我國正處于數(shù)字基礎(chǔ)設(shè)施與傳統(tǒng)產(chǎn)業(yè)加速融合發(fā)展的新階段,數(shù)據(jù)體量呈現(xiàn)爆發(fā)增長態(tài)勢,數(shù)據(jù)成為關(guān)鍵生產(chǎn)要素和戰(zhàn)略資源。數(shù)字經(jīng)濟作為新的經(jīng)濟增長點,發(fā)展空間巨大,但與之相伴的一系列安全問題正影響著數(shù)字經(jīng)濟長遠(yuǎn)健康發(fā)展。

在這樣的背景下,2021年6月10日,《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)經(jīng)十三屆全國人大常委會第二十九次會議表決通過,并將于2021年9月1日起正式施行。

《數(shù)據(jù)安全法》出臺,標(biāo)志著我國將數(shù)據(jù)安全保護的政策要求,通過法律文本的形式進(jìn)行了明確和強化,為數(shù)據(jù)作為新的生產(chǎn)要素推動創(chuàng)新和經(jīng)濟發(fā)展提供了法律依據(jù),將為下一階段數(shù)字經(jīng)濟的安全發(fā)展保駕護航。

01《數(shù)據(jù)安全法》中的重要信息

《數(shù)據(jù)安全法》經(jīng)歷三次審議與修改�！笧榱艘�(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權(quán)益,維護國家主權(quán)、安全和發(fā)展利益,制定本法。」《數(shù)據(jù)安全法》總則第一條開宗明義,表明立法目的。

重點一:我國首部以數(shù)據(jù)為保護對象的法律

作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律,《數(shù)據(jù)安全法》中首次對“數(shù)據(jù)”本身進(jìn)行了界定:數(shù)據(jù),指任何以電子或者其他方式對信息的記錄。這在一定程度上區(qū)分了數(shù)據(jù)與信息,即信息是數(shù)據(jù)表達(dá)的內(nèi)容,數(shù)據(jù)則為信息的載體和外在表現(xiàn)形式。

重點二:數(shù)據(jù)安全保護責(zé)任范圍擴展

《數(shù)據(jù)安全法》不但對數(shù)據(jù)安全主管機構(gòu)的監(jiān)管職責(zé)進(jìn)行了明確,而且提出建立國家數(shù)據(jù)安全協(xié)同治理體系,有關(guān)部門、行業(yè)組織、企業(yè)、個人應(yīng)共同維護數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)經(jīng)濟發(fā)展。

重點三:違法處罰力度加強

較之草案,終版《數(shù)據(jù)安全法》加大了對違法行為的處罰力度。法律后果包括責(zé)令改正、警告、沒收違法所得、取締以及吊銷業(yè)務(wù)許可證或營業(yè)執(zhí)照等在內(nèi)的處罰,且或?qū)⑼瑫r承擔(dān)其他適用的刑事、行政及民事責(zé)任。

重點四:數(shù)據(jù)全生命周期安全保護成義務(wù)

《數(shù)據(jù)安全法》提出對數(shù)據(jù)全生命周期各環(huán)節(jié)的安全保護義務(wù),加強風(fēng)險監(jiān)測與身份核驗,結(jié)合業(yè)務(wù)需求,從數(shù)據(jù)分級分類、風(fēng)險評估、身份鑒權(quán),到訪問控制、行為預(yù)測、追蹤溯源,再到應(yīng)急響應(yīng)及事件處置,全面建設(shè)有效防護機制。

重點五:完善了數(shù)據(jù)安全法規(guī)制度

《數(shù)據(jù)安全法》分別從數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放的角度對數(shù)據(jù)安全保護的義務(wù)和相應(yīng)法律責(zé)任進(jìn)行規(guī)定,確立了數(shù)據(jù)分類分級管理,數(shù)據(jù)安全審查,數(shù)據(jù)安全風(fēng)險評估、監(jiān)測預(yù)警和應(yīng)急處置等基本制度。

02三方面推進(jìn)數(shù)據(jù)安全建設(shè)

《數(shù)據(jù)安全法》的推出,為國內(nèi)數(shù)據(jù)行業(yè)提供了新的行為準(zhǔn)則。數(shù)據(jù)采集、存儲、傳輸、交換、處理和銷毀等環(huán)節(jié)都應(yīng)當(dāng)依法建立健全管理制度,采取相應(yīng)技術(shù)措施,按步驟、分階段完成數(shù)據(jù)安全體系建設(shè),保障數(shù)據(jù)安全。

對此,美創(chuàng)科技建議政企根據(jù)法律、法規(guī)要求,從以下三個方面推進(jìn)數(shù)據(jù)安全能力建設(shè):

落地落實分類分級保護

數(shù)據(jù)分類分級保護制度是整個數(shù)據(jù)安全制度的基礎(chǔ)。《數(shù)據(jù)安全法》提出了重要數(shù)據(jù)、核心數(shù)據(jù)等概念,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度,對數(shù)據(jù)實行分類分級保護。

關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù),實行更加嚴(yán)格的管理制度。

對政企機構(gòu)來說,數(shù)據(jù)分類分級工作主要面臨以下難題:

數(shù)據(jù)在哪里,如何分布?

在很多大型組織與機構(gòu)中往往存在著數(shù)據(jù)庫數(shù)量不清,數(shù)據(jù)庫中敏感數(shù)據(jù)分布及流向不明,敏感數(shù)據(jù)訪問權(quán)限不詳?shù)惹闆r。

有哪些數(shù)據(jù),含義是什么?

