本風險點主要涉及數據内控機制與數據安全評估兩個風險項。
1 數據内控機制
用人主體應當聚焦不同安全等級數據在全生命周期各階段的保護要求,持續促進數據安全管理工作效能的提升,不斷完善内部數據控制機制,積極應對内控制制度風險。
PART 01 風險提示
1、未建立科學數據安全采集機制
數據采集是數據生命周期的開始,這一階段的安全關乎數據生命周期的建設,也是數據安全、健康、高效地開放共享的基礎。《信息安全技術網絡安全等級保護基本要求》要求數據處理者采取技術措施保證采集數據的完整性與保密性。用人主體若未建立數據安全采集制将影響後續數據的真實可用性,若因此引發數據風險,用人主體可能因此承擔過錯責任。
2、未經批準向境外傳輸科學數據
《數據安全法》第36條規定了非經我國主管機關批準,境内的組織、個人不得向外國司法或者執法機構提供存儲于我國境内的數據。根據我國《數據安全法》第48條第二款的規定,未經批準向境外機構傳輸數據的,用人主體将面臨警告、罰款甚至責令暫停相關業務等處罰,主管人員和其他直接責任人員将面臨一萬元以上五百萬元以下的罰款。
3、未建立科學數據安全存儲機制
我國《科學數據管理辦法》第16條的規定,法人單位應建立科學數據保存制度,配備數據存儲、管理、服務和安全等必要設施,保障科學數據完整性和安全性。用人主體若未建立數據安全存儲機制,存在數據洩露的風險,妨害用人主體的數據安全管理工作。同時,《信息安全技術 網絡安全等級保護基本要求》也要求數據處理者提供重要數據的本地數據備份與恢複功能,用人主體應當按照要求為重要數據配備備份與恢複功能,否則将面臨數據丢失等數據安全風險。
4、未充分運用數據控權和數據脫敏等技術保障數據安全
未充分運用數據控權和數據脫敏等技術保障數據安全,可能增加數據洩露風險。
PART 02 風險防控建議
用人主體通過對不同安全等級的數據在全生命周期各階段,從數據采集、數據傳輸到數據存儲,再到數據使用,健全安全管控機制,以保障不同階段的數據安全。
Q1:如何在數據全生命周期中建立安全管控機制?
1、建立以項目或團隊為單位的科學數據資源庫。
2、開展科學數據管理風險自查,針對下列風險形成數據安全自評報告:
(1)數據采集風險;
(2)數據傳輸風險;
(3)數據存儲風險;
(4)數據使用風險。
Q2:如何有效排除全生命周期中的安全風險?
1、完善科學數據采集安全機制
(1)明确數據采集的渠道及外部數據源,并對外部數據源的合法性進行确認。
(2)明确用人主體的數據采集安全原則,規範不同業務場景的數據采集流程,明确數據采集的目的、方式、範圍和頻度等,确保不收集與提供服務無關的個人信息和重要數據。
(3)建立通過數字簽名等技術對數據源進行鑒别和認證,并對采集後的數據進行分類分級标識。
2、完善科學數據安全傳輸機制
(1)在制度方面,用人主體應當嚴格按照國家網信部門以及國家安全部門的規定,履行報批義務,未經批準不得向外國司法或執法機構傳輸數據;同時,應當嚴格審查數據接收方的數據存儲條件以及使用方法、目的等,避免因數據接收方導緻重要數據洩露。
(2)在技術方面,用人主體應當通過可信物理信道、加密傳輸和通信協議約定等實現數據的安全傳輸。
3、完善科學數據安全存儲機制
用人主體應通過加密等技術保證數據存儲的完整性,并根據數據的安全等級和系統的安全等級制定數據備份和恢複策略。
4、完善科學數據安全使用流程
用人主體應當應用數據控權和數據脫敏等技術保障數據安全,并探索使用多方安全計算和聯邦學習技術在數據不出域的情況下發揮數據融合聯動效能,實現數據可用不可見。
PART 03 法律依據
3、《科學數據管理辦法》第13條 、第14條、第15條、第16條、第25條、第26條第2款
