數據安全管理職責劃分和追責機制探析

艾 龍

(北京天融信網絡安全技術有限公司數據安全治理中心 武漢 430048)

在全球數字經濟的背景下，數據安全逐漸成為國家安全的重要組成部分，關系到國家主權的穩固及社會經濟的發展.保護關鍵信息基礎設施，運營者是第一主體.在數據安全引起各方廣泛關注的背景下，《中華人民共和國數據安全法》(以下簡稱《數據安全法》)應運而生[1]，其中第4章節“數據安全保護義務”中的第27條明確提出：“重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任.”各行業責任主體急需構建清晰的數據安全組織架構，完善數據安全管理體系，理清數據安全工作職責，明確數據安全事件問責機制，為數據安全管理打上“問責”這塊補丁[2]，落實企業數據安全保護義務，保障企業在發生數據安全事件時能夠將責任層層落實到人.

1 國內典型實踐調研

1.1 某政府機構數據安全職責劃分案例

該單位按照“誰所有誰負責、誰管理誰負責、誰運行誰負責、誰使用誰負責”的原則劃分數據安全管理職責.網絡安全和信息化領導小組負責數據安全的最終決策、監督及指導職能；數據管理部門負責指派數據安全管理團隊完成單位數據安全管理要求和標準的制定，組織實施數據安全保護；信息技術部門負責數據安全技術保護能力的建設；風險管理部門負責對各級單位數據安全保護措施落實情況開展檢查；各業務部門負責履行數據安全的資產梳理定級、安全需求確定、數據使用及管理審批授權等職責，并應配合數據安全管理方完成數據安全保護及檢查評估工作；數據運營部門履行各自責任范圍內數據的技術保護措施使用、數據安全運維管理及數據安全應急處置等職責；數據使用部門負責履行所持有、使用、操作數據的安全保護責任.

1.2 某央企數據安全職責劃分案例

該公司按照“誰主管誰負責、誰收集誰負責、誰使用誰負責、誰提供誰負責、誰運行誰負責”的原則劃分數據安全管理責任.網絡安全與信息化領導小組負責公司數據安全方針、策略、總體規劃及重大數據安全問題的決策，為開展數據安全工作匹配所需資源；數據管理部門負責公司數據工作統一集中的歸口管理、數據分析、運營支撐以及數據安全管理工作的組織、指導、協調和監督；監督審計部門負責公司整體風險管理，以及牽頭數據安全審計工作，定期或專項組織實施數據安全審計；系統運行部門負責公司IT系統規劃、建設、開發和維護，以及數據安全技術能力建設和支撐.各業務部門負責管理本部門數據安全，對專業工作中收集和產生數據的安全負責.

2 責任主體和職責范圍的分析

通過分析《黨委(黨組)網絡安全工作責任制實施辦法》，其中對應各級黨委、各級網絡安全和信息化領導機構、行業主管監管部門等責任主體，對決策、管理、運行、監督等方面的職責進行了劃分.所以在企業中，我們結合實際情況，可劃分為如下相關角色，如圖1所示:

圖1 數據安全組織框架

1) 數據安全決策方.

為保證數據安全管理工作的順利開展及持續保持，企業數據安全管理工作應采取“一把手負責制”，可以以企業信息化領導小組為基礎，組建 “數據安全領導小組”，由各業務主管領導擔任組員.領導小組擔任“數據安全決策方”角色，負責確定數據安全管理要求，定期聽取數據安全工作匯報，并指導、監督數據安全管理工作.

2) 數據安全管理方.

由數據安全領導小組指派中高層管理人員作為數據安全負責人，并組建數據安全管理部門.數據安全管理方負責制定數據安全管理與運營制度，組織數據安全管理執行，組織開展數據安全保護、數據安全教育培訓等相關工作.

3) 數據安全監督方.

數據安全監督方負責監督、指導各部門管理制度建設和技術保護措施建設，負責定期檢查與監督各部門數據安全管理考核指標達成情況.

4) 數據安全運營方.

數據安全運營方負責開展數據安全能力建設、數據安全應急預案與演練、安全監測預警、安全應急處置、安全災難恢復等相關工作.

5) 數據所有方.

各業務系統的所有部門負責本領域業務數據的分類分級工作，并依據數據分類分級結果，在數據全生命周期執行數據安全管理要求.

6) 數據使用方.

內部和外部數據使用方應依據數據安全級別，在數據使用過程中嚴格執行數據安全防護工作.

3 數據安全管理框架的設計

設計企業數據安全管理框架時，可基于企業數據安全保護義務來確定基礎的管理業務，可以從數據安全規劃、數據分類分級、數據安全風險評估、數據生命周期安全管理、數據安全審計監督管理、數據安全應急管理、數據安全教育培訓管理這7個管理業務域進行規劃，同時將管理體系文件從戰略方針、管理要求、規范指導、執行過程逐層細化，如圖2所示[3].

在實際工作中，數據安全管理框架還需要充分考慮與企業已有的信息安全管理體系、數據管理體系進行融合或銜接，從而形成全局一致性的規范.

