6月10日,《中华人民共和国数据安全法》(以下简称“数据安全法”)表决通过,自2021年9月1日起施行。《数据安全法》为企业的数据安全管理提出了更高的要求。同时,它也给了企业一个方向,那就是与外部合作来将业务数据化,并利用外部资源存储数据。有了法律保护,使得数据的外部存储有了保障。
《数据安全法》推动外部数据存储方案对于那些在数据保障基础建设上相对薄弱的企业来说,数据安全管理面临一个比较大的难题:公司需要将资源着重花在业务发展上,可能没有那么多的精力和数据安全专家来应对复杂的数据安全管理问题。因此,与外部供应商合作,一方面能更好地保障数据安全有效,另一方面也减少了企业在数据安全性上投入的成本。结合《数据安全法》的要求,企业在与外部合作进行数据云存储时,需要特别注意以下事项:1. 个人隐私保护个人隐私相关的数据,往往是数据安全性中最为敏感的数据,特别是对于人力资源从业者来说,需要极为重视。一方面,我们需要这些数据来进行员工管理的日常工作;另一方面在涉及员工身份证、银行卡、电话号码等个人隐私数据时又会受到严格限制。那怎么做才最好呢?基于不少企业的最佳实践,我们建议企业在数据收集及使用上保持公开透明,对于收集哪些数据,用于哪些场合,能够有书面文档进行描述,并可以利用电子签名等方式获取员工及客户的授权认可。
另外,《数据安全法》还提到“数据使用要符合伦理道德”,不过在伦理道德这一点上其实是很难有严格界定,这是HR们需要重点研究的。2. 数据存储的可管理性《数据安全法》中要求,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。因此无论是企业内部还是我们的合作方,对于重要数据我们都需要确保能及时进行查询、删除、更正、注销。对于和客户、员工有关的数据,如果客户和员工提出要将个人数据在企业的相关系统中进行删除,那么我们就有义务要确保数据可追踪溯源并实施删除。一些国外企业中已经实际遇到的情况是在一些数据安全相关审查中被要求证明,如何在有需要的时候,能确保员工的数据在离职后能被有效地清除。如果平时没有做好数据的管理工作,你会发现这是一件非常不容易的事情。基于《数据安全法》的出台,我们也需要确保在未来有严格的管理措施,能够追踪到每位员工和客户的相关数据。其中,通过电子签名来存储一些电子合同和契约就是一种比较有效的方式来进行管控,因为所有的签约方都需要通过身份识别而且不可篡改,这是一种非常有效的管控方式。3. 防止数据丢失对于数据丢失的危害性,可能很多人都深有感触。就好像使用多年的电脑或者移动硬盘一旦损坏,那么自己多年积累的个人数据可能就付之一炬。在企业中更是这样,一旦存储的数据出现问题,那么对于企业来说将会是极大的损失。没有绝对安全的云,也没有万无一失的服务器。因此必须要确保企业和外部供应商都有数据备份和恢复机制。同时也要确保相应的数据存储服务器有防病毒措施,不被电脑病毒侵入导致数据被破坏。4. 防止数据泄露有时并不是企业和供应商有意想泄漏数据,而是由于安全性不够而引发了数据泄漏问题。例如,在2020年致力于提供高质量免费照片和设计图形访问的网站Freepik披露了一起重大安全漏洞,被黑客利用SQL注入漏洞访问其一个存储用户数据的数据库之后,获得了830万注册用户的用户名和密码。如果这样的事件发生在我们企业,代价一定是巨大的,因此我们要防范数据泄漏风险。《数据安全法》在数据泄漏风险保障上提供了法律依据。我们也可以通过第三方的专业评估公司来对供应商进行评估,以确保供应商有定期漏洞查询机制、传输安全性信息加密等方法防止数据泄漏。5. 防止数据被不正当使用和交易在这一点上,《数据安全法》起到了极大的作用:一是明确了数据交易必须说明数据来源,同时由于是法律规定,对违犯者明确了重罚措施,将会极大震慑数据的违法交易。在企业中我们也要做好数据安全相关的管控措施,提升数据保护意识,制定相关规则,只有必要的人员才能访问必要的数据。即使由供应商来存储企业数据,也可以通过技术来限制供应商员工访问企业的相关数据,从而充分保证数据安全性。结语互联网时代,我们需要充分利用大数据的优势,尽可能将我们公司的日常业务电子化。
例如,在电子签名领域,我们可以将日常的各种企业间合同、员工合同、企业与个人之间的证明、协议等等,都通过电子化的方式进行签约、存储管理。因为电子签名拥有身份认证且不可篡改,可以确保相关签署的真实、准确、有效、可信,同时也能极大提升查询效率。我们在和相关供应商进行合作时,也要重视供应商在数据安全性上的资质,以进一步确保数据安全。在数据安全资质方面,上上签电子签名经过长时间的积累和实践,在文中提到的这些数据安全领域,都已经有相应技术、标准、措施、认证来确保数据安全。特别是在一些外部第三方机构的安全测评中,上上签曾获得过供应商有史以来最高分并被归类为最高等级的成熟系统。另外,国内供应商和国外供应商相比,在应对国内数据安全性上会有天然的优势,因为国外供应商还要花不少精力来应对《中华人民共和国数据安全法》中对于数据境外存储的相应要求。未来,希望各家企业都能够与可信赖的厂商进行更深入的合作,利用好数据,保护好数据,用数据提升效率,让数据为业务赋能。