2021 年 6 月 10 日,新華社報道,十三屆全國人大常委會第二十九次會議通過了數(shù)據(jù)安全法。這部法律是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律,也是國家安全領(lǐng)域的一部重要法律,將于 2021 年 9 月 1 日起施行。
數(shù)字化改革推動我國生產(chǎn)模式的變革,隨著經(jīng)濟數(shù)字化、政府數(shù)字化、企業(yè)數(shù)字化的建設(shè),數(shù)據(jù)已經(jīng)成為我國政府和企業(yè)最核心資產(chǎn)。合資企業(yè)、跨境貿(mào)易、多廠商全球合作的模式變遷,數(shù)據(jù)開始在企業(yè)與企業(yè)之間、政府與企業(yè)之間以及國與國之間流轉(zhuǎn)、融合、使用直至泄露。
根據(jù)公開報道,2020 年全球數(shù)據(jù)泄露的平均損失成本為 1145 萬美元,2019 年數(shù)據(jù)泄露事件達到 7098 起,涉及 151 億條數(shù)據(jù)記錄,比 2018 年增幅 284%,數(shù)據(jù)泄漏事件影響大、損失重。
有專家言論,對數(shù)據(jù)掌控、利用以及保護能力,已成為衡量國家之間競爭力的核心要素。
外力驅(qū)動和內(nèi)部需求,促使數(shù)安法落地
2018 年 3 月 23 日,時任美國總統(tǒng)特朗普正式簽署了《澄清域外合法使用數(shù)據(jù)法》,法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件,無論服務(wù)提供者的通信、記錄或其他信息是否存儲在美國境內(nèi),要求服務(wù)商根據(jù)該法案進行調(diào)取并提供相關(guān)證據(jù)。
2018 年 5 月 25 日,歐盟《一般數(shù)據(jù)保護條例》(GDPR)正式實施。GDPR 法案要求不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外,只要處理的是歐盟境內(nèi)居民的數(shù)據(jù),均適用此法案,對數(shù)據(jù)實施長臂管理。
目前全球已有近 100 個國家和地區(qū)制定了數(shù)據(jù)安全保護的法律,數(shù)據(jù)安全保護專項立法已成為國際慣例。
圖1 全球數(shù)據(jù)安全保護立法情況(部分)
面對歐美國家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界,將會直接影響到第三方國家的主權(quán),在數(shù)據(jù)跨境流動愈加頻繁的今天,必須盡快完善我國相關(guān)法律法規(guī),保護我國國家利益、跨國公司以及公民個人利益。
當前全球經(jīng)濟傳統(tǒng)經(jīng)濟增長緩慢,尤其是 2020 年全球“新冠疫情”給經(jīng)濟帶來了沉重的打擊。迫切需要通過新的經(jīng)濟增長點拉動內(nèi)需,增加就業(yè),而數(shù)字經(jīng)濟正是切入點和發(fā)動機,國家將發(fā)展數(shù)字經(jīng)濟提升到國戰(zhàn)略高度則水到渠成。
近年來數(shù)字經(jīng)濟增速也證明了數(shù)字經(jīng)濟發(fā)展空間的巨大,中國信息通信研究院發(fā)布的《中國數(shù)字經(jīng)濟發(fā)展白皮書》數(shù)據(jù)顯示,我國數(shù)字經(jīng)濟的總體規(guī)模已從 2005 年的 2.62 萬億元增長至 2019 年的 35.84 萬億元;數(shù)字經(jīng)濟總體規(guī)模占 GDP 的比重也從 2005 年的 14.2% 提升至 2019 年 36.2%。
可見,數(shù)字經(jīng)濟已成為我國國民經(jīng)濟增長要素的重要一員。
從 2015 年,國務(wù)院發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》開始,2018 年國務(wù)院發(fā)布《科學(xué)數(shù)據(jù)管理辦法》,2020 年國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》,2021 年 3 月 12 日,新華社公布了《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》,數(shù)據(jù)安全政策導(dǎo)向明確,國家數(shù)據(jù)戰(zhàn)略清晰。因此,亟需一部國家的基本法,為中國數(shù)字經(jīng)濟的安全發(fā)展保駕護航。
上述背景下數(shù)安法誕生,恰逢其時,維護了我國的數(shù)據(jù)主權(quán),保障了國家的安全、促進了經(jīng)濟健康發(fā)展。
數(shù)安法的發(fā)布標志著我國將數(shù)據(jù)安全保護的政策要求,通過法律文本的形式進行了明確和強化。
本法一共七章五十五條,其中 “總則”、“法律責(zé)任”及“附則”三章屬于常規(guī)章節(jié),另外四個章節(jié)圍繞著“數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放”來提出要求。