圖2 數據安全管理框架

4 責任事項的設計

依據《黨委(黨組)網絡安全工作責任制實施辦法》中劃定的各責任主體，再依據《數據安全法》中數據處理者的保護義務范圍，明確企業內部各相關方責任主體的關鍵職責，構建完善的數據安全責任矩陣，如表1所示.

1) 數據安全規劃管理.

由企業數據安全領導小組牽頭，負責貫徹執行上級機構的方針、政策、決定和指示，全面協調、指導和推進數據安全規劃管理工作，對重大事項進行決策；數據安全管理部門負責開展具體的規劃和體系設計工作，統籌推進數據安全工作的開展，建立跨部門協調機制，制定數據安全年度的考核指標；監督部門負責監督、指導各部門管理制度建設和技術保護措施建設；數據運營方負責開展數據安全能力建設和運營工作；數據所有方負責落實數據安全管理和應用工作.

2) 數據分類分級管理.

由數據安全管理部門組織各業務部門開展數據分類分級工作.各業務部門負責確定數據保護范圍、實施數據分類分級；數據運營部門負責提供數據分類分級所需技術能力；監督部門負責指導、監督數據分類分級工作開展.

表1 數據安全責任矩陣

3) 數據安全風險評估管理.

由數據安全管理部門組織各業務部門開展數據安全風險評估工作.各業務部門負責基于業務場景、數據資產重要性來明確數據安全風險，反饋數據安全保護需求；數據運營部門負責提供技術支撐；監督部門負責指導、監督數據安全風險評估工作.

4) 數據全生命周期管理.

由數據安全管理部門組織各業務部門開展數據全生命周期管理工作.各業務部門負責落實數據全生命周期安全管控和保護工作；數據運營部門負責提供數據全生命周期保護所需認證、授權、加密、脫敏、水印等數據安全技術能力；監督部門負責指導、監督數據安全保護工作的開展；數據使用部門依據要求，執行數據安全保護，合理使用數據.

5) 數據安全審計監督管理.

由監督部門負責開展各部門的數據安全審計監督工作，指導和監督各部門落實數據安全管理和執行；數據安全管理部門、各業務部門、數據運營部門、數據使用部門應當積極配合數據安全審計監督，并對審計監督中發現的問題及時整改.

6) 數據安全應急管理.

由數據安全管理部門組織建設企業數據安全應急體系，負責企業數據安全事件的應急預警、響應管理工作；數據運營部門負責提供數據安全應急響應技術支持，組織開展應急工作，統籌協調本單位威脅情報收集、分析研判和應急處置工作；各業務部門、數據使用部門負責配合執行應急處置工作.監督部門負責數據安全事故的調查和問責.

7) 數據安全教育培訓管理.

由數據安全管理部門組織各業務部門開展.各業務管理部門、數據運營部門、數據使用部門需要積極參與數據安全教育培訓.監督部門負責指導、監督數據安全教育培訓工作開展.

5 問責主體的分析

問責主體包含導致安全事件直接發生的主要責任人和次要責任人，以及主要、次要責任者所在部門管理人員、事發單位管理部門人員、事發單位負責人等相關主體.根據事件調查結果，分別追究其主/次要責任、監督責任、管理責任、主體責任.

1) 主/次要責任.

未執行數據安全業務規程、規定；未執行數據安全作業指導書、工作方案等有關安全措施、作業流程、操作步驟，違反勞動紀律等.

2) 管理責任.

未制定數據安全作業指導書和工作方案或有關內容不具體、不切合實際；未識別數據安全風險；未實施數據安全保護措施；未落實本單位數據安全技術措施部署和要求；未履行數據安全意識教育培訓制度；未制定或完善數據安全規程規定；未確保本單位數據安全運營和風險管理制度執行到位；未執行安全事件應急措施計劃等.

3) 監督責任.

未指導和監督本單位數據安全規章制度和運行維護規程規定有效完善；未督促檢查本單位數據安全保護工作落實到位.

4) 主體責任.

未建立健全本單位各級數據安全工作責任制；未組織落實監管部門下達的安全事件防范措施；未保障本單位數據安全保護的資源投入有效實施；未確保數據安全風險及時消除等.

6 啟動問責的條件

《黨委(黨組)網絡安全工作責任制實施辦法》規定了2種啟動問責的條件：一是根據行為；二是根據后果.從行為分析：責任人若存在未履行相關職責或者違反相關要求不作為、亂作為的行為，則按有關規定追究其相關責任.從結果分析：根據安全事件類型和事件級別對相關的主/次要責任人、管理責任人、監督責任人、主體責任人進行問責.

數據安全事件可以從泄露、竊取、篡改、毀損、丟失、非法使用進行分類，然后可根據GB/Z 20986—2007《信息安全技術 信息安全事件分類分級指南》將事件級別劃分為特別重大事件、重大事件、較大事件、一般事件4個級別[4].

數據安全事件中的客體是數據，所以事件的等級可依據數據分類分級進行判定，實現問責措施與數據分類分級的關聯.在行業沒有明確分類分級標準的情況下，可參考全國信息安全標準化技術委員會在2021年9月發布的TC260-PG-20212A《網絡安全標準實踐指南——數據分類分級指引(征求意見稿)》將單位數據分為核心級、重要級、敏感級、內部級、公開級5個級別，并繼續關注國家和行業相關標準及時進行調整和迭代.

