制定数据访问规则

数据访问规则（面向数据治理负责人发布）

1. 目的
- 建立统一的组织级数据访问规范，确保数据使用合法、合规、可控、可追溯，降低数据泄露、误用及质量风险。
- 明确数据访问职责与流程，落实最小权限与用途限制原则，支持业务合规与高质量数据使用。

2. 适用范围
- 适用于组织内所有数据资产（结构化、半结构化、非结构化），包括生产、测试、备份、日志及分析数据。
- 适用于人类用户、服务账号、API调用、第三方及合作伙伴访问。
- 涵盖本地、云端及混合环境。

3. 术语与定义
- 数据所有者（Data Owner）：对数据用途、分级与授权负责的业务负责人。
- 数据管理员/数据管家（Data Steward）：负责元数据、质量规则、标签与数据可用性管理。
- 数据使用者（Data Consumer）：申请并使用数据的人员或系统。
- 个人信息与敏感个人信息：依适用法律的定义，由法务/隐私负责人解释与确认。
- 受监管数据：受行业或法律监管的数据（如金融、医疗等），需执行额外控制。

4. 数据访问原则
- 合法合规：访问必须具备合法性基础并符合适用法律法规和合同义务。
- 最小权限：仅授予完成工作所需的最低数据范围与时间窗口。
- 用途限制：数据仅用于获批用途，不得二次用途或扩展用途。
- 默认拒绝：未授权的数据访问请求默认拒绝。
- 隔离与分离职责：生产与非生产环境、审批与执行、开发与运维相互隔离。
- 可追溯性：访问与处理活动全量记录，可审计、可回溯。
- 数据质量：仅从认证数据源访问，遵循数据质量与校验要求。

5. 数据分类与标签
- 分级标准（至少包含以下四类）：
  - 公开：可对外公开的数据。
  - 内部：内部使用但非敏感数据。
  - 机密：可能造成业务损失的数据（如财务、商业信息）。
  - 受限：个人信息、敏感个人信息、受监管数据或高风险数据。
- 标签要求：为数据集维护标签（例如 PII、SPI、财务、医疗、支付、商业秘密、地理位置等）。
- 元数据登记：每个数据集须在数据目录登记所有者、分级、标签、用途、保密期限、保留策略及访问条件。

6. 角色与职责
- 数据治理负责人：制定和维护本规则、监督执行、度量与改进、例外管理与跨域协调。
- 数据所有者：定义访问条件与用途限制，审批高风险访问，负责数据分级与变更。
- 数据管理员（Steward）：维护元数据与数据质量规则，实施脱敏/遮蔽策略，参与风险评估。
- 信息安全与隐私/法务：提供技术和法律合规要求，执行审计与合规评估（如DPIA/安全评估）。
- IAM/IT：落实身份与权限配置、实现技术控制与监控。
- 业务负责人：确认业务必要性与用途，承担使用合规性责任。

7. 授权与审批流程
- 申请前置条件：
  - 完成数据安全与隐私培训并通过考核。
  - 在工单系统提交用途说明、数据集标识、访问级别（读/写/导出/分析）、预期期限、业务必要性证明。
  - 对涉及个人信息或受监管数据的申请，附合规评估或隐私影响评估结论（必要时）。
- 风险分级审批：
  - 低风险（内部、非个人信息）：数据所有者或其委托人审批。
  - 中风险（机密数据、有限范围个人信息）：数据所有者+数据治理/信息安全双审批。
  - 高风险（受限数据、敏感个人信息、跨境传输、批量导出）：数据所有者+数据治理负责人+隐私/法务+信息安全审批。
- 授权时效：权限设定有效期，到期自动失效；超过90天的长期授权需说明并季度复核。
- 证据留存：审批记录、用途说明、合规评估、培训记录、数据共享协议等需在工单与文档系统留档。

8. 访问控制技术要求
- 身份管理：统一身份认证（SSO）与多因素认证（MFA）；强密码策略与会话超时；禁止共享账号。
- 权限模型：优先采用角色/属性混合模型（RBAC/ABAC），基于用户角色、数据分类、用途、环境、风险评分授予权限。
- 细粒度控制：列级/行级权限、动态数据遮蔽/脱敏、按用途限定可见字段。
- 环境与网络：
  - 生产/非生产隔离；非生产环境使用脱敏或合成数据。
  - 零信任网络访问；对受限数据启用网络分段与堡垒机。
- 数据保护：
  - 加密传输与静态加密；密钥由专用服务管理，定期轮换与分权管控。
  - DLP与内容检测，防止非授权导出、外发与复制。
  - API访问采用密钥或OAuth，启用速率限制、配额与异常检测。
- 端点与设备：
  - 仅允许受管设备访问受限数据；启用磁盘加密、屏幕水印、剪贴板限制（按需）。
  - 禁止将受限数据保存在本地未加密介质、个人云盘或未经批准的协作工具。
- 日志与审计：
  - 记录身份、时间、资源、查询条件、返回量、导出行为、目的与来源。
  - 对高风险数据启用实时监控与告警；日志保留期依合规要求设定（不低于法定期限）。