我們對數(shù)安法進行深入解讀后,為大家提煉出 40 個要點。
1)適用范圍:在中國境內(nèi)開展數(shù)據(jù)活動的組織和個人。
2)定義:定義數(shù)據(jù)是指任何以電子或者其它方式對信息的記錄。
3) 保護要求:釆取必要措施,對數(shù)據(jù)進行有效保護和合法利用,并持續(xù)保持其安全能力。
4) 責(zé)任任務(wù):工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主要行業(yè)會落地數(shù)據(jù)保護行業(yè)規(guī)范,并且落地本部門的數(shù)據(jù)安全規(guī)范。公安機關(guān)、國家安全機關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)管。
5) 特別的對行業(yè)組織提出了制定安全行為規(guī)范,加強行業(yè)自律,指導(dǎo)會員加強數(shù)據(jù)安全保護的要求。這項法規(guī)有效的消滅了灰色地帶,對各行業(yè)都形成了法律約束,杜絕了數(shù)據(jù)的隨意共享和流轉(zhuǎn)。
6) 發(fā)展原則:國家統(tǒng)籌發(fā)展和安全,堅持保障數(shù)據(jù)安全與促進數(shù)據(jù)開發(fā)利用并重。
7) 戰(zhàn)略要求:省級以上人民政府應(yīng)制定數(shù)字經(jīng)濟發(fā)展規(guī)劃。進一步細化了國家數(shù)據(jù)戰(zhàn)略的執(zhí)行主體。
8) 標準體系:國家主管部門負責(zé)相關(guān)標準和體系的制定。
9) 評估認證:國家促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展,支持專業(yè)機構(gòu)依法開展服務(wù)。
10) 人才培養(yǎng):要釆取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才。
11)特別地,加強了公共服務(wù)的要求,應(yīng)當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
12) 分類分級:國家建立數(shù)據(jù)分類分級保護制度,對數(shù)據(jù)實行分類分級保護,并確定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。
13) 風(fēng)險評估:要建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制。
14) 應(yīng)急處置:要建立數(shù)據(jù)安全應(yīng)急處置機制。
15) 安全審查:要建立數(shù)據(jù)安全審查制度。
16) 出口管制:對屬于管制物項的數(shù)據(jù)依法實施出口管制,可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。這項法規(guī)進一步明確了國家對中國數(shù)據(jù)的主權(quán),即我國數(shù)據(jù)是否在境內(nèi),依然受到中國法律的保護。
17) 管理制度:在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,建立健全全流程數(shù)據(jù)安全管理制度,組織開展教育培訓(xùn)。重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu),進一步落實數(shù)據(jù)安全保護責(zé)任主體。
18) 風(fēng)險監(jiān)測:對出現(xiàn)缺陷、漏洞等風(fēng)險,要釆取補救措施;發(fā)生數(shù)據(jù)安全事件,應(yīng)當立即采取處置措施,并按規(guī)定上報。
19) 風(fēng)險評估:定期開展風(fēng)險評估并上報風(fēng)評報告。
20) 數(shù)據(jù)收集:任何組織、個人收集數(shù)據(jù)必須釆取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。
21) 數(shù)據(jù)交易:數(shù)據(jù)服務(wù)商或交易機構(gòu),要提供并說明數(shù)據(jù)來源證據(jù),要審核相關(guān)人員身份并留存記錄。
22) 經(jīng)營備案:數(shù)據(jù)服務(wù)經(jīng)營者應(yīng)當取得行政許可的,服務(wù)提供者應(yīng)當依法取得許可。
23) 配合調(diào)查:要求依法配合公安、安全等部門進行犯罪調(diào)查。境外執(zhí)法機構(gòu)要調(diào)取存儲在中國的數(shù)據(jù),未經(jīng)批準,不得提供。
24) 特別的,對關(guān)基信息基礎(chǔ)設(shè)施的運營在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。
25) 管理制度:建立健全全流程數(shù)據(jù)安全管理制度,落實數(shù)據(jù)安全保護責(zé)任。
