数据安全管理制度机制情况(数据安全管理实施细则)

导语：协会聚焦 | 浅谈数据安全管理制度现状

《中华人民共和国数据安全法》实施以来，强制性规范要求从事数据处理活动的企业，需建立健全全流程数据安全管理制度。对于从事数据处理活动的企业，经营管理活动必须遵守法律的强制性规定，企业数据管理构成其合规管理的重要部分。

信息技术、人工智能、大数据等现代高新技术的发展，企业经营活动无时无刻不与数据发生联系，基于数据作出经营决策、开展经营活动获得新的数据，数据已成为企业的重要资产，同其他资产的管理与运用一样，企业的数据管理应当服务于企业的经营目标。

《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面，对数据处理活动进行规制，有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足。《数据安全法》将与《网络安全法》以及正在制定中的《个人信息保护法》一起，全面构筑中国数据安全领域的法律框架。

01 数据安全管理的法律基础是什么？

企业全流程数据安全制度的设计与实施，首先要对数据处理活动涉及的基本法律概念和法定要求有清晰的理解和把握。现行法律体系下，基于信息技术、人工智能、大数据等等的数据相关法律概念，除《数据安全法》外，《中华人民共和国网络安全法》，尚在审议中的《中华人民共和国个人信息法》（草案）（以下简称《个人信息保护法》）是联系最为紧密的三部法律，其中均有相关的法律定义。

02 数据安全管理必要措施

从企业管理的角度看，其他必要措施应当理解为组织化的措施，包括：相关管理制度的建立、机构的设置、人员的配备、职责与追责等等。组织化措施与技术措施之间的关系，组织化措施应当立足技术措施的实际水平、满足技术措施的要求，促进技术措施的有效实现。

应当注意的是，在“万物互联”的大环境下，几乎所有的企业的经营活动都会同时适用这三部法律。例如：现时，一家纯制造业企业，通过网络开展售后服务可能是主要的方式之一；招聘员工，不可避免的涉及员工个人信息的收集与处理。同样也会收集和处理消费者的个人信息。就此而言，几乎所有的企业都需要制定数据安全管理制度。

与其他企业管理制度不同的是，《数据安全法》第二十七条规定企业应当建立健全全流程数据安全管理制度，这是对企业开展数据处理活动时施加的强制性义务。相对应地，《网络安全法》第二十一条第（一）项也规定有网络运营者应当制定内部管理制度和操作规程；《个人信息保护法》第五十一条第（一)项也规定个人信息者应当制定内部管理制度和操作规程。《数据安全法》特别强调，全流程数据安全管理，基于三部法律的紧密联系，企业制定和实施涉及网络和个人信息处理相关的管理制度，也应当满足“全流程”的要求。这时，需要注意是，就“流程”而言，通常主要是管理学理论和实践的范畴，如何实现全流程数据安全管理，还必须依赖于管理学的理论和实践。

企业应建立有关数据访问控制的规则，例如要求符合最小必要原则、访问留痕记录等。企业还应当建立供应商管理制度，在供应商协议中约定清楚供应商的访问限制和记录、供应链安全问题等权利义务。企业还应当建立数据安全事件管理制度，充分吸收和运用管理学的理论与实践经验，服务于企业的经营目标。明确有关数据安全事件发生时的评估流程、响应机制、证据固定等。

03 协会总结

企业应当建立数据合规评估与审查机制，识别法律变化和具体合同要求，做好相关记录的保护、隐私和个人数据保护、确定密码控制规则。从有利于管理、降低企业守法成本的角度出发，对必须同时遵守三部法律的企业而言，制定和实施统一的安全管理制度，更有利于实现服务于企业的经营目标。

本文内容由快快网络小楠整理编辑！