1) 特別重大事件.

特別重大事件包括：核心級商業秘密數據和核心級國家秘密數據通過企業信息網絡泄露或被竊取、篡改、假冒、損毀、違規使用，對國家安全和社會穩定構成特別嚴重威脅；大批量個人信息泄露、并對國家安全和社會穩定構成特別嚴重威脅；互聯網門戶網站等涉及社會公眾的互聯網應用數據被篡改、發布了影響國家安全和社會穩定的反動信息；其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅和造成特別嚴重影響的數據安全事件.

2) 重大事件.

重大事件包括：重要級商業秘密數據和重要級國家秘密數據通過企業信息網絡泄露或被竊取、篡改、假冒、損毀、違規使用，對國家安全和社會穩定構成嚴重威脅；10萬條以上個人信息泄露，并對國家安全和社會穩定構成嚴重威脅；互聯網應用的數據被篡改，發布了影響國家安全和社會穩定的反動信息；其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅以及造成嚴重影響的數據安全事件.

3) 較大事件.

較大事件包括：企業敏感級數據或大批量內部級數據通過企業信息網絡泄露或被竊取、篡改、假冒、損毀、違規使用，或對企業形象造成較嚴重影響；1萬條以上個人信息泄露，并對國家安全和社會穩定構成較嚴重威脅；重要互聯網應用的數據被篡改，發布了非法信息；互聯網應用的頁面被篡改，發布了影響國家安全和社會穩定的反動信息；其他對國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅以及造成較嚴重影響的數據安全事件.

4) 一般事件.

一般事件包括：企業內部級數據或影響關鍵業務的公開級數據通過企業信息網絡泄露或被竊取、篡改、假冒、損毀、違規使用，或對企業形象造成一般影響；個人信息泄露，并對社會穩定構成一般威脅；互聯網應用的頁面被篡改，發布了非法信息；其他對國家安全、社會秩序、經濟建設和公眾利益構成一般威脅和影響的數據安全事件.

7 問責措施的設計

實施問責措施時可依據發生數據安全事件的級別，嚴格執行問責，將責任層層落實到人[5].針對責任人的問責措施可以采取警告、記過、記大過、降級、撤職、解除勞動合同等行政問責措施,以及警示談話、書面檢查、通報批評等其他問責措施，結合數據安全事件等級可以初步給出如下建議，如表2所示.

表2 數據安全事件追責矩陣

另外，針對責任人受到的處分情況，可以結合企業績效考核措施，給出相應扣減處分，可根據企業自身情況與責任人績效工資綜合考慮.

8 保障措施的設計

8.1 獎勵機制

數據安全獎勵機制可對在數據安全領域作出突出貢獻的先進集體、個人進行獎勵.

獎勵包括：在國家審查、評估工作中表現優異并獲得榮譽的；協助國家相關部門打擊網絡恐怖主義和網絡犯罪、處置重大數據安全事件成績顯著的；在數據安全賽事活動中獲得榮譽的；及時發現和消除公司重大數據安全隱患，及時發現和阻止針對公司重要數據資產的丟失、泄露、篡改、破壞、違規使用等行為的；在數據安全推廣合作中充分展現公司形象的；對國家、社會、行業和公司數據安全工作作出貢獻并得到認可的.

集體獎勵包括：年度績效考核加分、優先推薦參評公司先進集體等榮譽、通報表揚；個人獎勵形式包括：優先推薦參評先進個人等榮譽、優先推薦代表公司參加各大數據安全賽事、通報表揚.

8.2 考核機制

為充分掌握企業數據安全管理現狀，促進數據安全管理目標達成，合理配置數據安全資源，客觀評價單位、部門、人員的數據安全能力，需要建立完善數據安全責任制檢查考核制度.

數據安全考核可分為定性和定量2方面進行制定和細化.數據安全定性考核是以各角色數據安全管理目標為依據，對企業數據安全工作的規范性、達成性進行具體考核.考核內容要結合各角色日常工作中反映的問題，涵蓋管理和技術2大維度.數據安全事件定量考核是指對企業生產經營活動中發生的數據安全事件數量、影響對象、影響程度、處置時效、處置率進行具體考核.

9 結束語

問責制度的完善對于推動數據安全的基礎性保護來說具有重要意義[6].“安全管理，責任先行”，數據安全合規管理體系的落地離不開企業各部門以及一線人員的貫徹和實施.導致安全事件的原因是多方面的，包括安全管理機構不健全、安全管理制度和操作規程不完善、安全保護技術措施不落實、工作人員思想認識和責任意識不到位等一系列原因[7].各企業應當加快厘清數據安全職責邊界和建立完備的問責機制，通過明確數據安全責任驅動企業全員參與數據安全保護工作，建立企業數據安全合規文化，實現數據安全責任全員工覆蓋、數據全生命周期安全管理覆蓋，在履行法律義務的同時，為企業數字化發展營造良好的生產經營環境.