2021 年 6 月 10 日����,新華社報道,十三屆全國人大常委會第二十九次會議通過了數(shù)據(jù)安全法�����。這部法律是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律,也是國家安全領(lǐng)域的一部重要法律���,將于 2021 年 9 月 1 日起施行����。
數(shù)字化改革推動我國生產(chǎn)模式的變革����,隨著經(jīng)濟數(shù)字化����、政府數(shù)字化���、企業(yè)數(shù)字化的建設(shè)�,數(shù)據(jù)已經(jīng)成為我國政府和企業(yè)最核心資產(chǎn)���。合資企業(yè)���、跨境貿(mào)易���、多廠商全球合作的模式變遷���,數(shù)據(jù)開始在企業(yè)與企業(yè)之間、政府與企業(yè)之間以及國與國之間流轉(zhuǎn)����、融合、使用直至泄露�。
根據(jù)公開報道,2020 年全球數(shù)據(jù)泄露的平均損失成本為 1145 萬美元�,2019 年數(shù)據(jù)泄露事件達到 7098 起,涉及 151 億條數(shù)據(jù)記錄�����,比 2018 年增幅 284%,數(shù)據(jù)泄漏事件影響大���、損失重�����。
有專家言論�����,對數(shù)據(jù)掌控���、利用以及保護能力���,已成為衡量國家之間競爭力的核心要素。
外力驅(qū)動和內(nèi)部需求����,促使數(shù)安法落地
2018 年 3 月 23 日�����,時任美國總統(tǒng)特朗普正式簽署了《澄清域外合法使用數(shù)據(jù)法》,法案要求對危害美國國家安全的犯罪�����、嚴重刑事犯罪等重大案件����,無論服務(wù)提供者的通信、記錄或其他信息是否存儲在美國境內(nèi)�����,要求服務(wù)商根據(jù)該法案進行調(diào)取并提供相關(guān)證據(jù)����。
2018 年 5 月 25 日,歐盟《一般數(shù)據(jù)保護條例》(GDPR)正式實施�����。GDPR 法案要求不論數(shù)據(jù)控制者��、處理者及其處理行為在歐盟境內(nèi)還是境外,只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)�����,均適用此法案��,對數(shù)據(jù)實施長臂管理�����。
目前全球已有近 100 個國家和地區(qū)制定了數(shù)據(jù)安全保護的法律���,數(shù)據(jù)安全保護專項立法已成為國際慣例。
圖1 全球數(shù)據(jù)安全保護立法情況(部分)
面對歐美國家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界���,將會直接影響到第三方國家的主權(quán)����,在數(shù)據(jù)跨境流動愈加頻繁的今天�����,必須盡快完善我國相關(guān)法律法規(guī)����,保護我國國家利益���、跨國公司以及公民個人利益。
當前全球經(jīng)濟傳統(tǒng)經(jīng)濟增長緩慢��,尤其是 2020 年全球“新冠疫情”給經(jīng)濟帶來了沉重的打擊���。迫切需要通過新的經(jīng)濟增長點拉動內(nèi)需���,增加就業(yè),而數(shù)字經(jīng)濟正是切入點和發(fā)動機���,國家將發(fā)展數(shù)字經(jīng)濟提升到國戰(zhàn)略高度則水到渠成�。
近年來數(shù)字經(jīng)濟增速也證明了數(shù)字經(jīng)濟發(fā)展空間的巨大����,中國信息通信研究院發(fā)布的《中國數(shù)字經(jīng)濟發(fā)展白皮書》數(shù)據(jù)顯示,我國數(shù)字經(jīng)濟的總體規(guī)模已從 2005 年的 2.62 萬億元增長至 2019 年的 35.84 萬億元;數(shù)字經(jīng)濟總體規(guī)模占 GDP 的比重也從 2005 年的 14.2% 提升至 2019 年 36.2%�����。
可見���,數(shù)字經(jīng)濟已成為我國國民經(jīng)濟增長要素的重要一員��。
從 2015 年�����,國務(wù)院發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》開始��,2018 年國務(wù)院發(fā)布《科學(xué)數(shù)據(jù)管理辦法》���,2020 年國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》,2021 年 3 月 12 日�����,新華社公布了《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》�,數(shù)據(jù)安全政策導(dǎo)向明確,國家數(shù)據(jù)戰(zhàn)略清晰���。因此���,亟需一部國家的基本法,為中國數(shù)字經(jīng)濟的安全發(fā)展保駕護航��。