9. 数据共享与外部访问
- 第三方尽职调查：安全与隐私评估、数据处理协议（DPA）、用途与保留期限界定、分包商约束、删除与返还条款。
- 传输安全：端到端加密、完整性校验、访问令牌最小化、密钥分离管理。
- 跨境传输：遵循适用法律与监管要求（例如个人信息保护法、数据安全法、网络安全法、GDPR等）；执行必要的合规机制（如标准合同、合规评估、安全评估）。由法务确认具体适用要求。
- 开放接口与公共发布：仅发布匿名化或聚合数据；进行重识别风险评估；设置访问配额与监控。

10. 特权与紧急访问
- 特权管理：通过PAM实现跳板与会话录制，采用按需（Just-in-Time）授权；必须双人审批。
- 紧急访问（Break-glass）：限定触发条件（如重大故障、安保事件），授权时限不超过24小时，事后在48小时内完成复盘与撤权。

11. 例外管理
- 必须文档化并设定到期时间，执行补偿性控制（加密、审计增强、数据范围收缩）。
- 风险接受需由数据所有者与数据治理负责人共同签署，高风险例外需隐私/法务与信息安全同意。
- 所有例外进入台账，按期复审与关闭。

12. 生命周期与复审
- 入职与转岗：基于岗位模板授予，变更时重新评估并在24小时内撤销不再需要的权限。
- 离职：在当日内禁用账号并撤销所有访问；保留必要审计记录。
- 定期再认证：受限数据每季度、机密数据每半年、内部数据每年进行访问再认证。
- 权限清理：对超过90天未使用的权限自动回收。

13. 数据质量与使用约束
- 访问者应使用认证数据源与受控分析平台，不得从非授权源抽取数据。
- 在报告、模型或共享产出中标注数据来源、版本与处理过程，确保可重复与可追溯。
- 对影响决策的输出进行质量校验；发现质量问题应提交数据质量工单并通知数据管理员。

14. 数据主体权利与个人信息合规
- 访问个人信息需具备合法性基础（如履行合同、法定义务、取得同意等），用途与范围必须与基础相符。
- 响应数据主体请求（访问、更正、删除等）按隐私流程处理；访问活动与响应记录需留存。
- 禁止对敏感个人信息进行未批准的分析、画像或自动化决策；必要时进行隐私影响评估。

15. 违规处理
- 违规分级响应：立即冻结相关访问、调查、出具整改计划；严重违规上报管理层与法务。
- 处置措施包括撤权、培训强化、纪律处分及合同制裁（对第三方）。

16. 度量与报告
- 关键指标：未及时撤权率、异常访问率、审批超时率、合规例外数量、数据泄露事件数、再认证完成率。
- 数据治理负责人每月向管理层汇报指标与改进计划。

17. 文档与证据管理
- 保存审批工单、培训记录、DPIA/安全评估、数据共享协议、权限清单与审计日志。
- 文档保留期限与销毁要求由法务与合规规定。

附录（示例）
- 访问申请模板字段：数据集标识、分级与标签、用途描述、所需权限类型（读/写/导出/分析）、访问期限、业务负责人确认、风险评估结论、合规附件。
- 控制矩阵要点：按分级映射认证强度、审批层级、脱敏要求、环境限制、日志与监控级别、再认证周期。

数据访问规则（面向信息安全与合规经理）

1. 目的
- 建立统一、可审计的数据访问规则，确保访问行为符合最小权限、合法合规、数据质量与安全要求。
- 明确信息安全与合规经理在数据访问治理中的职责与审批权限。

2. 适用范围
- 适用于组织内所有数据资产（结构化与非结构化）、信息系统与数据平台（本地与云）、生产与非生产环境。
- 涵盖员工、承包商、第三方服务商及系统账号的访问活动。

3. 角色与职责
- 信息安全与合规经理（IS&C Manager）
  - 拥有数据访问政策与标准的制定、发布与更新责任。
  - 对高风险与受限数据访问进行审批或复核；管理例外与应急访问。
  - 监督访问控制实施、监控与审计；主导周期性访问复核与合规评估。
  - 协调法律、隐私、数据所有者、IT/IAM、数据管理团队，确保访问合规与可审计。
- 数据所有者（数据访问规则（面向信息安全与合规经理）

1. 目的
- 建立统一、可审计的数据访问规则，确保访问行为符合最小权限、合法合规、数据质量与安全要求。
- 明确信息安全与合规经理在数据访问治理中的职责与审批权限。

