我國正處于數字基礎設施與傳統產業加速融合發展的新階段,數據體量呈現爆發增長態勢,數據成為關鍵生產要素和戰略資源。數字經濟作為新的經濟增長點,發展空間巨大,但與之相伴的一系列安全問題正影響著數字經濟長遠健康發展。
在這樣的背景下,2021年6月10日,《中華人民共和國數據安全法》(以下簡稱《數據安全法》)經十三屆全國人大常委會第二十九次會議表決通過,并將于2021年9月1日起正式施行。
《數據安全法》出臺,標志著我國將數據安全保護的政策要求,通過法律文本的形式進行了明確和強化,為數據作為新的生產要素推動創新和經濟發展提供了法律依據,將為下一階段數字經濟的安全發展保駕護航。
01《數據安全法》中的重要信息
《數據安全法》經歷三次審議與修改。「為了規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。」《數據安全法》總則第一條開宗明義,表明立法目的。
重點一:我國首部以數據為保護對象的法律
作為數據領域的基礎性法律,《數據安全法》中首次對“數據”本身進行了界定:數據,指任何以電子或者其他方式對信息的記錄。這在一定程度上區分了數據與信息,即信息是數據表達的內容,數據則為信息的載體和外在表現形式。
重點二:數據安全保護責任范圍擴展
《數據安全法》不但對數據安全主管機構的監管職責進行了明確,而且提出建立國家數據安全協同治理體系,有關部門、行業組織、企業、個人應共同維護數據安全,促進數據經濟發展。
重點三:違法處罰力度加強
較之草案,終版《數據安全法》加大了對違法行為的處罰力度。法律后果包括責令改正、警告、沒收違法所得、取締以及吊銷業務許可證或營業執照等在內的處罰,且或將同時承擔其他適用的刑事、行政及民事責任。
重點四:數據全生命周期安全保護成義務
《數據安全法》提出對數據全生命周期各環節的安全保護義務,加強風險監測與身份核驗,結合業務需求,從數據分級分類、風險評估、身份鑒權,到訪問控制、行為預測、追蹤溯源,再到應急響應及事件處置,全面建設有效防護機制。
重點五:完善了數據安全法規制度
《數據安全法》分別從數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放的角度對數據安全保護的義務和相應法律責任進行規定,確立了數據分類分級管理,數據安全審查,數據安全風險評估、監測預警和應急處置等基本制度。
02三方面推進數據安全建設
《數據安全法》的推出,為國內數據行業提供了新的行為準則。數據采集、存儲、傳輸、交換、處理和銷毀等環節都應當依法建立健全管理制度,采取相應技術措施,按步驟、分階段完成數據安全體系建設,保障數據安全。
對此,美創科技建議政企根據法律、法規要求,從以下三個方面推進數據安全能力建設:
落地落實分類分級保護
數據分類分級保護制度是整個數據安全制度的基礎。《數據安全法》提出了重要數據、核心數據等概念,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。
對政企機構來說,數據分類分級工作主要面臨以下難題:
數據在哪里,如何分布?
在很多大型組織與機構中往往存在著數據庫數量不清,數據庫中敏感數據分布及流向不明,敏感數據訪問權限不詳等情況。
有哪些數據,含義是什么?
弄清數據含義是進行數據分類分級的前提,比如正確區分哪些數據表示姓名,哪些數據表示身份證號,哪些數據表示地址。
如何制定數據的分類分級策略?
數據分級分類是長期、復雜的工程,需要結合國家政策、行業標準、機構業務情況和數據特征制定具體方案。
針對以上數據資產盤點和數據分類分級難題,美創為政企客戶提供從咨詢到策略規劃到項目落地的完整解決方案(參考:美創數據分級分類方法論與實戰總結),既能滿足國家所提出的數據分類分級要求,保證分類分級的規范性,又能基于產品自動完成數據源發現,輸出數據分類分級結果,有效提升準確性和效率,縮短項目周期、減少人力成本,最終擴大數據資產規模。
美創數據發現與分類分級-交付成果
利用數據目錄更好的管理數據
數據目錄是數據標準規范體系的具體落地和體現,也是實現數據信息資源共享交換、數據整合和大數據應用的橋梁和基礎設施。
《數據安全法》中規定國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
美創【數據資產管理平臺】能夠在統一數據標準、完成數據質量檢查和清洗后,采用統一的業務定義進行數據信息標識,向外開放數據資產目錄提供資產搜索、展示、下載和共享功能,并支持全局視角的數據地圖、數據血緣/影響分析,幫助組織分類創建和維護組織中所有的數據資產。
數據資產管理平臺-數據資產目錄
加強數據流動安全防護
當前國家正在推動數據的開放共享,加上“數據要素”概念推行,面向數據交易和數據合作的數據治理將成為新的趨勢。
《數據安全法》對數據交易行業做了初步規范,規定在基于數據來源合法、數據安全保護到位的前提下,國家允許數據交易行為,培育數據交易市場。
隨著各行業對數據共享與交易的需求量增大,機構內部或者跨組織、地區之間的數據流轉將愈發頻繁,存在巨大的數據泄露風險,并且泄露之后無法很好溯源。因此對于不同的數據流動方向應采取不同的數據保護措施。美創提供包括靜態脫敏、動態脫敏、數據水印、數據加密等技術手段防護各類數據,同時可對于所有的流動事件應進行審計和日志記錄。
同時,對于數據安全能力建設較為薄弱的政企機構,美創建議考慮零信任模式作為一種安全策略。在技術層面,我們幫助機構從人員身份的動態鑒別、數據資產精細化動態化授權、用戶異常行為預警阻斷、威脅風險的持續檢測和響應等方面構建數據安全防護體系,在業務層面,實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的縱深防護。
數據安全和數據利用是一體之兩翼,驅動之兩輪。當前,美創已形成了完備、成熟和產品化的數據安全和數據治理產品鏈。未來,美創將以《數據安全法》為指引,發揮自身優勢,加強大數據領域的技術創新和產品落地,為推動國家數字經濟發展提供安全、可靠的產品和服務。
浙公網安備 33010502006954號 