上述背景下數(shù)安法誕生,恰逢其時�,維護了我國的數(shù)據(jù)主權(quán),保障了國家的安全�����、促進了經(jīng)濟健康發(fā)展���。
數(shù)安法的發(fā)布標志著我國將數(shù)據(jù)安全保護的政策要求�����,通過法律文本的形式進行了明確和強化��。
本法一共七章五十五條���,其中 “總則”、“法律責(zé)任”及“附則”三章屬于常規(guī)章節(jié)��,另外四個章節(jié)圍繞著“數(shù)據(jù)安全與發(fā)展����、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放”來提出要求�����。
我們對數(shù)安法進行深入解讀后�����,為大家提煉出 40 個要點���。
1)適用范圍:在中國境內(nèi)開展數(shù)據(jù)活動的組織和個人���。
2)定義:定義數(shù)據(jù)是指任何以電子或者其它方式對信息的記錄���。
3) 保護要求:釆取必要措施���,對數(shù)據(jù)進行有效保護和合法利用,并持續(xù)保持其安全能力�����。
4) 責(zé)任任務(wù):工業(yè)���、電信���、交通����、金融�、自然資源、衛(wèi)生健康�����、教育�、科技等主要行業(yè)會落地數(shù)據(jù)保護行業(yè)規(guī)范,并且落地本部門的數(shù)據(jù)安全規(guī)范��。公安機關(guān)���、國家安全機關(guān)等在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)��。網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)管�。
5) 特別的對行業(yè)組織提出了制定安全行為規(guī)范����,加強行業(yè)自律,指導(dǎo)會員加強數(shù)據(jù)安全保護的要求。這項法規(guī)有效的消滅了灰色地帶����,對各行業(yè)都形成了法律約束,杜絕了數(shù)據(jù)的隨意共享和流轉(zhuǎn)�����。
6) 發(fā)展原則:國家統(tǒng)籌發(fā)展和安全����,堅持保障數(shù)據(jù)安全與促進數(shù)據(jù)開發(fā)利用并重。
7) 戰(zhàn)略要求:省級以上人民政府應(yīng)制定數(shù)字經(jīng)濟發(fā)展規(guī)劃�����。進一步細化了國家數(shù)據(jù)戰(zhàn)略的執(zhí)行主體�����。
8) 標準體系:國家主管部門負責(zé)相關(guān)標準和體系的制定��。
9) 評估認證:國家促進數(shù)據(jù)安全檢測評估���、認證等服務(wù)的發(fā)展,支持專業(yè)機構(gòu)依法開展服務(wù)。
10) 人才培養(yǎng):要釆取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才���。
11)特別地��,加強了公共服務(wù)的要求����,應(yīng)當充分考慮老年人���、殘疾人的需求��,避免對老年人����、殘疾人的日常生活造成障礙��。
12) 分類分級:國家建立數(shù)據(jù)分類分級保護制度��,對數(shù)據(jù)實行分類分級保護��,并確定重要數(shù)據(jù)目錄�����,加強對重要數(shù)據(jù)的保護。
13) 風(fēng)險評估:要建立集中統(tǒng)一���、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估�、報告��、信息共享����、監(jiān)測預(yù)警機制。
14) 應(yīng)急處置:要建立數(shù)據(jù)安全應(yīng)急處置機制���。
15) 安全審查:要建立數(shù)據(jù)安全審查制度�����。
16) 出口管制:對屬于管制物項的數(shù)據(jù)依法實施出口管制�,可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施�����。這項法規(guī)進一步明確了國家對中國數(shù)據(jù)的主權(quán)�,即我國數(shù)據(jù)是否在境內(nèi)��,依然受到中國法律的保護。
