数据管理办法》第13条 、第14条、第15条、第16条、第25条、第26条第2款
4、《信息安全技术 网络安全等级保护基本要求》第8.1.4.7条、第8.1.4.8条
PART 04 典型案例
·案例一:X集团运维安全管理不到位导致数据库被破坏案
案例要旨:当事人因运维安全管理不到位,导致数据库被破坏,构成重大安全事故。
案情摘要:2020年2月23日,有商户在社交平台上反映,由X集团提供技术的微商城小程序发生“宕机”,公司主页刷不出来,商家后台无法登录。2月24日,“X集团崩溃超24小时”等话题讨论引发关注。2020年2月25日,X集团在港交所公告称,业务数据遭到一名员工“人为破坏”,故障发生后排查发现大面积服务集群无法响应,生产环境及数据遭受严重破坏。截至2020年2月25日12点,X集团报5.660港元,跌幅为4.553%。从2月24日至2月25日员工恶意破坏事件的一天时间内,X集团市值约蒸发了约9.63亿港元。X集团指出,2020年2月23日19:00左右公司收到系统监控警报,获悉业务服务出现故障,随后公司立即召集相关技术人员进行排查,并与技术团队一起研究制定修复方案。24日,公司经调查后获悉本公司业务生产环境和数据遭到集团研发中心运维部一位核心运维员工人为破坏,导致公司当前暂时无法向客户提供产品。公司已于2月24日向公安局报案,目前该员工已经被刑事拘留。犯罪嫌疑人是X集团研发中心运维部核心运维人员,因个人原因对X集团线上生产环境进行了恶意的破坏。
·案例二:多家银行数据泄露案
案例要旨:当事人因数据安全管理不当,导致数据泄露,构成违法行为。
案情摘要:因涉及客户信息收集管理保护不当,违规存储客户敏感信息,发生重要信息系统突发事件未报告数据安全管理相放存在数据泄露风险互联网门户网站泄露敏感信息、信息系统管控有效性不足等问题,2021年内多家银行被监管委员会罚款,罚款总额达到千万元,单笔罚单金额最高达400余万元。
·案例三:Y酒店集团特权账号违规共享导致信息泄露案
案例要旨:当事人因特权账号违规共享,导致信息泄露,构成重大安全事故。
案情摘要:2018年8月28日,网络流传一张黑客出售Y酒店集团客户数据的截图,其中涉及姓名、身份证号、家庭住址、开房记录等众多敏感信息,大约5亿条,全部信息打包价为8比特币,并给出了测试数据。此次信息泄露的情况最早由民间非企运营互联网安全组织和网安厂商发现并分析认为某程序员(疑似Y酒店程序员),曾在GitHub上传了一个名CMS项目,项目的配置文件代码里包含了Y酒店敏感的服务器及数据库信息,被黑客利用攻击导致泄露。多位网络安全专业人士表示,出现这种问题大多是企业内部的安全管理、员工整体安全意识不强,这类信息泄露很可能已经进入网络黑产链条,影响恐难以弥补。无论是Y酒店公司的员工上传数据过程中造成信息泄露的,还是黑客主动攻击Y酒店公司的网站窃取信息的,Y酒店公司都因没有履行好数据安全管理义务而难辞其咎,依法应承担相应的行政责任和民事责任。
·案例四:Z应用开发商权限管理缺位案
案例要旨:当事人因权限管理缺位,导致敏感数据外泄,构成违法行为。
案情摘要:2019年某公安应用开发厂商,由于开发测试敏感数据权限管理不到位,员工私自拷贝公安内网敏感数据,导致数据外泄,同时该厂家员工为逃避责任,私自删除日志记录,该记录后来被恢复,事件核实,该员工被判刑,公司也承担相应的刑事、民事责任。
2 数据安全评估
开展数据安全风险评估是预防数据安全事件发生、降低用人主体数据安全合规风险的重要制度。用人主体以法律法规、监管要求以及行内数据安全制度为标杆,定期组织开展数据安全风险评估,对数据安全重点领域、信息系统加强监控,有利于及早发现异常行为并进行预警和处置。
PART 01 风险提示
1、未制定科学数据安全风险等级标准
识别并判定特定数据处理活动的数据安全风险等级是开展数据安全风险评估的首要环节,其有赖于用人主体根据相关规定制定内部的数据安全风险等级标准。缺乏数据安全风险等级标准,将增加用人主体识别和判定数据安全风险的时间周期与经济成本,增加数据安全事件发生以及扩大的风险,更不利于用人主体数据安全风险的应对,用人主体及其主管人员存在因此遭受行政处罚的风险。
2、未定期开展科学数据安全风险评估
数据安全风险评估是用人主体及时预防数据安全事件、增加用人主体数据安全合规水平的重要步骤。重要数据的处理者或关键信息基础设施的运营者未定期开展数据安全风险评估,将增加用人主体系统内部的数据安全风险,甚至将产生数据安全事件。
3、数据安全风险评估机制不健全
数据安全风险评估流程包括风险评估准备、风险识别、风险分析、风险评价四个步骤,用人主体若未履行上述步骤将影响数据安全风险评估报告的科学性以及数据安全风险发生的可能性,届时用人主体将面临承担行政甚至刑事处罚的风险。
4、科学数据安全风险评估报告内容不完善
数据安全风险评估报告是监管部门识别用人主体开展数据安全风险评估工作,判定用人主体内部是否存在数据安全风险的重要标准。数据安全风险评估报告内容不完善不仅影响用人主体对内部数据安全风险的研判,同时影响监管部门对用人主体内部数据安全风险的判定,可能引发数据安全事件的发生,导致用人主体因忽视相关要素而违规的后果。
5、未及时采取补救措施
用人主体发现内部的数据安全风险应承担及时采取补救措施以控制风险扩大化,降低数据安全事件发生的可能性。用人主体若未能后及时采取相应补救措施将不利于数据安全风险的应对,甚至可能加剧数据安全事件的发生,用人主体也将因此承担相应的法律责任。
