数据安全管理职责划分和追责机制探析

艾 龙

(北京天融信网络安全技术有限公司数据安全治理中心 武汉 430048)

在全球数字经济的背景下，数据安全逐渐成为国家安全的重要组成部分，关系到国家主权的稳固及社会经济的发展.保护关键信息基础设施，运营者是第一主体.在数据安全引起各方广泛关注的背景下，《中华人民共和国数据安全法》(以下简称《数据安全法》)应运而生[1]，其中第4章节“数据安全保护义务”中的第27条明确提出：“重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任.”各行业责任主体急需构建清晰的数据安全组织架构，完善数据安全管理体系，理清数据安全工作职责，明确数据安全事件问责机制，为数据安全管理打上“问责”这块补丁[2]，落实企业数据安全保护义务，保障企业在发生数据安全事件时能够将责任层层落实到人.

1 国内典型实践调研

1.1 某政府机构数据安全职责划分案例

该单位按照“谁所有谁负责、谁管理谁负责、谁运行谁负责、谁使用谁负责”的原则划分数据安全管理职责.网络安全和信息化领导小组负责数据安全的最终决策、监督及指导职能；数据管理部门负责指派数据安全管理团队完成单位数据安全管理要求和标准的制定，组织实施数据安全保护；信息技术部门负责数据安全技术保护能力的建设；风险管理部门负责对各级单位数据安全保护措施落实情况开展检查；各业务部门负责履行数据安全的资产梳理定级、安全需求确定、数据使用及管理审批授权等职责，并应配合数据安全管理方完成数据安全保护及检查评估工作；数据运营部门履行各自责任范围内数据的技术保护措施使用、数据安全运维管理及数据安全应急处置等职责；数据使用部门负责履行所持有、使用、操作数据的安全保护责任.

1.2 某央企数据安全职责划分案例

该公司按照“谁主管谁负责、谁收集谁负责、谁使用谁负责、谁提供谁负责、谁运行谁负责”的原则划分数据安全管理责任.网络安全与信息化领导小组负责公司数据安全方针、策略、总体规划及重大数据安全问题的决策，为开展数据安全工作匹配所需资源；数据管理部门负责公司数据工作统一集中的归口管理、数据分析、运营支撑以及数据安全管理工作的组织、指导、协调和监督；监督审计部门负责公司整体风险管理，以及牵头数据安全审计工作，定期或专项组织实施数据安全审计；系统运行部门负责公司IT系统规划、建设、开发和维护，以及数据安全技术能力建设和支撑.各业务部门负责管理本部门数据安全，对专业工作中收集和产生数据的安全负责.

2 责任主体和职责范围的分析

通过分析《党委(党组)网络安全工作责任制实施办法》，其中对应各级党委、各级网络安全和信息化领导机构、行业主管监管部门等责任主体，对决策、管理、运行、监督等方面的职责进行了划分.所以在企业中，我们结合实际情况，可划分为如下相关角色，如图1所示:

图1 数据安全组织框架

1) 数据安全决策方.

为保证数据安全管理工作的顺利开展及持续保持，企业数据安全管理工作应采取“一把手负责制”，可以以企业信息化领导小组为基础，组建 “数据安全领导小组”，由各业务主管领导担任组员.领导小组担任“数据安全决策方”角色，负责确定数据安全管理要求，定期听取数据安全工作汇报，并指导、监督数据安全管理工作.

2) 数据安全管理方.

由数据安全领导小组指派中高层管理人员作为数据安全负责人，并组建数据安全管理部门.数据安全管理方负责制定数据安全管理与运营制度，组织数据安全管理执行，组织开展数据安全保护、数据安全教育培训等相关工作.

3) 数据安全监督方.

数据安全监督方负责监督、指导各部门管理制度建设和技术保护措施建设，负责定期检查与监督各部门数据安全管理考核指标达成情况.

4) 数据安全运营方.

数据安全运营方负责开展数据安全能力建设、数据安全应急预案与演练、安全监测预警、安全应急处置、安全灾难恢复等相关工作.

5) 数据所有方.

各业务系统的所有部门负责本领域业务数据的分类分级工作，并依据数据分类分级结果，在数据全生命周期执行数据安全管理要求.

6) 数据使用方.

内部和外部数据使用方应依据数据安全级别，在数据使用过程中严格执行数据安全防护工作.

3 数据安全管理框架的设计

设计企业数据安全管理框架时，可基于企业数据安全保护义务来确定基础的管理业务，可以从数据安全规划、数据分类分级、数据安全风险评估、数据生命周期安全管理、数据安全审计监督管理、数据安全应急管理、数据安全教育培训管理这7个管理业务域进行规划，同时将管理体系文件从战略方针、管理要求、规范指导、执行过程逐层细化，如图2所示[3].

在实际工作中，数据安全管理框架还需要充分考虑与企业已有的信息安全管理体系、数据管理体系进行融合或衔接，从而形成全局一致性的规范.