17) 管理制度:在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上����,建立健全全流程數(shù)據(jù)安全管理制度,組織開展教育培訓(xùn)�。重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu),進一步落實數(shù)據(jù)安全保護責(zé)任主體����。
18) 風(fēng)險監(jiān)測:對出現(xiàn)缺陷、漏洞等風(fēng)險��,要釆取補救措施���;發(fā)生數(shù)據(jù)安全事件��,應(yīng)當立即采取處置措施����,并按規(guī)定上報��。
19) 風(fēng)險評估:定期開展風(fēng)險評估并上報風(fēng)評報告�。
20) 數(shù)據(jù)收集:任何組織、個人收集數(shù)據(jù)必須釆取合法�����、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)����。
21) 數(shù)據(jù)交易:數(shù)據(jù)服務(wù)商或交易機構(gòu),要提供并說明數(shù)據(jù)來源證據(jù)���,要審核相關(guān)人員身份并留存記錄����。
22) 經(jīng)營備案:數(shù)據(jù)服務(wù)經(jīng)營者應(yīng)當取得行政許可的�����,服務(wù)提供者應(yīng)當依法取得許可����。
23) 配合調(diào)查:要求依法配合公安、安全等部門進行犯罪調(diào)查��。境外執(zhí)法機構(gòu)要調(diào)取存儲在中國的數(shù)據(jù)���,未經(jīng)批準�����,不得提供����。
24) 特別的��,對關(guān)基信息基礎(chǔ)設(shè)施的運營在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理�����,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法��,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定��。
25) 管理制度:建立健全全流程數(shù)據(jù)安全管理制度��,落實數(shù)據(jù)安全保護責(zé)任����。
26) 存儲加工:委托他人存儲、加工或提供政務(wù)數(shù)據(jù)����,應(yīng)當經(jīng)過嚴格審批�����,并做好監(jiān)督���。受托方不得擅自留存、使用�、泄露或向他人提供政務(wù)數(shù)據(jù)。
27) 數(shù)據(jù)開放:構(gòu)建統(tǒng)一政務(wù)數(shù)據(jù)開放平臺�,發(fā)布數(shù)據(jù)開放目錄,推動政務(wù)數(shù)據(jù)開放利用��。
28) 適用主體:法律���、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織���。
29) 不履行規(guī)定保護義務(wù):責(zé)令改正和警告,給予單位 5 萬至 50 萬元罰款���,給予負責(zé)人 1 萬至 10 萬元罰款���;拒不改正或造成大量數(shù)據(jù)泄漏等嚴重后果的,給予單位 50 萬至 200 萬元罰款,最高責(zé)令吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照�,給予負責(zé)人 5 萬至 20 萬元罰款。
30)危害國家安全和損害合法權(quán)益的:給予 200 萬至 1000 萬元罰款��,責(zé)令停業(yè)整頓��、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照��,構(gòu)成犯罪的���,追究刑事責(zé)任。
31)向境外提供重要數(shù)據(jù)的:由有關(guān)主管部門責(zé)令改正���,給予警告��,可以并處 10 萬至 100 萬元罰款��,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處 1 萬至 10 萬元罰款����。情節(jié)嚴重的����,給予 100 萬至 1000 萬元罰款,責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照�����,對負責(zé)人給予 10 萬至 100 萬元罰款����。