2. 适用范围
- 适用于组织内所有数据资产（结构化与非结构化）、信息系统与数据平台（本地与云）、生产与非生产环境。
- 涵盖员工、承包商、第三方服务商及系统账号的访问活动。

3. 角色与职责
- 信息安全与合规经理（IS&C Manager）
  - 制定、维护并发布数据访问政策、标准与程序。
  - 对高风险与受限数据访问进行审批或复核；管理访问例外与应急访问。
  - 监督访问控制实施、监控与审计；主导周期性访问复核与合规评估。
  - 负责违规处置与监管报备协调；输出合规与安全度量指标与报告。
- 数据所有者（Data Owner）
  - 确认数据分类与敏感级别；设定业务访问准入条件与审批标准。
  - 审批所属数据的访问请求；参与周期性访问复核。
- 数据管理员/数据管家（Data Steward）
  - 维护元数据与数据质量规则；控制写入、更改与删除权限。
  - 参与生产与非生产数据脱敏、取样与共享控制。
- 系统/平台所有者（System Owner）
  - 实施技术访问控制；保障日志、加密与隔离措施生效。
- 身份与访问管理团队（IAM）
  - 配置与回收账户、角色与权限；保障认证与授权机制合规。
- 法务与隐私（Legal/DPO）
  - 确认法律合规要求、跨境传输条件与合同义务；评审高风险访问。

4. 术语与数据分类
- 数据分类（最小四级）
  - 公开：可对外公开，无合规限制。
  - 内部：仅内部使用，低风险。
  - 机密：涉及商业敏感或非公开策略，访问受控。
  - 受限（敏感/监管）：涉及个人敏感信息、财务、医疗、支付等受监管数据，访问严格限制。
- 受监管数据示例（按适用性执行）
  - 个人信息与敏感个人信息：受个人信息保护法（PIPL）等约束。
  - 支付卡数据：受PCI DSS约束。
  - 医疗健康数据：如适用，受相关卫生健康法规约束。
  - 若涉及欧盟主体数据，适用GDPR；涉及中国境内数据，适用数据安全法（DSL）、网络安全法（CSL）与PIPL。

5. 总体原则
- 最小权限与知情需要：仅授予完成特定业务目的所必需的最小访问级别。
- 目的限制与数据最小化：访问与处理范围与用途必须与已记录的业务目的一致。
- 可审计性：所有访问被记录、可追溯、可复核。
- 职责分离（SoD）：审批、配置、审核、使用分属不同角色，避免利益冲突。
- 默认拒绝：无审批与合规依据的访问一律不授权。
- 零信任条件访问：结合身份、设备、位置、风险评分动态授权。

6. 访问控制模型
- 采用RBAC为基础，结合ABAC实现细粒度控制：
  - RBAC：按岗位与职责授予标准化角色。
  - ABAC：基于属性（数据分类、地理位置、设备合规、时间段、网络环境、监管要求）进行条件授权。
- 高风险操作需强制多因素认证（MFA）与实时风险评估。

7. 授权流程（标准化）
- 提交请求：通过工单/门户提交，包含业务目的、数据范围、时限、输出方式。
- 合法性与必要性验证：数据所有者与隐私/法务视情参与，确认目的与合规依据（如同意、合同、合法权益等）。
- 风险评估：IS&C经理或指定团队评估数据敏感级别、共享范围、传输路径、输出风险、越权可能性。
- 审批分级：
  - 公开/内部：数据所有者审批，IAM执行。
  - 机密：数据所有者审批，IS&C经理复核。
  - 受限：数据所有者+IS&C经理联合审批；必要时隐私/法务并行评审。
- 配置与验证：IAM按批准配置；系统所有者验证访问生效与日志记录。
- 时限与到期：所有访问设定到期时间（默认≤90天，受限数据≤30天），到期自动回收。
- 通知与登记：在数据目录/权限登记中记录访问授权详情。

8. 身份与认证要求
- 强制SSO与MFA：对机密与受限数据的访问必须启用MFA。
- 特权访问管理（PAM）：对数据库管理员、平台管理员与批量导出权限采用PAM与临时凭据（JIT）。
- 会话安全：高风险操作需二次确认与再认证；闲置会话自动断开。
- 密钥与凭据：集中保管，禁止共享账户与硬编码凭据。

9. 数据读/写与导出规则
- 读取（Read）
  - 禁止未经批准的批量下载与离线副本；默认在受控工作区访问。
  - 对受限数据启用查询阈值、速率限制与行为分析；必要时采用差分隐私或聚合输出。
  - 输出前执行数据最小化与去标识化（脱敏、掩码、伪匿名化）原则。
- 写入/更改/删除（Write/Change/Delete）
  - 仅数据管家或经授权的应用服务可更改主数据与关键事实；需双人复核与变更记录。
  - 变更前执行数据质量校验（完整性、唯一性、一致性、约束检查）；保留版本与回滚方案。
  - 架构/模型更改需变更管理流程审批，并更新元数据与血缘。
- 导出与分发
  - 仅通过批准渠道（安全文件传输、受控API、加密报表）；严禁个人邮箱、个人云盘、可携式介质。
  - 受限数据导出需水印、访问令牌绑定与可撤销链接；记录接受方与目的。

