2021年6月29日,深圳市通过了《深圳经济特区数据条例》,自2022年1月1日起施行;
2021年7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》的通知,数据安全纳入网络安全审查;
2021年8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》;
2021年8月20日,《个人信息保护法》正式颁布,并于2021年11月1日开始正式实施。
如此密集的法规发布,可见数据安全已经成为所有企业和机构需要直面的问题。今日起,《数据安全法》将正式实施,《数据安全法》对于企业在数据传输、存储、流转、销毁等处理活动进行了相关规定,我们总结了几点容易被忽视、可能引起违法的问题。
01未开展数据安全相关防护
“第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”
具体而言就是未建立数据安全管理制度,未开展安全教育培训,未采取技术措施或将违法。管理制度不能为了制定而制定,需要具有可执行性,否则数据安全防护形同虚设;教育培训是安全常态化工作之一,只有不断的提升安全意识,才能真正提升数据安全防护能力;结合管理制度和数据活动特征,建设相应的技术措施,在保证安全的前提下使用数据。
02重要数据处理未进行风险评估
“第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险