立足《數(shù)安法》，上上簽電子簽名守護(hù)企業(yè)數(shù)據(jù)資產(chǎn)

6月10日,《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱“數(shù)據(jù)安全法”)表決通過(guò),自2021年9月1日起施行。

《數(shù)據(jù)安全法》為企業(yè)的數(shù)據(jù)安全管理提出了更高的要求。同時(shí),它也給了企業(yè)一個(gè)方向,那就是與外部合作來(lái)將業(yè)務(wù)數(shù)據(jù)化,并利用外部資源存儲(chǔ)數(shù)據(jù)。有了法律保護(hù),使得數(shù)據(jù)的外部存儲(chǔ)有了保障。

《數(shù)據(jù)安全法》推動(dòng)外部數(shù)據(jù)存儲(chǔ)方案

對(duì)于那些在數(shù)據(jù)保障基礎(chǔ)建設(shè)上相對(duì)薄弱的企業(yè)來(lái)說(shuō),數(shù)據(jù)安全管理面臨一個(gè)比較大的難題:公司需要將資源著重花在業(yè)務(wù)發(fā)展上,可能沒(méi)有那么多的精力和數(shù)據(jù)安全專家來(lái)應(yīng)對(duì)復(fù)雜的數(shù)據(jù)安全管理問(wèn)題。

因此,與外部供應(yīng)商合作,一方面能更好地保障數(shù)據(jù)安全有效,另一方面也減少了企業(yè)在數(shù)據(jù)安全性上投入的成本。

結(jié)合《數(shù)據(jù)安全法》的要求,企業(yè)在與外部合作進(jìn)行數(shù)據(jù)云存儲(chǔ)時(shí),需要特別注意以下事項(xiàng):

1. 個(gè)人隱私保護(hù)

個(gè)人隱私相關(guān)的數(shù)據(jù),往往是數(shù)據(jù)安全性中最為敏感的數(shù)據(jù),特別是對(duì)于人力資源從業(yè)者來(lái)說(shuō),需要極為重視。

一方面,我們需要這些數(shù)據(jù)來(lái)進(jìn)行員工管理的日常工作;另一方面在涉及員工身份證、銀行卡、電話號(hào)碼等個(gè)人隱私數(shù)據(jù)時(shí)又會(huì)受到嚴(yán)格限制。

那怎么做才最好呢?

基于不少企業(yè)的最佳實(shí)踐,我們建議企業(yè)在數(shù)據(jù)收集及使用上保持公開(kāi)透明,對(duì)于收集哪些數(shù)據(jù),用于哪些場(chǎng)合,能夠有書(shū)面文檔進(jìn)行描述,并可以利用電子簽名等方式獲取員工及客戶的授權(quán)認(rèn)可。

另外,《數(shù)據(jù)安全法》還提到“數(shù)據(jù)使用要符合倫理道德”,不過(guò)在倫理道德這一點(diǎn)上其實(shí)是很難有嚴(yán)格界定,這是HR們需要重點(diǎn)研究的。

2. 數(shù)據(jù)存儲(chǔ)的可管理性

《數(shù)據(jù)安全法》中要求,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

因此無(wú)論是企業(yè)內(nèi)部還是我們的合作方,對(duì)于重要數(shù)據(jù)我們都需要確保能及時(shí)進(jìn)行查詢、刪除、更正、注銷。

對(duì)于和客戶、員工有關(guān)的數(shù)據(jù),如果客戶和員工提出要將個(gè)人數(shù)據(jù)在企業(yè)的相關(guān)系統(tǒng)中進(jìn)行刪除,那么我們就有義務(wù)要確保數(shù)據(jù)可追蹤溯源并實(shí)施刪除。

一些國(guó)外企業(yè)中已經(jīng)實(shí)際遇到的情況是在一些數(shù)據(jù)安全相關(guān)審查中被要求證明,如何在有需要的時(shí)候,能確保員工的數(shù)據(jù)在離職后能被有效地清除。

如果平時(shí)沒(méi)有做好數(shù)據(jù)的管理工作,你會(huì)發(fā)現(xiàn)這是一件非常不容易的事情。

基于《數(shù)據(jù)安全法》的出臺(tái),我們也需要確保在未來(lái)有嚴(yán)格的管理措施,能夠追蹤到每位員工和客戶的相關(guān)數(shù)據(jù)。

其中,通過(guò)電子簽名來(lái)存儲(chǔ)一些電子合同和契約就是一種比較有效的方式來(lái)進(jìn)行管控,因?yàn)樗械暮灱s方都需要通過(guò)身份識(shí)別而且不可篡改,這是一種非常有效的管控方式。

3. 防止數(shù)據(jù)丟失

對(duì)于數(shù)據(jù)丟失的危害性,可能很多人都深有感觸。

就好像使用多年的電腦或者移動(dòng)硬盤(pán)一旦損壞,那么自己多年積累的個(gè)人數(shù)據(jù)可能就付之一炬。

在企業(yè)中更是這樣,一旦存儲(chǔ)的數(shù)據(jù)出現(xiàn)問(wèn)題,那么對(duì)于企業(yè)來(lái)說(shuō)將會(huì)是極大的損失。

