供应商合作结束后,供应商手里还留有多少企业的数据,这些数据什么时候会被彻底清除,是很多企业不太关注但非常关键的问题。合同履行完毕之后,供应商不再有义务保留企业的数据,但很多供应商出于"万一还要用"的心态,会把企业的技术资料、订单信息、检测报告长期留存在自己的系统中。
有一家机械制造企业跟代工厂合作两年后终止了合作,双方好聚好散,没有任何纠纷。一年后这家企业的产品技术负责人从同行那里听说,那家代工厂还在用他们的工艺参数帮别的客户调试设备。虽然参数被做了轻微改动,但核心的技术方案几乎一样。企业找到代工厂去交涉,代工厂说"你们当时没有要求我们销毁资料,我们就以为可以继续保留使用了"。
这个案例说明了数据销毁条款的约束力需要明确。而且在合同终止后,企业需要有规范的流程来确认供应商是否真正执行了数据销毁。
数据销毁管理的首要个层面是合同约定。在保密协议或者合作合同终止条款中,写得明确的数据销毁要求包括:合同终止后的一定期限内,供应商应当将所持有的企业保密信息全部归还或销毁。销毁的方式要具体说明,电子数据使用符合行业标准的数据擦除工具进行覆写删除,不依赖于简单的删除命令。纸质文件和实物载体使用专业碎纸机粉碎或焚毁。供应商须在数据销毁完成后向企业出具书面确认函。
第二个层面是数据销毁的范围界定。很多供应商在执行数据销毁时容易打马虎眼,把主数据库的数据删了但备份数据忽略了,或者主数据删了但个人电脑上的副本还留着。企业在提出数据销毁要求时,需要把销毁范围说清楚。包括但不限于供应商的主要业务系统、备份系统、测试环境、个人工作电脑、移动存储介质、电子邮件存档。所有可能存有企业数据的载体都要纳入销毁范围。
第三个层面是数据销毁的监督方式。对高保密等级的合作来说,单纯让供应商自己执行销毁并书面确认是不够的。比较可靠的做法是派企业人员到供应商现场监督数据销毁过程。监督人员逐台设备确认,数据擦除的过程录像留存或做见证记录。对于委托第三方处置的,要求提供数据销毁的全套证明文件。
有一家信息安全要求比较高的企业,他们的做法是在与供应商的合同中约定,供应商的核心系统由企业掌握管理权限。合同终止后,企业IT人员远程操作对供应商系统中涉及企业的数据做彻底擦除。这种方式虽然管理成本较高,但对高风险的供应商来说是一条比较可靠的保障线。
第四个层面是数据销毁的时间节点。数据销毁的时间节点应当在合同中明确,更好是合同终止后的确定天数内完成。时间不能太短,留出合理的数据迁移和业务交接时间。但也不能太长,拖得越久风险越大。根据数据体量的大小和复杂程度,一到三个月是比较常见的约定期限。
数据销毁完成后,企业还应主动进行确认。可以给供应商发一份正式的数据销毁确认函,供应商签字盖章后交回。确认函上列明数据销毁的范围、方法、时间、监督方式和剩余风险说明。这份确认函是企业证明供应商已完成数据处理的依据。
但是数据销毁确认并不等于一劳永逸。合同终止后的一段时间内,企业还是保留对供应商的审计权利。如果在后续的审计中发现供应商仍然存有企业的数据,可以依据合同约定启动追责程序。
还有一个技术层面要注意的地方。供应商使用的云服务是第三方平台的情况下,数据销毁不只是供应商自己删除,还需要供应商联系云服务商对底层存储数据做彻底清理。有些云服务的数据在删除后还会在备份中留存一定时间,这一点需要提前确认。
一些精细化管理做得比较好的企业,会在合作开始时就要求供应商填写一份数据资产登记表,记录供应商将接收到企业的哪些数据、存放在哪里、哪些人有权访问。合同终止时,按照这张登记表逐项确认数据是否已被彻底清除。一张完善的登记表是做好数据销毁管理的基础工具。
数据销毁不只是一个流程动作,它传递的是企业对供应链数据安全的重视态度。当供应商知道企业会对数据销毁做严格追踪,他们在日常管理中的保密意识自然也会跟着提升。