26) 存儲加工:委托他人存儲、加工或提供政務(wù)數(shù)據(jù),應(yīng)當經(jīng)過嚴格審批,并做好監(jiān)督。受托方不得擅自留存、使用、泄露或向他人提供政務(wù)數(shù)據(jù)。
27) 數(shù)據(jù)開放:構(gòu)建統(tǒng)一政務(wù)數(shù)據(jù)開放平臺,發(fā)布數(shù)據(jù)開放目錄,推動政務(wù)數(shù)據(jù)開放利用。
28) 適用主體:法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織。
29) 不履行規(guī)定保護義務(wù):責(zé)令改正和警告,給予單位 5 萬至 50 萬元罰款,給予負責(zé)人 1 萬至 10 萬元罰款;拒不改正或造成大量數(shù)據(jù)泄漏等嚴重后果的,給予單位 50 萬至 200 萬元罰款,最高責(zé)令吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,給予負責(zé)人 5 萬至 20 萬元罰款。
30)危害國家安全和損害合法權(quán)益的:給予 200 萬至 1000 萬元罰款,責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,構(gòu)成犯罪的,追究刑事責(zé)任。
31)向境外提供重要數(shù)據(jù)的:由有關(guān)主管部門責(zé)令改正,給予警告,可以并處 10 萬至 100 萬元罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處 1 萬至 10 萬元罰款。情節(jié)嚴重的,給予 100 萬至 1000 萬元罰款,責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,對負責(zé)人給予 10 萬至 100 萬元罰款。
32) 交易來源不明的數(shù)據(jù):沒收違法所得,對違法所得一至十倍罰款。沒有違法所得或違法所得不足 10 萬元的給予 10 萬至 100 萬元罰款,最高責(zé)令吊銷營業(yè)執(zhí)照;對主管和直接責(zé)任人 1 萬至 10 萬元罰款。
33) 拒不配合數(shù)據(jù)調(diào)取的:由有關(guān)主管部門責(zé)令改正,給予警告,可以并處 5 萬元至 50 萬元罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處 1 萬至 10 萬元罰款。
34) 國家機關(guān)不履行安全保護義務(wù):對負責(zé)人和直接責(zé)任人員依法處分。
35)未經(jīng)審批向境外提供組織數(shù)據(jù)的:由有關(guān)主管部門給予警告,可以并處 10 萬至 100 萬元罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處 1 萬至 10 萬元罰款。造成嚴重后果的,給予 100 萬至 500 萬元罰款,責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,對負責(zé)人給予 5 萬至 500 萬元罰款。
36) 國家工作人員違法:因玩忽職守、濫用職權(quán)、徇私舞弊,依法給予處分。
37)竊取或非法獲取數(shù)據(jù)的:依照有關(guān)法律、行政法規(guī)的規(guī)定處罰。
38) 給他人造成損害:依法承擔(dān)民事責(zé)任,構(gòu)成犯罪的,依法追究刑事責(zé)任。
39) 涉及國家秘密的數(shù)據(jù):依據(jù)《中華人民共和國保守國家秘密法》以及相關(guān)法律法規(guī)執(zhí)行。
40) 涉及軍事秘密的數(shù)據(jù):由中央軍事委員會依據(jù)本法另行制定。
數(shù)安法是繼《網(wǎng)絡(luò)安全法》提出數(shù)據(jù)的概念后,國家在數(shù)據(jù)安全立法層面的一個重大里程碑,注定了是中國數(shù)字經(jīng)濟高速發(fā)展的壓艙石和定海神針。
數(shù)據(jù)安全建設(shè)的幾點建議
數(shù)安法作為數(shù)據(jù)安全管理的基本大法,給我們指明了方向和提供法律保障。有關(guān)單位和個人收集、存儲、使用、加工、傳輸、提供、公開數(shù)據(jù)資源,都應(yīng)當依法建立健全數(shù)據(jù)安全管理制度,采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全。
未來如何做好數(shù)據(jù)安全建設(shè)?政企在進行數(shù)據(jù)安全能力建設(shè)時,考慮數(shù)據(jù)安全、訪問控制以及數(shù)據(jù)保護三個層面。
形象的說,數(shù)據(jù)安全的首要目標是需要找數(shù)據(jù)在哪里?數(shù)據(jù)的主體是誰?訪問控制是目前主流的數(shù)據(jù)安全能力之一,首要目標是數(shù)據(jù)使用者如何證明具備相應(yīng)的數(shù)據(jù)權(quán)限?數(shù)據(jù)保護是更高層面的建設(shè)框架,首要目標是組織或個人如何確保數(shù)據(jù)已經(jīng)被保護好了?