沒(méi)有絕對(duì)安全的云,也沒(méi)有萬(wàn)無(wú)一失的服務(wù)器。因此必須要確保企業(yè)和外部供應(yīng)商都有數(shù)據(jù)備份和恢復(fù)機(jī)制。

同時(shí)也要確保相應(yīng)的數(shù)據(jù)存儲(chǔ)服務(wù)器有防病毒措施,不被電腦病毒侵入導(dǎo)致數(shù)據(jù)被破壞。

4. 防止數(shù)據(jù)泄露

有時(shí)并不是企業(yè)和供應(yīng)商有意想泄漏數(shù)據(jù),而是由于安全性不夠而引發(fā)了數(shù)據(jù)泄漏問(wèn)題。

例如,在2020年致力于提供高質(zhì)量免費(fèi)照片和設(shè)計(jì)圖形訪問(wèn)的網(wǎng)站Freepik披露了一起重大安全漏洞,被黑客利用SQL注入漏洞訪問(wèn)其一個(gè)存儲(chǔ)用戶數(shù)據(jù)的數(shù)據(jù)庫(kù)之后,獲得了830萬(wàn)注冊(cè)用戶的用戶名和密碼。

如果這樣的事件發(fā)生在我們企業(yè),代價(jià)一定是巨大的,因此我們要防范數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

《數(shù)據(jù)安全法》在數(shù)據(jù)泄漏風(fēng)險(xiǎn)保障上提供了法律依據(jù)。我們也可以通過(guò)第三方的專業(yè)評(píng)估公司來(lái)對(duì)供應(yīng)商進(jìn)行評(píng)估,以確保供應(yīng)商有定期漏洞查詢機(jī)制、傳輸安全性信息加密等方法防止數(shù)據(jù)泄漏。

5. 防止數(shù)據(jù)被不正當(dāng)使用和交易

在這一點(diǎn)上,《數(shù)據(jù)安全法》起到了極大的作用:

一是明確了數(shù)據(jù)交易必須說(shuō)明數(shù)據(jù)來(lái)源,同時(shí)由于是法律規(guī)定,對(duì)違犯者明確了重罰措施,將會(huì)極大震懾?cái)?shù)據(jù)的違法交易。

在企業(yè)中我們也要做好數(shù)據(jù)安全相關(guān)的管控措施,提升數(shù)據(jù)保護(hù)意識(shí),制定相關(guān)規(guī)則,只有必要的人員才能訪問(wèn)必要的數(shù)據(jù)。

即使由供應(yīng)商來(lái)存儲(chǔ)企業(yè)數(shù)據(jù),也可以通過(guò)技術(shù)來(lái)限制供應(yīng)商員工訪問(wèn)企業(yè)的相關(guān)數(shù)據(jù),從而充分保證數(shù)據(jù)安全性。

結(jié)語(yǔ)

互聯(lián)網(wǎng)時(shí)代,我們需要充分利用大數(shù)據(jù)的優(yōu)勢(shì),盡可能將我們公司的日常業(yè)務(wù)電子化。

例如,在電子簽名領(lǐng)域,我們可以將日常的各種企業(yè)間合同、員工合同、企業(yè)與個(gè)人之間的證明、協(xié)議等等,都通過(guò)電子化的方式進(jìn)行簽約、存儲(chǔ)管理。

因?yàn)殡娮雍灻麚碛猩矸菡J(rèn)證且不可篡改,可以確保相關(guān)簽署的真實(shí)、準(zhǔn)確、有效、可信,同時(shí)也能極大提升查詢效率。

我們?cè)诤拖嚓P(guān)供應(yīng)商進(jìn)行合作時(shí),也要重視供應(yīng)商在數(shù)據(jù)安全性上的資質(zhì),以進(jìn)一步確保數(shù)據(jù)安全。

在數(shù)據(jù)安全資質(zhì)方面,上上簽電子簽名經(jīng)過(guò)長(zhǎng)時(shí)間的積累和實(shí)踐,在文中提到的這些數(shù)據(jù)安全領(lǐng)域,都已經(jīng)有相應(yīng)技術(shù)、標(biāo)準(zhǔn)、措施、認(rèn)證來(lái)確保數(shù)據(jù)安全。

特別是在一些外部第三方機(jī)構(gòu)的安全測(cè)評(píng)中,上上簽曾獲得過(guò)供應(yīng)商有史以來(lái)最高分并被歸類為最高等級(jí)的成熟系統(tǒng)。

另外,國(guó)內(nèi)供應(yīng)商和國(guó)外供應(yīng)商相比,在應(yīng)對(duì)國(guó)內(nèi)數(shù)據(jù)安全性上會(huì)有天然的優(yōu)勢(shì),因?yàn)閲?guó)外供應(yīng)商還要花不少精力來(lái)應(yīng)對(duì)《中華人民共和國(guó)數(shù)據(jù)安全法》中對(duì)于數(shù)據(jù)境外存儲(chǔ)的相應(yīng)要求。

未來(lái),希望各家企業(yè)都能夠與可信賴的廠商進(jìn)行更深入的合作,利用好數(shù)據(jù),保護(hù)好數(shù)據(jù),用數(shù)據(jù)提升效率,讓數(shù)據(jù)為業(yè)務(wù)賦能。