弄清數(shù)據(jù)含義是進(jìn)行數(shù)據(jù)分類分級的前提,比如正確區(qū)分哪些數(shù)據(jù)表示姓名,哪些數(shù)據(jù)表示身份證號,哪些數(shù)據(jù)表示地址。

如何制定數(shù)據(jù)的分類分級策略?

數(shù)據(jù)分級分類是長期、復(fù)雜的工程,需要結(jié)合國家政策、行業(yè)標(biāo)準(zhǔn)、機構(gòu)業(yè)務(wù)情況和數(shù)據(jù)特征制定具體方案。

針對以上數(shù)據(jù)資產(chǎn)盤點和數(shù)據(jù)分類分級難題,美創(chuàng)為政企客戶提供從咨詢到策略規(guī)劃到項目落地的完整解決方案(參考:美創(chuàng)數(shù)據(jù)分級分類方法論與實戰(zhàn)總結(jié)),既能滿足國家所提出的數(shù)據(jù)分類分級要求,保證分類分級的規(guī)范性,又能基于產(chǎn)品自動完成數(shù)據(jù)源發(fā)現(xiàn),輸出數(shù)據(jù)分類分級結(jié)果,有效提升準(zhǔn)確性和效率,縮短項目周期、減少人力成本,最終擴大數(shù)據(jù)資產(chǎn)規(guī)模。

美創(chuàng)數(shù)據(jù)發(fā)現(xiàn)與分類分級-交付成果

利用數(shù)據(jù)目錄更好的管理數(shù)據(jù)

數(shù)據(jù)目錄是數(shù)據(jù)標(biāo)準(zhǔn)規(guī)范體系的具體落地和體現(xiàn),也是實現(xiàn)數(shù)據(jù)信息資源共享交換、數(shù)據(jù)整合和大數(shù)據(jù)應(yīng)用的橋梁和基礎(chǔ)設(shè)施。

《數(shù)據(jù)安全法》中規(guī)定國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進(jìn)行重點保護。

美創(chuàng)【數(shù)據(jù)資產(chǎn)管理平臺】能夠在統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)、完成數(shù)據(jù)質(zhì)量檢查和清洗后,采用統(tǒng)一的業(yè)務(wù)定義進(jìn)行數(shù)據(jù)信息標(biāo)識,向外開放數(shù)據(jù)資產(chǎn)目錄提供資產(chǎn)搜索、展示、下載和共享功能,并支持全局視角的數(shù)據(jù)地圖、數(shù)據(jù)血緣/影響分析,幫助組織分類創(chuàng)建和維護組織中所有的數(shù)據(jù)資產(chǎn)。

數(shù)據(jù)資產(chǎn)管理平臺-數(shù)據(jù)資產(chǎn)目錄

加強數(shù)據(jù)流動安全防護

當(dāng)前國家正在推動數(shù)據(jù)的開放共享,加上“數(shù)據(jù)要素”概念推行,面向數(shù)據(jù)交易和數(shù)據(jù)合作的數(shù)據(jù)治理將成為新的趨勢。

《數(shù)據(jù)安全法》對數(shù)據(jù)交易行業(yè)做了初步規(guī)范,規(guī)定在基于數(shù)據(jù)來源合法、數(shù)據(jù)安全保護到位的前提下,國家允許數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場。

隨著各行業(yè)對數(shù)據(jù)共享與交易的需求量增大,機構(gòu)內(nèi)部或者跨組織、地區(qū)之間的數(shù)據(jù)流轉(zhuǎn)將愈發(fā)頻繁,存在巨大的數(shù)據(jù)泄露風(fēng)險,并且泄露之后無法很好溯源。因此對于不同的數(shù)據(jù)流動方向應(yīng)采取不同的數(shù)據(jù)保護措施。美創(chuàng)提供包括靜態(tài)脫敏、動態(tài)脫敏、數(shù)據(jù)水印、數(shù)據(jù)加密等技術(shù)手段防護各類數(shù)據(jù),同時可對于所有的流動事件應(yīng)進(jìn)行審計和日志記錄。

同時,對于數(shù)據(jù)安全能力建設(shè)較為薄弱的政企機構(gòu),美創(chuàng)建議考慮零信任模式作為一種安全策略。在技術(shù)層面,我們幫助機構(gòu)從人員身份的動態(tài)鑒別、數(shù)據(jù)資產(chǎn)精細(xì)化動態(tài)化授權(quán)、用戶異常行為預(yù)警阻斷、威脅風(fēng)險的持續(xù)檢測和響應(yīng)等方面構(gòu)建數(shù)據(jù)安全防護體系,在業(yè)務(wù)層面,實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀全生命周期的縱深防護。

數(shù)據(jù)安全和數(shù)據(jù)利用是一體之兩翼,驅(qū)動之兩輪。當(dāng)前,美創(chuàng)已形成了完備、成熟和產(chǎn)品化的數(shù)據(jù)安全和數(shù)據(jù)治理產(chǎn)品鏈。未來,美創(chuàng)將以《數(shù)據(jù)安全法》為指引,發(fā)揮自身優(yōu)勢,加強大數(shù)據(jù)領(lǐng)域的技術(shù)創(chuàng)新和產(chǎn)品落地,為推動國家數(shù)字經(jīng)濟發(fā)展提供安全、可靠的產(chǎn)品和服務(wù)。