對于IT和信息安全從業(yè)人員來說,數(shù)據(jù)安全能力建設(shè)是最艱巨的任務(wù)之一。
關(guān)于數(shù)據(jù)安全能力的建設(shè),安恒信息首席科學(xué)家劉博提到:
在業(yè)務(wù)層面,應(yīng)當考慮建設(shè)包含預(yù)防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全體系;
在技術(shù)層面,應(yīng)當考慮建設(shè)數(shù)據(jù)風(fēng)險核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警能力4大核心數(shù)據(jù)能力的建設(shè);
最終建立“數(shù)據(jù)安全運營”的全過程自適應(yīng)安全支撐能力,直至達到整體智治的安全目標。
企業(yè)數(shù)據(jù)安全管理的成敗,主要取決主要領(lǐng)導(dǎo)是否重視?意識是否提升?全員是否參與?是否建立了一套完善數(shù)據(jù)安全管理組織?這是數(shù)據(jù)安全的重要保障。要形成“管理層重視、一把手負責(zé)、全員參與”的管理模式。
2、建立完善的數(shù)據(jù)安全技術(shù)體系和落地
傳統(tǒng)方式已經(jīng)無法適應(yīng)新時代數(shù)據(jù)安全需要,面臨安全的新態(tài)勢、新要求,在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上,通過智能化管理平臺,在技術(shù)層面實現(xiàn)對風(fēng)險核查(Check)能力、數(shù)據(jù)梳理(Assort)能力、數(shù)據(jù)保護(Protect)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警(Examine)能力 4 大核心能力的建設(shè),在業(yè)務(wù)層面,實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。
3、引進下一代技術(shù),實現(xiàn)流程自動化
人工智能和機器學(xué)習(xí)將是未來數(shù)據(jù)安全工作的關(guān)鍵,目前,多數(shù)大型企業(yè)正在尋求使某些法規(guī)遵從流程自動化,包括數(shù)據(jù)定位和提取,自動化是大型企業(yè)保持對大量存儲在數(shù)據(jù)中心和云中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)兼容的唯一方式。
對于數(shù)據(jù)安全能力建設(shè)較為薄弱的企業(yè),建議考慮零信任模式作為一種安全策略,有了“零信任”,企業(yè)將著眼于數(shù)據(jù)管理的整個生命周期,并將關(guān)注點從數(shù)據(jù)安全本身擴展到企業(yè)整體信息安全框架。
4、政府需落實數(shù)據(jù)安全保護責(zé)任,推動政務(wù)數(shù)據(jù)開放利用
政務(wù)數(shù)據(jù)安全與開放作為數(shù)安法的獨立章節(jié),要求我國政府在落實數(shù)據(jù)安全保護責(zé)任的同時,推動政務(wù)數(shù)據(jù)開放利用。如何實現(xiàn)數(shù)據(jù)要素安全、高效的共享開放,劉博談到,個人隱私保護、敏感數(shù)據(jù)使用、數(shù)據(jù)確權(quán)等難題都成了數(shù)據(jù)要素市場化的“攔路虎”,我們可以通過引入“數(shù)據(jù)安全島”模式,利用安全計算沙箱、安全多方計算、區(qū)塊鏈等技術(shù),實現(xiàn)原始數(shù)據(jù)不出本地,只交換計算結(jié)果,做到數(shù)據(jù)共享的“可用不可見”,解決數(shù)據(jù)信任和隱私保護、溯源等難題,讓流動的數(shù)據(jù)成為驅(qū)動數(shù)字經(jīng)濟發(fā)展的新動能。
數(shù)據(jù)安全在未來仍將是一個重大挑戰(zhàn),人工智能、機器學(xué)習(xí)和零信任模型的創(chuàng)造性應(yīng)用將幫助IT和信息安全從業(yè)保護數(shù)據(jù),以及確保組織和個人數(shù)據(jù)合規(guī),助力國家數(shù)據(jù)安全戰(zhàn)略落地實施。
我國“十四五”規(guī)劃、“新基建”等政策將持續(xù)深入推進數(shù)據(jù)要素安全管控和市場化,提升社會數(shù)據(jù)資源價值,相信隨著《數(shù)據(jù)安全法》的出臺、落地實施,數(shù)據(jù)資源將會迸發(fā)出更強的活力。安恒信息站在時代與理論的前沿,提出以“CAPE”數(shù)據(jù)安全能力框架為核心的數(shù)據(jù)安全管控體系,包含數(shù)據(jù)安全管控、安全可控數(shù)據(jù)流通、安全可信融合計算三大核心能力,實現(xiàn)數(shù)據(jù)“可用不可見”的安全目標,將會持續(xù)為數(shù)字經(jīng)濟產(chǎn)業(yè)的培育發(fā)展貢獻力量。
文章來源|安恒信息
(公眾號ID:DBAPP2013)