图2 数据安全管理框架

4 责任事项的设计

依据《党委(党组)网络安全工作责任制实施办法》中划定的各责任主体，再依据《数据安全法》中数据处理者的保护义务范围，明确企业内部各相关方责任主体的关键职责，构建完善的数据安全责任矩阵，如表1所示.

1) 数据安全规划管理.

由企业数据安全领导小组牵头，负责贯彻执行上级机构的方针、政策、决定和指示，全面协调、指导和推进数据安全规划管理工作，对重大事项进行决策；数据安全管理部门负责开展具体的规划和体系设计工作，统筹推进数据安全工作的开展，建立跨部门协调机制，制定数据安全年度的考核指标；监督部门负责监督、指导各部门管理制度建设和技术保护措施建设；数据运营方负责开展数据安全能力建设和运营工作；数据所有方负责落实数据安全管理和应用工作.

2) 数据分类分级管理.

由数据安全管理部门组织各业务部门开展数据分类分级工作.各业务部门负责确定数据保护范围、实施数据分类分级；数据运营部门负责提供数据分类分级所需技术能力；监督部门负责指导、监督数据分类分级工作开展.

表1 数据安全责任矩阵

3) 数据安全风险评估管理.

由数据安全管理部门组织各业务部门开展数据安全风险评估工作.各业务部门负责基于业务场景、数据资产重要性来明确数据安全风险，反馈数据安全保护需求；数据运营部门负责提供技术支撑；监督部门负责指导、监督数据安全风险评估工作.

4) 数据全生命周期管理.

由数据安全管理部门组织各业务部门开展数据全生命周期管理工作.各业务部门负责落实数据全生命周期安全管控和保护工作；数据运营部门负责提供数据全生命周期保护所需认证、授权、加密、脱敏、水印等数据安全技术能力；监督部门负责指导、监督数据安全保护工作的开展；数据使用部门依据要求，执行数据安全保护，合理使用数据.

5) 数据安全审计监督管理.

由监督部门负责开展各部门的数据安全审计监督工作，指导和监督各部门落实数据安全管理和执行；数据安全管理部门、各业务部门、数据运营部门、数据使用部门应当积极配合数据安全审计监督，并对审计监督中发现的问题及时整改.

6) 数据安全应急管理.

由数据安全管理部门组织建设企业数据安全应急体系，负责企业数据安全事件的应急预警、响应管理工作；数据运营部门负责提供数据安全应急响应技术支持，组织开展应急工作，统筹协调本单位威胁情报收集、分析研判和应急处置工作；各业务部门、数据使用部门负责配合执行应急处置工作.监督部门负责数据安全事故的调查和问责.

7) 数据安全教育培训管理.

由数据安全管理部门组织各业务部门开展.各业务管理部门、数据运营部门、数据使用部门需要积极参与数据安全教育培训.监督部门负责指导、监督数据安全教育培训工作开展.

5 问责主体的分析

问责主体包含导致安全事件直接发生的主要责任人和次要责任人，以及主要、次要责任者所在部门管理人员、事发单位管理部门人员、事发单位负责人等相关主体.根据事件调查结果，分别追究其主/次要责任、监督责任、管理责任、主体责任.

1) 主/次要责任.

未执行数据安全业务规程、规定；未执行数据安全作业指导书、工作方案等有关安全措施、作业流程、操作步骤，违反劳动纪律等.

2) 管理责任.

未制定数据安全作业指导书和工作方案或有关内容不具体、不切合实际；未识别数据安全风险；未实施数据安全保护措施；未落实本单位数据安全技术措施部署和要求；未履行数据安全意识教育培训制度；未制定或完善数据安全规程规定；未确保本单位数据安全运营和风险管理制度执行到位；未执行安全事件应急措施计划等.

3) 监督责任.

未指导和监督本单位数据安全规章制度和运行维护规程规定有效完善；未督促检查本单位数据安全保护工作落实到位.

4) 主体责任.

未建立健全本单位各级数据安全工作责任制；未组织落实监管部门下达的安全事件防范措施；未保障本单位数据安全保护的资源投入有效实施；未确保数据安全风险及时消除等.

6 启动问责的条件

《党委(党组)网络安全工作责任制实施办法》规定了2种启动问责的条件：一是根据行为；二是根据后果.从行为分析：责任人若存在未履行相关职责或者违反相关要求不作为、乱作为的行为，则按有关规定追究其相关责任.从结果分析：根据安全事件类型和事件级别对相关的主/次要责任人、管理责任人、监督责任人、主体责任人进行问责.

数据安全事件可以从泄露、窃取、篡改、毁损、丢失、非法使用进行分类，然后可根据GB/Z 20986—2007《信息安全技术 信息安全事件分类分级指南》将事件级别划分为特别重大事件、重大事件、较大事件、一般事件4个级别[4].

