数据安全生命周期

数据安全生命周期，是从数据的安全收集或生成开始，覆盖数据的安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，直到安全销毁为止的全过程安全保障机制。

对于数据的隐私生命周期，一般分为以下几个阶段：

• 告知数据主体（隐私声明或通知）
• 数据主体选择和同意
• 数据安全收集或生成
• 数据安全传输
• 数据安全存储与留存期管理
• 数据安全使用
• 数据流转与出境
• 数据披露
• 数据销毁

数据的安全传输

传输信息应使用HTTPS或其他加密通道。
在外网传输，首选HTTPS加密传输机制，推荐采用统一的接入网关，统一管理证书私钥，统一启用HTTPS。
在内网传输，可考虑RPC加密传输、HTTPS等机制，加密传输敏感数据。

数据安全存储与留存期管理

一般对以下数据采取加密存储措施：

• 口令、密钥，包括数据库、配置文件中的口令和密钥。
• 敏感的个人隐私数据。
• 敏感的UGC数据（用户生成内容）。

至于业务数据，则需要权衡，特别是涉及检索、排序、求和计算等场景。

在留存期方面，主要涉及两类数据。

• 第一类是数据主体的身份类数据，通常是收集一次后，如无更正需求，则存储较长的时间，直至产品下线或用户销户，删除相应的数据。
• 第二类是在注册后的活动过程中生成的，比如支付/消费记录、运动记录等，应按设定的留存期，到期自动删除或删除对应的加密密钥。

数据的安全使用

在数据使用、留存、存储的过程中，需要采取必要的安全控制措施，来保障个人数据的安全，这部分通常包括：

• 访问数据需要基于身份执行授权、访问控制、审计机制。
• 授权，比如除了用户自己，授权其好友查看其朋友圈信息。
• 访问控制，比如防止数据库直接对外开放或存在弱口令。
• 留存期管理，对于支付/消费记录、运动记录等，应按设定的留存期，到期自动删除或删除对应的加密密钥。
• 数据的展示，有的数据是不能展示的，比如口令、用于身份认证的生物特征等，有些数据是需要脱敏展示的，比如姓名、手机号码、地址、银行卡号等。
• 数据对外披露，数据在披露前，应当采取严格的脱敏、去标识话等措施、披露给数据处理者之前应当先进行尽职调查及签署DPA。

数据流转

要最大程度的发挥数据的价值，根本在于促进其流动，无论何种主体以何种方式开展数据治理，其核心都是要推动数据自由、安全的流动，以最大程度的挖掘和释放数据的价值。

阻碍数据顺畅流动的主要掣肘因素有两个：

• 数据产权问题，国内层面称为数据产权问题，国际层面称为数据主权问题；
• 数据安全问题，目前社会主要聚焦于个人数据，即个人信息保护。

数据流转的方式主要包括数据开放、数据交换和数据交易等。

• 《贵阳大数据交易所702公约》大数据交易中，交易不涉及原始数据中携带的个人隐私等信息，其交易对象是经过数据清洗、分析后的衍生数据，因此不存在用户人格利益受损的问题。
• 《贵阳大数据观山湖公约》数据确权主要是确定数据的权利人，即谁拥有数据的所有权、占有权、使用权、收益权。

数据安全流转的总体目标是：在数据开放共享过程中保障数据的完整性、保密性和可用性，防止数据丢失、被篡改、假冒、泄露和窃取。

实现这个目标具体实现可以分为管理制度、数据安全标准体系、数据安全技术三大块。

管理制度

• 数据提供注册制度：数据提供方所提供的数据应明确清晰，便于数据泄露后溯源；
• 数据授权许可制度：数据提供方应做好对第三方的背调和评估，并保证数据传输的加密和脱敏；
• 数据登记使用制度：数据提供方应做好对传输出去数据的登记，便于管理；
• 数据安全保密管理制度：明确数据交换需遵循的原则及交换过程中的数据安全管理要求；

数据安全标准体系

• 基础类标准：为数据开放共享安全标准体系提供包括角色、模型、框架等基础概念；
• 平台技术类标准：针对数据开放共享所依托的平台制定平台和技术类标准；
• 数据安全类标准：主要包括数据的安全管理与技术标准，覆盖数据生命周期的数据安全；
• 服务类安全标准：针对数据开放、交换、交易等应用场景，提出共享服务安全类标准。