4、《信息安全技術 網絡安全等級保護基本要求》第8.1.4.7條、第8.1.4.8條
PART 04 典型案例
·案例一:X集團運維安全管理不到位導緻數據庫被破壞案
案例要旨:當事人因運維安全管理不到位,導緻數據庫被破壞,構成重大安全事故。
案情摘要:2020年2月23日,有商戶在社交平台上反映,由X集團提供技術的微商城小程序發生“宕機”,公司主頁刷不出來,商家後台無法登錄。2月24日,“X集團崩潰超24小時”等話題讨論引發關注。2020年2月25日,X集團在港交所公告稱,業務數據遭到一名員工“人為破壞”,故障發生後排查發現大面積服務集群無法響應,生産環境及數據遭受嚴重破壞。截至2020年2月25日12點,X集團報5.660港元,跌幅為4.553%。從2月24日至2月25日員工惡意破壞事件的一天時間内,X集團市值約蒸發了約9.63億港元。X集團指出,2020年2月23日19:00左右公司收到系統監控警報,獲悉業務服務出現故障,随後公司立即召集相關技術人員進行排查,并與技術團隊一起研究制定修複方案。24日,公司經調查後獲悉本公司業務生産環境和數據遭到集團研發中心運維部一位核心運維員工人為破壞,導緻公司當前暫時無法向客戶提供産品。公司已于2月24日向公安局報案,目前該員工已經被刑事拘留。犯罪嫌疑人是X集團研發中心運維部核心運維人員,因個人原因對X集團線上生産環境進行了惡意的破壞。
·案例二:多家銀行數據洩露案
案例要旨:當事人因數據安全管理不當,導緻數據洩露,構成違法行為。
案情摘要:因涉及客戶信息收集管理保護不當,違規存儲客戶敏感信息,發生重要信息系統突發事件未報告數據安全管理相放存在數據洩露風險互聯網門戶網站洩露敏感信息、信息系統管控有效性不足等問題,2021年内多家銀行被監管委員會罰款,罰款總額達到千萬元,單筆罰單金額最高達400餘萬元。
·案例三:Y酒店集團特權賬号違規共享導緻信息洩露案
案例要旨:當事人因特權賬号違規共享,導緻信息洩露,構成重大安全事故。
案情摘要:2018年8月28日,網絡流傳一張黑客出售Y酒店集團客戶數據的截圖,其中涉及姓名、身份證号、家庭住址、開房記錄等衆多敏感信息,大約5億條,全部信息打包價為8比特币,并給出了測試數據。此次信息洩露的情況最早由民間非企運營互聯網安全組織和網安廠商發現并分析認為某程序員(疑似Y酒店程序員),曾在GitHub上傳了一個名CMS項目,項目的配置文件代碼裡包含了Y酒店敏感的服務器及數據庫信息,被黑客利用攻擊導緻洩露。多位網絡安全專業人士表示,出現這種問題大多是企業内部的安全管理、員工整體安全意識不強,這類信息洩露很可能已經進入網絡黑産鍊條,影響恐難以彌補。無論是Y酒店公司的員工上傳數據過程中造成信息洩露的,還是黑客主動攻擊Y酒店公司的網站竊取信息的,Y酒店公司都因沒有履行好數據安全管理義務而難辭其咎,依法應承擔相應的行政責任和民事責任。
·案例四:Z應用開發商權限管理缺位案
案例要旨:當事人因權限管理缺位,導緻敏感數據外洩,構成違法行為。
案情摘要:2019年某公安應用開發廠商,由于開發測試敏感數據權限管理不到位,員工私自拷貝公安内網敏感數據,導緻數據外洩,同時該廠家員工為逃避責任,私自删除日志記錄,該記錄後來被恢複,事件核實,該員工被判刑,公司也承擔相應的刑事、民事責任。
2 數據安全評估
開展數據安全風險評估是預防數據安全事件發生、降低用人主體數據安全合規風險的重要制度。用人主體以法律法規、監管要求以及行内數據安全制度為标杆,定期組織開展數據安全風險評估,對數據安全重點領域、信息系統加強監控,有利于及早發現異常行為并進行預警和處置。
