标签归档:数据安全

美国国土安全部《数据安全业务咨询》报告:推荐行动

推荐行动

在中国经营的企业、个人与中国公司、实体合作时应仔细检查任何提供数据访问权限的业务关系——无论是商业机密、商业秘密、客户个人身份信息(PII),还是其他敏感信息。企业应识别其拥有的敏感个人和专有信息。在可能的情况下,企业应尽量减少在中国或中国当局可接触到的地方存储和使用的风险数据的数量。稳健的尽职调查和交易监控对于应对潜在的法律风险、声誉风险以及数据和知识产权窃取给竞争对手带来的不公平优势也是至关重要的。企业应设法彻底了解数据服务提供商的所有权、数据基础设施的位置、任何相关的外国业务关系和重要的外国投资者。服务条款/合同协议应明确说明数据的存储地点、谁能访问数据,以及在不遵守法律要求的情况下如何分配责任。法律选择、法院选择和仲裁条款应列出中国以外的可信司法管辖区。如果数据流的潜在路径未知,则应使用由不在中国境内经营的公司提供的强大加密技术。

对于最敏感的数据,另一个减少风险的步骤是寻找知名的替代服务和设备供应商。在确定一个供应商是否 “值得信赖 “时,应进行严格的评估,考虑到法治、安全环境、供应商的道德做法以及供应商对安全标准和行业最佳做法的遵守情况。以下清单提供了应被视为特别敏感的数据类型的例子:

  1. 与出口管制产品有关的技术和其他数据
  2. 与“中国制造2025”和中国其他规划中确定的新兴技术有关的知识产权,包括商业秘密
  3. 生物技术、基因组数据和医学检验数据
  4. 个人身份信息和其他敏感信息
  5. 地理位置数据

各机构在中国开展业务时应保持警惕,IT运营商应确保将其网络基础设施与任何外部软件的使用进行适当划分。此外,在中国经营的企业应制定协议,以应对中国当局对潜在敏感信息的要求。特别是,美国企业在收到任何此类要求时,应通知美国驻北京大使馆的法律专员。

建议美国企业实施适当的网络安全保障措施。网络安全是一个反复的过程,需要企业识别、检测和优先考虑网络的风险,并不断调整其保障措施。企业应该熟悉美国国家标准与技术研究所(NIST)发布的网络安全框架,这是一个自愿性的框架,包括管理网络安全风险的标准、指南和最佳实践。这些应对措施并不全面,但作为多层次数据安全政策的一部分,将有所帮助。