数据安全技术

安全监测、数据脱敏、访问控制、追根溯源等，实现数据安全的可监测、可管控、可追溯。

对于数据的安全流转，建议不提供原始数据，而是封装为数据服务，插入可唯一定位到具体业务的追踪字段，提供脱敏的数据查询接口，为其他业务建立相应的账号并为其授权、限定查询频率、记录查询日志等。
如果不得不提供原始数据时，可考虑插入一些可唯一定位到对方业务的假数据，用于数据批量泄露时定位泄露责任方。

以数据接口向其他业务提供数据的方式，需要其他业务需求方承诺或签署保密协议，禁止缓存、禁止删除追踪字段，并在对方业务上线时检查执行情况。

关于个人存取或纠正企业拥有的个人数据请求的场景，应当注意：

• 认真对待法律法规规定的回应期限；
• 验证请求人的身份，避免向错误的人披露个人数据；
• 具备相应的政策和流程来快速回应请求；
• 如果请求属于豁免情形且公司决定实施豁免，应该在要求的时间期限内给出书面拒绝的通知以及这么做的理由；
• 如果存在技术困难而不能在规定的期限内回应请求，应该制定计划尽快改进这一情况。

数据出境

如果是国内收集或生成的数据，默认应在境内存储。如果要向境外转移，需要经过严格的评估，并咨询企业法务部门的意见。

如果是手机APP等直接涉及个人数据出境的场景，至少应征得用户的明示同意。明示同意包括在隐私声明中主动明确地告知、用户主动勾选同意。

企业可以对自身的数据出境进行自评估，对于满足相应条件的数据出境，企业需报告行业监管部门或国家网信部门进行监管机构评估。

数据出境安全风险自评估应先评估数据，判断其出境目的，如果数据出境的目的不具有合法性、正当性和必要性，那么数据不得出境。
其中，合法性是指数据不属于法律法规明令禁止的，或国家网信部门、公安部门、安全部门等有关部门认定不能出境的类型；正当性是指数据出境必须经个人信息主体同意，并且不违反相关主管部门的规定；必要性则是指由于履行合同义务，或由于政府与其他国家和地区、国际组织签署的条约及协议，数据必须出境。

完成对出境目的的评估后，应再对数据出境安全风险进行评估。评估数据出境的安全风险，应综合考虑出境数据的属性、数据出境发生安全事件的可能性及影响程度。

从数据属性来看，个人信息数据应从数据类型、数量、范围、敏感程度和技术处理等角度进行评估；重要数据应从数据类型、数量、范围和技术处理等角度进行评估。
从数据出境安全事件的可能来看，应从发送方数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施，以及数据接收方所在国家和地区的政治法律环境等角度进行评估。出境安全风险等级判定为高或极高的数据，禁止其出境。

对于不满足合法、正当、必要这三大要求或经评估后不满足风险可控要求的数据出境计划，企业可对其进行修正，或采用相关措施降低数据出境风险，并重新开展风险评估。

关于跨国传输数据

1. 最严级别例如印度，采取完全禁止本国数据出境，也就是说，本国的数据必须保存在本国境内的存储设备上，他国跨境公司想要进入本国市场，就必须在本国境内建立数据中心以存储本国公民数据。
2. 第二级别例如俄罗斯、澳大利亚等，采取禁止特定数据出境。呈现这种本地化形态的国家只要求特定类型的数据留在境内。
3. 第三级别例如欧盟、韩国等，他们规定只要数据满足法律规定的条件，就可以自由出境。这种情况下达到数据出境的条件分为两种，一种是需要进行安全评估后方可跨国传输，另一种是需要征得数据主体同意后方可出境。

数据销毁

在实践中，真正做到安全意义上的销毁或不可用难度还是相当高的。
在数据销毁阶段，组织需要采取必要的安全措施，一般情况下，当用户提出删除请求时，如彻底删除或物理销毁数据存储介质，以确保数据彻底销毁且无法恢复。或者通过删除对应记录的密钥的方式，让备份中的原始加密数据不再可用。
同时，还需要对销毁的数据进行记录和备案，以便于后续的审计和追溯。