許三少142022-09-21 16:50:37

外部共享資料是指企業在經營過程中，自身採集的資料分發共享至外部合作單位的過程。

企業按照國家法律法規與行業主管部門規章要求，向行業主管與監管部門等有關機構履行資料報送義務的情況，也屬於資料外部共享範疇。

與外部機構共享資料時，應充分重視資訊保安風險。

具體要求如下：

1、資料共享行為不得超過資料交換需求評審中確定的資料範圍，應建立規範的資料共享稽核流程，由資料共享的業務方、共享資料在組織機構內部的管理方、資料共享的安全管理團隊，以及資料共享具體風險判定的相關方。

2、透過圖片、PDF、EXCEL 檔案等線下方式進行資料共享電子資料時，應採用檔案加密、檔案水印、補充法律宣告等形式保障資料的安全性，安全責任落實到人；

3、透過介面等線上方式進行資料共享時，應具備有效驗證呼叫者身份的技術手段；

4、如共享資料涉及個人身份資訊時，依據業務需求應採用去標識化（含加密技術）等方式進行資料脫敏；

5、應將資料對外共享納入企業的應急響應機制，在發生資料外部共享相關的資料洩露事件或違規違約行為時，應及時採取相應的緩解措施，並執行安全事件應急處置流程。

應定期對資料接收方進行現場檢查，檢查資料使用、資料儲存以及資料使用後銷燬等環節，保證協議的有效執行；

6、對共享的資料進行安全審計和日誌審計，對傳遞資料的內容、用途、量級，資料接收方情況、使用時長、資料是否收回等情況進行說明與審批，有關記錄留檔備查；

7、建立基於溯源資料的資料業務與法律法規合規性稽核機制，並依據稽核結果，增強或改進資料服務相關的訪問控制與合規性保障機制和策略。