32) 交易來源不明的數(shù)據(jù):沒收違法所得,對違法所得一至十倍罰款����。沒有違法所得或違法所得不足 10 萬元的給予 10 萬至 100 萬元罰款,最高責(zé)令吊銷營業(yè)執(zhí)照���;對主管和直接責(zé)任人 1 萬至 10 萬元罰款��。
33) 拒不配合數(shù)據(jù)調(diào)取的:由有關(guān)主管部門責(zé)令改正����,給予警告��,可以并處 5 萬元至 50 萬元罰款�,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處 1 萬至 10 萬元罰款。
34) 國家機關(guān)不履行安全保護義務(wù):對負責(zé)人和直接責(zé)任人員依法處分�����。
35)未經(jīng)審批向境外提供組織數(shù)據(jù)的:由有關(guān)主管部門給予警告,可以并處 10 萬至 100 萬元罰款���,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處 1 萬至 10 萬元罰款��。造成嚴重后果的��,給予 100 萬至 500 萬元罰款,責(zé)令停業(yè)整頓����、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,對負責(zé)人給予 5 萬至 500 萬元罰款�����。
36) 國家工作人員違法:因玩忽職守��、濫用職權(quán)�、徇私舞弊,依法給予處分���。
37)竊取或非法獲取數(shù)據(jù)的:依照有關(guān)法律�����、行政法規(guī)的規(guī)定處罰�。
38) 給他人造成損害:依法承擔(dān)民事責(zé)任,構(gòu)成犯罪的���,依法追究刑事責(zé)任���。
39) 涉及國家秘密的數(shù)據(jù):依據(jù)《中華人民共和國保守國家秘密法》以及相關(guān)法律法規(guī)執(zhí)行。
40) 涉及軍事秘密的數(shù)據(jù):由中央軍事委員會依據(jù)本法另行制定���。
數(shù)安法是繼《網(wǎng)絡(luò)安全法》提出數(shù)據(jù)的概念后�����,國家在數(shù)據(jù)安全立法層面的一個重大里程碑���,注定了是中國數(shù)字經(jīng)濟高速發(fā)展的壓艙石和定海神針。
數(shù)據(jù)安全建設(shè)的幾點建議
數(shù)安法作為數(shù)據(jù)安全管理的基本大法��,給我們指明了方向和提供法律保障��。有關(guān)單位和個人收集����、存儲�、使用��、加工���、傳輸�����、提供���、公開數(shù)據(jù)資源��,都應(yīng)當依法建立健全數(shù)據(jù)安全管理制度���,采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全�。
未來如何做好數(shù)據(jù)安全建設(shè)����?政企在進行數(shù)據(jù)安全能力建設(shè)時,考慮數(shù)據(jù)安全�����、訪問控制以及數(shù)據(jù)保護三個層面。
形象的說�,數(shù)據(jù)安全的首要目標是需要找數(shù)據(jù)在哪里?數(shù)據(jù)的主體是誰����?訪問控制是目前主流的數(shù)據(jù)安全能力之一,首要目標是數(shù)據(jù)使用者如何證明具備相應(yīng)的數(shù)據(jù)權(quán)限���?數(shù)據(jù)保護是更高層面的建設(shè)框架�����,首要目標是組織或個人如何確保數(shù)據(jù)已經(jīng)被保護好了�?
對于IT和信息安全從業(yè)人員來說���,數(shù)據(jù)安全能力建設(shè)是最艱巨的任務(wù)之一��。
關(guān)于數(shù)據(jù)安全能力的建設(shè)��,安恒信息首席科學(xué)家劉博提到:
在業(yè)務(wù)層面��,應(yīng)當考慮建設(shè)包含預(yù)防���、發(fā)現(xiàn)�、消除泄密隱患為主的數(shù)據(jù)安全體系��;
在技術(shù)層面��,應(yīng)當考慮建設(shè)數(shù)據(jù)風(fēng)險核查能力����、數(shù)據(jù)梳理能力、數(shù)據(jù)保護能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警能力4大核心數(shù)據(jù)能力的建設(shè)�����;
最終建立“數(shù)據(jù)安全運營”的全過程自適應(yīng)安全支撐能力����,直至達到整體智治的安全目標�����。