10. 非生产环境与数据脱敏
- 非生产环境禁止使用未脱敏的受限或机密数据。
- 如确需使用真实数据，需进行风险评估与联合审批（数据所有者+IS&C经理+隐私/法务），采用最小子集与强脱敏/令牌化。
- 测试与开发人员仅访问与任务相关的最小数据范围；禁止重识别尝试。

11. 内部共享与外部传输
- 内部共享需登记数据集、共享范围、目的与时限；通过数据目录公开可发现性与访问条件。
- 外部共享与跨境传输需：
  - 合法性评审与数据处理协议（DPA）；
  - 加密传输（TLS/SSH）与静态加密；限制再共享；
  - 如涉及跨境个人信息，履行跨境合规要求（如安全评估、认证或标准合同），由法务确认适用路径。

12. 第三方访问
- 供应商与承包商须完成安全与隐私尽职调查；签署DPA/保密协议；明确数据处理目的与范围。
- 采用独立账户、最小权限与时间限制；访问活动全量日志。
- 定期复核第三方权限；终止合作后立即撤销访问与销毁数据或返还。

13. 合规要求
- 执行适用法律与标准：个人信息保护法（PIPL）、数据安全法（DSL）、网络安全法（CSL）；涉及境外主体时遵守相关域内法规（如GDPR）。涉及支付卡数据遵从PCI DSS。其他行业要求由法务确认。
- 记录法律依据与数据主体权利保障措施（告知、同意、撤回、访问、删除、限制处理等）在访问流程中得到体现。

14. 监控、日志与审计
- 全量记录访问日志：身份、时间、数据集、操作类型、来源、输出通道、审批凭证。
- 日志保留期不短于法规或合同要求；默认建议≥12个月，受限数据环境中≥24个月。
- 集成SIEM与UEBA进行异常检测；对高风险行为启用实时告警。
- 定期审计访问控制与执行情况；输出整改计划与证据。

15. 周期性复核与撤销
- 访问权限按周期复核：受限数据每月，机密数据每季度，内部数据每半年。
- 人员变更（入职/转岗/离职）触发即时权限调整与撤销；与HR系统联动。
- 长期未使用权限自动回收；例外需书面说明与批准。

16. 例外与应急访问
- 例外管理：需说明原因、范围、时限与替代控制；由IS&C经理审批并登记。
- 应急访问（Break-glass）：双重审批（IS&C经理+系统所有者）、严格限时、全量审计、事后复盘与撤销。
- 任何例外不得突破法律与监管底线。

17. 违规处理
- 违规分级与处置流程：识别—遏制—调查—报告—整改—复盘。
- 涉及个人信息或受监管数据泄露，按法规要求在法定时限内通知监管与相关方（由法务与隐私统筹）。
- 依据纪律与合同条款采取相应措施；记录证据与改进计划。

18. 数据访问规则矩阵（摘要）
- 公开：审批简化；可读，不可写入生产主数据；日志保留常规。
- 内部：数据所有者审批；需SSO；导出受控；季度复核。
- 机密：数据所有者审批+IS&C经理复核；MFA；限制批量导出；变更需双人复核与质量校验；季度/月度复核。
- 受限：联合审批（数据所有者+IS&C经理，必要时隐私/法务）；MFA+条件访问；强脱敏与最小化；严控导出与再共享；月度复核与持续监控。

19. 度量与报告（由IS&C经理负责）
- 关键指标：
  - 权限按时复核完成率与撤销及时率。
  - 受限数据访问审批合规率与例外占比。
  - 特权账户MFA覆盖率与JIT使用率。
  - 异常访问告警处置及时率与漏报率。
  - 数据导出事件合规率与违规趋势。
- 定期向管理层与审计/合规委员会报告，包含风险与改进计划。

20. 文档与记录
- 保留访问政策、流程、审批记录、风险评估、日志、审计报告与整改证据。
- 在数据目录与权限登记中维护数据分类、所有者、可用角色与访问条件，确保可发现与一致管理。

实施说明
- IS&C经理组织跨职能评审，每年至少更新一次规则；遇法规变化或重大事件时及时修订。
- 通过自动化门户与IAM集成落地流程；在数据平台与分析工具中启用细粒度权限、脱敏与导出控制。
- 开展针对角色的合规培训，强调最小权限、目的限制与违规后果。