PART 02 风险防控建议
用人主体应当制定内部数据安全风险等级标准,并在此基础上依据规范化的流程,及时对识别到的数据安全风险进行评估,制定内容完善的数据安全风险评估报告,并定期向有关部门报送数据安全风险评估报告。
用人主体应建立健全科学数据安全风险评估机制,严格落实国家数据分级管理与动态监测要求,具体包括:
1、制定科学数据安全风险等级标准
用人主体可以参考《信息安全技术信息安全风险评估方法》,结合内部数据处理活动进行具体设计;同时对于数据安全风险等级标准判定的计算方式,用人主体宜予以固化,以便于评估人员得尽可能维持评判尺度的一致性,也有助于用人主体对风险评估结果态势变化进行分析。
2、定期开展科学数据安全风险评估报告并向有关主管部门报告
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告;关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
3、健全科学数据安全风险评估机制
用人主体应当健全数据安全风险评估机制,严格落实数据安全风险评估准备、风险识别、风险分析以及风险评价工作机制,各环节的具体要求如下:
(1)评估准备。用人主体实施数据安全风险评估工作,应从国家法律法规及行业监管、业务需求评估等相关要求出发,从战略层面考量风险评估结果对用人主体的影响。数据安全风险评估准备的内容应当主要包括:确定风险评估的目标;确定风险评估的对象、范围和边界;组建评估团队;明确评估工具;开展前期调研;确定评估依据;建立风险评价准则;制定评估方案;获得最高管理者支持
(2)风险识别。用人主体的数据安全风险识别主要包括资产识别、威胁识别、已有安全措施识别以及脆弱性识别。其中,资产识别包括业务识别、系统资产识别、系统组件和单元资产识别;威胁识别包括威胁来源(环境、意外、人为因素)、威胁种类(信息损害、未授权行为等)、威胁主体(国家、组织、团体、个人)、威胁动机(恶意、非恶意)、威胁时机(普通时期、特殊时期、自然规律等)、威胁频率,用人主体应当根据威胁行为能力和频率,结合威胁发生的时机,进行综合计算,并设定相应的评级方法进行等级划分并做相应标识(如很高、高、中等、低、很低);已有安全措施识别包括预防性安全措施、保护性安全措施;脆弱性识别包括技术脆弱性、管理脆弱性。技术脆弱性涉及1T环境的物理层、网络层、系统层应用层等各个层面的安全问题或隐患;管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
(3)风险分析。用人主体应当通过采取适当的方法与工具得出其所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响度,从而得到数据安全风险值。
(4)风险评价。用人主体在执行完数据安全风险分析后,应当通过风险值计算方法,得到风险值的分布状况,并对风险等级进行划分(通常划分为:高、中、低三个等级),最终依据风险评价中风险值的等级,进而明确风险评估结果内容。
4、科学数据安全风险评估报告内容不完善
数据安全风险评估报告的核心内容应包括:数据的种类、级别、数量、涉及的业务(开展数据处理活动的情况)、涉及的角色、已采取的安全措施、风险分析过程、评估结果、风险处理措施等。其中,对业务的说明需要突出业务的特点,明确数据处理目的、处理方式、处理范围等。对于评估依据、评估方法、评估周期等工作层面的介绍也可包含在评估报告内。数据安全风险评估报告中风险分析过程和评估结果的部分,可根据数据安全风险评估的主要目的来进一步确定,如开展的是重要数据安全风险评估,则可侧重于对国家安全、公共利益等方面的影响和风险。另外,用人主体应当关注数据安全风险评估报告上报主管部门的路径、报送的文件格式,并关注有关要求、模板的更新情况;对于涉及到与态势展示相关的数据,需尽可能采取一致的标准进行报送。
5、及时采取补救措施
用人主体发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。用人主体应当在对风险进行评估的基础上,结合风险的来源与范围,及时采取措施避免风险进一步扩大,并通过技术、管理等手段化解风险,将风险范围内用人主体的数据安全危害降至最低。
PART 03 示范法律文本
PART 04 法律法规
1、《中华人民共和国数据安全法》第22条、第29条、第30条
PART 05 典型案例
·案例:B数据库安全事件
案例要旨:当事人因数据库配置存在纰漏,遭受黑客攻击,构成重大数据安全事故。
案情摘要:2016年12月底,B数据库遭黑客攻击,并于2017年1月黑客攻击达到顶峰。攻击者利用配置存在纰漏的B数据库展开勒索行为,某黑客组织将网络上公开的B数据库资料库中的资料汇出,并将B服务器上的资料移除。起初,只有两百个B数据库实例的数据被非法清除,几天之内受感染的B数据库实例已经增长至一万多台。开始攻击者要求受害人支付0.2个比特币(当时的价值约为184美金)作为数据赎金,随着被感染的数据库越来越多,攻击者将勒索赎金提升至1个比特币(价值约为906美金)。此次事件被称为“B启示录”。2019年,国内招聘应用因其B数据库漏洞被利用,导致其中存储的2.02亿中国求职者个人信息泄露,被外媒称为:中国有史以来最大的数据曝光事件之一。