PART 01 風險提示
1、未制定科學數據安全風險等級标準
識别并判定特定數據處理活動的數據安全風險等級是開展數據安全風險評估的首要環節,其有賴于用人主體根據相關規定制定内部的數據安全風險等級标準。缺乏數據安全風險等級标準,将增加用人主體識别和判定數據安全風險的時間周期與經濟成本,增加數據安全事件發生以及擴大的風險,更不利于用人主體數據安全風險的應對,用人主體及其主管人員存在因此遭受行政處罰的風險。
2、未定期開展科學數據安全風險評估
數據安全風險評估是用人主體及時預防數據安全事件、增加用人主體數據安全合規水平的重要步驟。重要數據的處理者或關鍵信息基礎設施的運營者未定期開展數據安全風險評估,将增加用人主體系統内部的數據安全風險,甚至将産生數據安全事件。
3、數據安全風險評估機制不健全
數據安全風險評估流程包括風險評估準備、風險識别、風險分析、風險評價四個步驟,用人主體若未履行上述步驟将影響數據安全風險評估報告的科學性以及數據安全風險發生的可能性,屆時用人主體将面臨承擔行政甚至刑事處罰的風險。
4、科學數據安全風險評估報告内容不完善
數據安全風險評估報告是監管部門識别用人主體開展數據安全風險評估工作,判定用人主體内部是否存在數據安全風險的重要标準。數據安全風險評估報告内容不完善不僅影響用人主體對内部數據安全風險的研判,同時影響監管部門對用人主體内部數據安全風險的判定,可能引發數據安全事件的發生,導緻用人主體因忽視相關要素而違規的後果。
5、未及時采取補救措施
用人主體發現内部的數據安全風險應承擔及時采取補救措施以控制風險擴大化,降低數據安全事件發生的可能性。用人主體若未能後及時采取相應補救措施将不利于數據安全風險的應對,甚至可能加劇數據安全事件的發生,用人主體也将因此承擔相應的法律責任。
PART 02 風險防控建議
用人主體應當制定内部數據安全風險等級标準,并在此基礎上依據規範化的流程,及時對識别到的數據安全風險進行評估,制定内容完善的數據安全風險評估報告,并定期向有關部門報送數據安全風險評估報告。
用人主體應建立健全科學數據安全風險評估機制,嚴格落實國家數據分級管理與動态監測要求,具體包括:
1、制定科學數據安全風險等級标準
用人主體可以參考《信息安全技術信息安全風險評估方法》,結合内部數據處理活動進行具體設計;同時對于數據安全風險等級标準判定的計算方式,用人主體宜予以固化,以便于評估人員得盡可能維持評判尺度的一緻性,也有助于用人主體對風險評估結果态勢變化進行分析。
2、定期開展科學數據安全風險評估報告并向有關主管部門報告
重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告;關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并将檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
3、健全科學數據安全風險評估機制
用人主體應當健全數據安全風險評估機制,嚴格落實數據安全風險評估準備、風險識别、風險分析以及風險評價工作機制,各環節的具體要求如下:
(1)評估準備。用人主體實施數據安全風險評估工作,應從國家法律法規及行業監管、業務需求評估等相關要求出發,從戰略層面考量風險評估結果對用人主體的影響。數據安全風險評估準備的内容應當主要包括:确定風險評估的目标;确定風險評估的對象、範圍和邊界;組建評估團隊;明确評估工具;開展前期調研;确定評估依據;建立風險評價準則;制定評估方案;獲得最高管理者支持