企業(yè)數(shù)據(jù)安全管理的成敗���,主要取決主要領(lǐng)導(dǎo)是否重視�����?意識是否提升����?全員是否參與?是否建立了一套完善數(shù)據(jù)安全管理組織����?這是數(shù)據(jù)安全的重要保障。要形成“管理層重視����、一把手負責(zé)、全員參與”的管理模式�����。
2���、建立完善的數(shù)據(jù)安全技術(shù)體系和落地
傳統(tǒng)方式已經(jīng)無法適應(yīng)新時代數(shù)據(jù)安全需要�����,面臨安全的新態(tài)勢��、新要求�,在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上,通過智能化管理平臺����,在技術(shù)層面實現(xiàn)對風(fēng)險核查(Check)能力、數(shù)據(jù)梳理(Assort)能力��、數(shù)據(jù)保護(Protect)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警(Examine)能力 4 大核心能力的建設(shè)�,在業(yè)務(wù)層面,實現(xiàn)對數(shù)據(jù)采集��、傳輸���、存儲���、處理、交換�����、銷毀全生命周期的管理��。
3�����、引進下一代技術(shù)����,實現(xiàn)流程自動化
人工智能和機器學(xué)習(xí)將是未來數(shù)據(jù)安全工作的關(guān)鍵,目前����,多數(shù)大型企業(yè)正在尋求使某些法規(guī)遵從流程自動化,包括數(shù)據(jù)定位和提取���,自動化是大型企業(yè)保持對大量存儲在數(shù)據(jù)中心和云中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)兼容的唯一方式���。
對于數(shù)據(jù)安全能力建設(shè)較為薄弱的企業(yè),建議考慮零信任模式作為一種安全策略���,有了“零信任”��,企業(yè)將著眼于數(shù)據(jù)管理的整個生命周期����,并將關(guān)注點從數(shù)據(jù)安全本身擴展到企業(yè)整體信息安全框架。
4���、政府需落實數(shù)據(jù)安全保護責(zé)任��,推動政務(wù)數(shù)據(jù)開放利用
政務(wù)數(shù)據(jù)安全與開放作為數(shù)安法的獨立章節(jié)��,要求我國政府在落實數(shù)據(jù)安全保護責(zé)任的同時����,推動政務(wù)數(shù)據(jù)開放利用����。如何實現(xiàn)數(shù)據(jù)要素安全、高效的共享開放�,劉博談到,個人隱私保護�、敏感數(shù)據(jù)使用、數(shù)據(jù)確權(quán)等難題都成了數(shù)據(jù)要素市場化的“攔路虎”����,我們可以通過引入“數(shù)據(jù)安全島”模式,利用安全計算沙箱��、安全多方計算、區(qū)塊鏈等技術(shù)�,實現(xiàn)原始數(shù)據(jù)不出本地���,只交換計算結(jié)果�,做到數(shù)據(jù)共享的“可用不可見”����,解決數(shù)據(jù)信任和隱私保護、溯源等難題��,讓流動的數(shù)據(jù)成為驅(qū)動數(shù)字經(jīng)濟發(fā)展的新動能��。
數(shù)據(jù)安全在未來仍將是一個重大挑戰(zhàn)���,人工智能����、機器學(xué)習(xí)和零信任模型的創(chuàng)造性應(yīng)用將幫助IT和信息安全從業(yè)保護數(shù)據(jù)���,以及確保組織和個人數(shù)據(jù)合規(guī)�����,助力國家數(shù)據(jù)安全戰(zhàn)略落地實施��。
我國“十四五”規(guī)劃��、“新基建”等政策將持續(xù)深入推進數(shù)據(jù)要素安全管控和市場化�����,提升社會數(shù)據(jù)資源價值����,相信隨著《數(shù)據(jù)安全法》的出臺、落地實施�,數(shù)據(jù)資源將會迸發(fā)出更強的活力。安恒信息站在時代與理論的前沿��,提出以“CAPE”數(shù)據(jù)安全能力框架為核心的數(shù)據(jù)安全管控體系����,包含數(shù)據(jù)安全管控、安全可控數(shù)據(jù)流通���、安全可信融合計算三大核心能力����,實現(xiàn)數(shù)據(jù)“可用不可見”的安全目標,將會持續(xù)為數(shù)字經(jīng)濟產(chǎn)業(yè)的培育發(fā)展貢獻力量���。
文章來源|安恒信息
(公眾號ID:DBAPP2013)