数据安全事件中的客体是数据，所以事件的等级可依据数据分类分级进行判定，实现问责措施与数据分类分级的关联.在行业没有明确分类分级标准的情况下，可参考全国信息安全标准化技术委员会在2021年9月发布的TC260-PG-20212A《网络安全标准实践指南——数据分类分级指引(征求意见稿)》将单位数据分为核心级、重要级、敏感级、内部级、公开级5个级别，并继续关注国家和行业相关标准及时进行调整和迭代.

1) 特别重大事件.

特别重大事件包括：核心级商业秘密数据和核心级国家秘密数据通过企业信息网络泄露或被窃取、篡改、假冒、损毁、违规使用，对国家安全和社会稳定构成特别严重威胁；大批量个人信息泄露、并对国家安全和社会稳定构成特别严重威胁；互联网门户网站等涉及社会公众的互联网应用数据被篡改、发布了影响国家安全和社会稳定的反动信息；其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁和造成特别严重影响的数据安全事件.

2) 重大事件.

重大事件包括：重要级商业秘密数据和重要级国家秘密数据通过企业信息网络泄露或被窃取、篡改、假冒、损毁、违规使用，对国家安全和社会稳定构成严重威胁；10万条以上个人信息泄露，并对国家安全和社会稳定构成严重威胁；互联网应用的数据被篡改，发布了影响国家安全和社会稳定的反动信息；其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁以及造成严重影响的数据安全事件.

3) 较大事件.

较大事件包括：企业敏感级数据或大批量内部级数据通过企业信息网络泄露或被窃取、篡改、假冒、损毁、违规使用，或对企业形象造成较严重影响；1万条以上个人信息泄露，并对国家安全和社会稳定构成较严重威胁；重要互联网应用的数据被篡改，发布了非法信息；互联网应用的页面被篡改，发布了影响国家安全和社会稳定的反动信息；其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁以及造成较严重影响的数据安全事件.

4) 一般事件.

一般事件包括：企业内部级数据或影响关键业务的公开级数据通过企业信息网络泄露或被窃取、篡改、假冒、损毁、违规使用，或对企业形象造成一般影响；个人信息泄露，并对社会稳定构成一般威胁；互联网应用的页面被篡改，发布了非法信息；其他对国家安全、社会秩序、经济建设和公众利益构成一般威胁和影响的数据安全事件.

7 问责措施的设计

实施问责措施时可依据发生数据安全事件的级别，严格执行问责，将责任层层落实到人[5].针对责任人的问责措施可以采取警告、记过、记大过、降级、撤职、解除劳动合同等行政问责措施,以及警示谈话、书面检查、通报批评等其他问责措施，结合数据安全事件等级可以初步给出如下建议，如表2所示.

表2 数据安全事件追责矩阵

另外，针对责任人受到的处分情况，可以结合企业绩效考核措施，给出相应扣减处分，可根据企业自身情况与责任人绩效工资综合考虑.

8 保障措施的设计

8.1 奖励机制

数据安全奖励机制可对在数据安全领域作出突出贡献的先进集体、个人进行奖励.

奖励包括：在国家审查、评估工作中表现优异并获得荣誉的；协助国家相关部门打击网络恐怖主义和网络犯罪、处置重大数据安全事件成绩显著的；在数据安全赛事活动中获得荣誉的；及时发现和消除公司重大数据安全隐患，及时发现和阻止针对公司重要数据资产的丢失、泄露、篡改、破坏、违规使用等行为的；在数据安全推广合作中充分展现公司形象的；对国家、社会、行业和公司数据安全工作作出贡献并得到认可的.

集体奖励包括：年度绩效考核加分、优先推荐参评公司先进集体等荣誉、通报表扬；个人奖励形式包括：优先推荐参评先进个人等荣誉、优先推荐代表公司参加各大数据安全赛事、通报表扬.

8.2 考核机制

为充分掌握企业数据安全管理现状，促进数据安全管理目标达成，合理配置数据安全资源，客观评价单位、部门、人员的数据安全能力，需要建立完善数据安全责任制检查考核制度.

数据安全考核可分为定性和定量2方面进行制定和细化.数据安全定性考核是以各角色数据安全管理目标为依据，对企业数据安全工作的规范性、达成性进行具体考核.考核内容要结合各角色日常工作中反映的问题，涵盖管理和技术2大维度.数据安全事件定量考核是指对企业生产经营活动中发生的数据安全事件数量、影响对象、影响程度、处置时效、处置率进行具体考核.

9 结束语

问责制度的完善对于推动数据安全的基础性保护来说具有重要意义[6].“安全管理，责任先行”，数据安全合规管理体系的落地离不开企业各部门以及一线人员的贯彻和实施.导致安全事件的原因是多方面的，包括安全管理机构不健全、安全管理制度和操作规程不完善、安全保护技术措施不落实、工作人员思想认识和责任意识不到位等一系列原因[7].各企业应当加快厘清数据安全职责边界和建立完备的问责机制，通过明确数据安全责任驱动企业全员参与数据安全保护工作，建立企业数据安全合规文化，实现数据安全责任全员工覆盖、数据全生命周期安全管理覆盖，在履行法律义务的同时，为企业数字化发展营造良好的生产经营环境.