建立元数据合规管理 助力企业降本增效

为进一步落实工业和信息化部关于治理APP侵害用户权益工作部署，近期，针对督导检查中发现区内中小微互联网企业存在的技术力量薄弱、数据处理合规水平低、合规意识淡薄等突出问题，宁夏管局坚持问题导向、目标导向，深入企业指导建立全生命周期数据安全管理体系，帮助企业解决实际困难。

通过和多家企业技术人员沟通，企业存在APP上架审核通过率低、不知道如何进行合规、合规成本高等难题，宁夏通信管理局组织技术力量，帮助企业梳堵点、排难点，以相关应用场景未对需要收集使用的数据进行定义和描述、数据应用场景的定义和描述不准确、未划分不同类型的数据存储方式为突破口，帮助企业从系统分析阶段即建立元数据、数据字典合规管理，并组织企业技术人员学习相关法律法规和标准规范，按照合法、正当、最小必要、分类分级等原则建设全生命周期数据管理机制。

一是分类标记数据。根据不同场景处理的数据类型，按照敏感性和重要性分类分级，将需要收集使用的用户人脸、指纹等生物信息标记为高度敏感，并设置相应等级的数据处理安全措施。二是建立数据访问控制权限分配表。按角色对开发及运营人员设定细粒度权限，防止未经授权的用户访问或修改数据，提高权限管理效率和数据的安全性。三是数据合规存储销毁。对照法律法规要求制定数据存储规范，明确敏感信息的脱敏和去标识化处理手段，设置存储期限届满告警机制和处理措施，对存储届满数据应销尽销，减少数据泄露风险。四是定期进行数据审计。监控数据的访问和使用，设置异常访问报警提醒，确保所有操作均符合合规性要求。五是保障用户权利。仔细梳理相应法律法规要求，建立用户权利响应手段和流程，确保用户能够行使访问、更正、删除、携带等基本诉求，保护用户合法权益。

授人以鱼不如授人以渔，此次将合规手段前置，不但帮助企业建设全生命周期数据安全管理，提高企业技术人员合规水平和APP上架通过率，而且还助力企业降低了因合规问题产生的经营风险，减少了合规成本，推进我区相关中小微互联网企业健康发展。