2021年6月10日，《数据安全法》正式通过，其与《网络安全法》一样，是网络安全和数据合规领域的基础性法律。如我们在上周的解读中所梳理的（拓展阅读：《9月1日正式实施，〈数据安全法〉深入解读》），《数据安全法》对数据处理者设置了多项义务。

然而，《数据安全法》对于数据处理者的数据安全保护义务更多是提纲挈领地做出制度安排，一些实施细则还有待后续配套法律法规明确。后续可能会对曾在2019年征求意见的《数据安全管理办法（征求意见稿）》进行修改，落实《数据安全法》的各项制度。

《数据安全法》中较为概括的条文可能会让企业们无所适从。比如第二十七条要求数据处理者建立健全全流程数据安全管理制度，但企业应如何建立这一制度才算符合《数据安全法》的要求呢？

下面我们结合《数据安全法》《数据安全管理办法（征求意见稿）》《数据管理能力成熟度评估模型》（GB/T 36073-2018）《数据安全治理能力评估方法》（T/ISC-0011-2021）等法律法规、国家标准和行业标准，从“顶层设计”“基础制度制定”“全流程数据安全管理”三个阶段，为企业梳理全流程数据安全管理制度的构建重点。

全流程数据安全管理制度构建要点

（简表）

顶层设计

是否对业务和现有资源等情况进行评估，充分了解自身数据需求，以及企业在数据处理各个环节中的不同风险？

□是

□否

是否结合业务需求、监管要求、自身能力，确定企业数据安全目标，制定数据安全战略，并定期进行审查修订？

□是

□否

是否建立或指定负责企业内部数据处理各环节安全工作的部门、岗位或人员？

□是

□否

是否根据岗位职责设置各级数据处理权限，按照最小必要、职权分离等原则，授予不同账户为完成各自承担任务所需的最小权限，在各账号间形成相互制约的关系？

□是

□否

若企业为重要数据处理者，是否明确数据安全负责人和管理机构，落实数据安全保护责任？

□是

□否

基础制度制定

是否开展数据分类分级工作？

□是

□否

是否建立风险监测制度，采取措施监控内部数据处理活动和外部访问活动，防范不正当的数据访问和处理行为？

□是

□否

是否把对高敏感数据的处理以及特权账户对数据的访问和操作都纳入重点监控范围？

□是

□否

是否建立数据安全事件应急制度？

□是

□否

是否制定数据安全事件应急预案并定期进行演练？

□是

□否

是否定期对员工进行培训，并考察员工能力与岗位职责的匹配程度？

□是

□否

是否建立数据安全审计制度，定期引入第三方机构对内部数据处理活动进行审计？

□是

□否

若企业为重要数据处理者，是否定期对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告？

□是

□否

全流程数据安全管理

数据收集

是否在数据分类分级基础上明确收集数据目的和用途，数据收集流程及数据收集安全管理要求等制度并及时更新？

□是

□否

是否规定数据收集的渠道及外部数据源鉴定方式，并对收集来源方式、数据范围和类型进行记录，确保数据来源的合法性？

□是

□否

是否提供满足数据收集安全要求的安全管理技术方案？

□是

□否

是否定期对数据收集工具进行安全测试并持续优化？

□是

□否

数据收集人员是否能充分理解数据收集的法律要求、安全和业务需求，并能根据业务需求和具体情况选择合理的数据收集方式？

□是

□否

数据存储

是否按照法定要求留存相应数据？

（拓展阅读：《网络运营者数据存储义务汇总表》）

□是

□否

是否在数据分类分级基础上建立数据存储安全制度，包括存储介质及逻辑存储管理、存储系统结构设计、介质保存环境、数据备份与恢复等各项制度，制定差异化的数据存储方案并及时更新？

□是

□否

是否提供满足数据存储安全要求的安全管理技术方案？

□是

□否

是否定期对支撑数据存储安全的技术工具进行安全测试并持续优化？

□是

□否

负责数据存储管理的人员是否熟悉数据存储结构，具备根据技术发展、实践案例、合规要求变化调整数据存储方案的能力？

□是

□否

数据使用

是否在数据分类分级基础上，明确各业务场景数据使用范围和权限、合规要求、使用安全防护要求和数据使用限制等各项制度并及时更新？

□是

□否

是否明确数据使用权限审批流程，对数据源、数据使用场景、数据使用范围、数据使用逻辑进行审核以开放相应权限？

□是

□否

是否对使用数据输出的业务结果进行安全审查，避免业务结果包含不必要的敏感数据？

□是

□否

是否提供满足数据使用安全要求的安全管理技术方案？

□是

□否

是否定期对支撑数据使用安全的技术工具进行安全测试并持续优化？

□是

□否

使用数据的人员是否能基于业务场景和合规要求对数据使用过程中所可能引发的安全风险进行有效的评估，并能够针对各业务场景提出有效的解决方案？

□是

□否

数据对外提供

是否在数据分类分级基础上，明确各业务场景中数据对外提供的范围、目的、方式、安全管理措施等各项制度并及时更新？

□是

□否

是否明确向境外提供数据的安全管理规范？

□是

□否

是否对外部数据接收者进行评估，以确保其具备足够的数据保护能力？

□是

□否

是否与外部数据接收者签订协议，明确数据使用方式、数据留存时间、数据安全保护责任及保密义务？

□是

□否

在数据对外提供后，是否对外部数据接收者的数据处理行为进行监督？

□是

□否

是否提供满足数据对外提供安全要求的安全管理技术方案？

□是

□否

是否定期对支撑数据对外提供安全的技术工具进行安全测试并持续优化？

□是

□否

负责数据对外提供的人员是否充分了解数据对外提供制度，能够对数据接收者的安全保护能力进行评估，以采取合理的数据对外提供方案？

□是

□否

数据删除

是否在数据分类分级的基础上，建立数据删除、存储介质销毁、对外提供数据删除及介质销毁等各项制度并及时更新？

□是

□否

是否建立数据删除、存储介质销毁流程和审批机制，对审批和销毁过程进行完整记录？

□是

□否

是否提供满足数据删除要求的安全管理技术方案？

□是

□否

是否定期对支撑数据删除的技术工具进行安全测试并持续优化？

□是

□否

负责数据删除的人员是否熟悉数据删除的相关合规要点，能够根据需求使用相应的数据删除工具、介质销毁工具？

□是

□否