(2)風險識别。用人主體的數據安全風險識别主要包括資産識别、威脅識别、已有安全措施識别以及脆弱性識别。其中,資産識别包括業務識别、系統資産識别、系統組件和單元資産識别;威脅識别包括威脅來源(環境、意外、人為因素)、威脅種類(信息損害、未授權行為等)、威脅主體(國家、組織、團體、個人)、威脅動機(惡意、非惡意)、威脅時機(普通時期、特殊時期、自然規律等)、威脅頻率,用人主體應當根據威脅行為能力和頻率,結合威脅發生的時機,進行綜合計算,并設定相應的評級方法進行等級劃分并做相應标識(如很高、高、中等、低、很低);已有安全措施識别包括預防性安全措施、保護性安全措施;脆弱性識别包括技術脆弱性、管理脆弱性。技術脆弱性涉及1T環境的物理層、網絡層、系統層應用層等各個層面的安全問題或隐患;管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面,前者與具體技術活動相關,後者與管理環境相關。
(3)風險分析。用人主體應當通過采取适當的方法與工具得出其所面臨的合法合規性風險、數據安全事件發生的可能性以及數據安全事件發生對組織的影響度,從而得到數據安全風險值。
(4)風險評價。用人主體在執行完數據安全風險分析後,應當通過風險值計算方法,得到風險值的分布狀況,并對風險等級進行劃分(通常劃分為:高、中、低三個等級),最終依據風險評價中風險值的等級,進而明确風險評估結果内容。
4、科學數據安全風險評估報告内容不完善
數據安全風險評估報告的核心内容應包括:數據的種類、級别、數量、涉及的業務(開展數據處理活動的情況)、涉及的角色、已采取的安全措施、風險分析過程、評估結果、風險處理措施等。其中,對業務的說明需要突出業務的特點,明确數據處理目的、處理方式、處理範圍等。對于評估依據、評估方法、評估周期等工作層面的介紹也可包含在評估報告内。數據安全風險評估報告中風險分析過程和評估結果的部分,可根據數據安全風險評估的主要目的來進一步确定,如開展的是重要數據安全風險評估,則可側重于對國家安全、公共利益等方面的影響和風險。另外,用人主體應當關注數據安全風險評估報告上報主管部門的路徑、報送的文件格式,并關注有關要求、模闆的更新情況;對于涉及到與态勢展示相關的數據,需盡可能采取一緻的标準進行報送。
5、及時采取補救措施
用人主體發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施。用人主體應當在對風險進行評估的基礎上,結合風險的來源與範圍,及時采取措施避免風險進一步擴大,并通過技術、管理等手段化解風險,将風險範圍内用人主體的數據安全危害降至最低。
PART 03 示範法律文本
PART 04 法律法規
1、《中華人民共和國數據安全法》第22條、第29條、第30條
PART 05 典型案例
·案例:B數據庫安全事件
案例要旨:當事人因數據庫配置存在纰漏,遭受黑客攻擊,構成重大數據安全事故。
案情摘要:2016年12月底,B數據庫遭黑客攻擊,并于2017年1月黑客攻擊達到頂峰。攻擊者利用配置存在纰漏的B數據庫展開勒索行為,某黑客組織将網絡上公開的B數據庫資料庫中的資料彙出,并将B服務器上的資料移除。起初,隻有兩百個B數據庫實例的數據被非法清除,幾天之内受感染的B數據庫實例已經增長至一萬多台。開始攻擊者要求受害人支付0.2個比特币(當時的價值約為184美金)作為數據贖金,随着被感染的數據庫越來越多,攻擊者将勒索贖金提升至1個比特币(價值約為906美金)。此次事件被稱為“B啟示錄”。2019年,國内招聘應用因其B數據庫漏洞被利用,導緻其中存儲的2.02億中國求職者個人信息洩露,被外媒稱為:中國有史以來最大的數據曝光事件之一。