日前,360数科方面发布《360数科数据安全管理制度》(下文简称为《制度》),旨在加强和规范平台数据安全管理工作,指导全员提升数据安全意识,并依照制度快速对数据级别进行判定,明确数据生命周期内的安全管理要求。
据悉,《制度》作为企业数据安全管理的内部规范,包括数据分类分级管理、数据安全运营管理、数据全生命周期安全管理和合作方等全链路管理,将公司内数据产生、存储、使用、传输、销毁、归集等全生命周期过程全部纳入有效制度管理。
对此,相关信息安全组负责人表示,“伴随着《个人信息保护法》的表决通过和《数据安全法》的施行,企业侧的数据处理行为和对用户信息的保护都将有法可依、有章可循。而作为企业主体,落实法规、健全制度体系、加强内部数据安全管理,是践行企业自律和主体责任的必要举措。”
据悉,《个人信息保护法》规定了用户在信息收集、存储、使用、加工、传输、提供、公开、删除等全生命周期过程所享有的知情权和决定权等权利。《数据安全法》中则明确规定了数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等,也包含了数据全生命周期的处理活动。
因此,《制度》对公司及平台数据的产生,存储、适用、传输、销毁、归集全生命周期安全管理均做了详细的规定,并将涉及外部合作的合作方安全评估、接口安全要求、第三方系统接入、第三方人员安全要求也纳入数据安全制度。
在数据分类分级管理方面,《制度》在此前《360 数科数据分类分级管理规定》基础上进行了再次强化,将数据分类分级管理和最小授权原则落实。其中强调,收集数据应遵循最小化收集原则,即仅收集业务必须的最少数据;收集数据前应与数据被收集方明确双方的安全责任和义务,并按约定收集、使用和管理数据。
【本文图片来自网络】
