近日,国家网信办发布的《网络安全审查办法(修订草案征求意见稿)》。该《办法》要求,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
记者了解到,当超大数字平台通过实时获取的海量用户数据赋能行业发展的同时,也引发了个人隐私泄漏、大数据杀熟、国家安全等担忧。新发布的征求意见稿与现行《网络安全审查办法》的不同之处在于,其升级了对数据安全审查对象的范围,由之前版本中的关键信息基础设施外延到“数据处理者”。
在此背景下,互联网企业应该做出哪些改变?对此,360安全专家对记者表示,从修订的内容看,网络安全审查的重点是评估采购、数据处理以及国外上市可能带来的国家安全风险。该《办法》的出台,体现了国家对于关键信息基础设施数据安全管控的决心。
360安全专家认为,这意味着,只要涉及到关键信息基础设施或100万以上个人信息的企业发生数据处理活动,都会触发该《办法》,并且保护数据安全不仅仅是数据采集方的职责,整个产业链的数据处理者都要按照《网络安全审查办法》、《数据安全法》的要求承担数据安全管理职责。
360安全专家建议,互联网公司需根据相关法律法规、标准规范要求,采用相应的制度、技术手段和产品保护数据安全。
一是建立数据安全治理体系,委派高管牵头负责数据安全治理工作,根据《数据安全法》等法规的监管要求开展自身数据分类分级工作,对企业数据实施分类分级管理,分类分级结果与数据存储、权限、脱敏、开发等措施挂钩,实现体系管理。
二是建立以数据为中心、覆盖全生命周期的数据安全防护体系,在数据全生命周期的各个阶段,部署关键的安全保护措施,确保各个环节的数据可管可控。
三是定期开展风险评估和数据安全成熟度评估,并通过实网攻防以及安全应急响应演练,及时改进公司中存在的风险,一旦发生安全事件后能及时响应,做出最合适的反应措施,从而把损失降低到最小。
四是建立健全全流程数据安全管理制度,组织开展数据安全教育培训,增强员工数据安全意识,提高企业自身数据安全能力。
上游新闻记者 唐小堞
【免责声明】上游新闻客户端未标有“来源:上游新闻-重庆晨报”或“上游新闻LOGO、水印的文字、图片、音频视”等稿件均为转载稿。如转载稿涉及版权等问题,请联系上游。
