由《數據安全法》看數據安全的(de)那些“法”
《中華人(rén)民共和(hé)國數據安全法》于2021年6月(yuè)10日發布,确定于2021年9月(yuè)1日正式實施。作爲我國第一部與 “數據安全”相關的(de)法律,與2016年11月(yuè)7日發布的(de)《中華人(rén)民共和(hé)國網絡安全法》并行,标志著(zhe)在複雜(zá)的(de)互聯網時(shí)代,我國數據信息安全領域的(de)法律法規體系得(de)到進一步完善。國家積極探索網絡與信息安全領域中的(de)危機與隐患,把大(dà)力保障國内各領域各行業的(de)數據安全作爲主要任務。
此次發布的(de)《數據安全法》從公民權益、行業領域、國家戰略等方面多(duō)層次的(de)影(yǐng)響國家信息化(huà)建設,加上之前的(de)《國家安全法》、《網絡安全》、《民法典》等,從國家法律層面已經構建了(le)一條宏觀的(de)互聯網安全體系的(de)主線。
這(zhè)是一個(gè)數字經濟的(de)時(shí)代,數據成爲了(le)當下(xià)社會和(hé)科技進步的(de)核心要素。制定《數據安全法》既是維護人(rén)民群衆合法權益的(de)客觀需要,也(yě)是促進數字經濟健康發展的(de)重要舉措,更是維護國家安全的(de)必然要求。
自2018年以來(lái),我國全面實施國家大(dà)數據戰略,将數據定義爲一種“戰略資源”、把數據作爲國家主權安全的(de)保護對(duì)象。《數據安全法》正是這(zhè)大(dà)數據戰略的(de)可(kě)靠保障。它能加強關鍵信息基礎設施的(de)保護、強化(huà)國家關鍵數據處理(lǐ)能力,增強數據安全預警與溯源能力,是國家深遠(yuǎn)戰略目光(guāng)與宏大(dà)全局意識的(de)體現。
是什(shén)麽促使《數據安全法》快(kuài)速實施?
在我國,一部法律在面世之前往往需要經曆相對(duì)漫長(cháng)、細緻的(de)審議(yì)。如《網絡安全法》從2013年開始起草(cǎo),2015年6月(yuè)開始初審議(yì),到2016年10月(yuè)第三次最終審議(yì)通(tōng)過,經曆了(le)四年時(shí)間。而《數據安全法》從初審到三審通(tōng)過,隻用(yòng)了(le)不到1年時(shí)間,立法之快(kuài)足以體現了(le)《數據安全法》的(de)必要性和(hé)緊迫性。
促使《數據安全法》快(kuài)速實施的(de)原因無外乎以下(xià)幾個(gè)方面:
國際政治因素是推進《數據安全法》快(kuài)速實施的(de)重要的(de)外部因素。自2018年,美(měi)國總特朗普簽署了(le)《澄清域外合法使用(yòng)數據法》和(hé)歐盟《一般數據保護條例》(GDPR)正式實施以來(lái),全球已經有近100多(duō)個(gè)國家和(hé)地區(qū)制定了(le)數據安全相關的(de)法律法規。在數據流動更加頻(pín)繁的(de)今天,盡快(kuài)完善數據信息安全的(de)法律法規,保護國家利益和(hé)公民個(gè)人(rén)利益是各個(gè)國家政府的(de)當務之急。
數字經濟的(de)高(gāo)速發展是推進《數據安全法》快(kuài)速實施的(de)内驅動力,中國信息通(tōng)信研究院發布的(de)《中國數字經濟發展白皮書(shū)》數據顯示,我國數字經濟的(de)總體規模已從2005年的(de)2.62萬億元增長(cháng)至2019年的(de)35.84萬億元;數字經濟總體規模占GDP的(de)比重也(yě)從2005年的(de)14.2%提升至2019年的(de)36.2%。
2021年3月(yuè)12日,在《中華人(rén)民共和(hé)國國民經濟和(hé)社會發展第十四個(gè)五年規劃和(hé)2035年遠(yuǎn)景目标綱要》中,數據安全政策導向明(míng)确,國家數據戰略清晰。
風險與機遇并存,當數據成爲了(le)推動社會發展的(de)關鍵要素,具有了(le)可(kě)觀的(de)商業價值的(de)同時(shí)也(yě)面臨著(zhe)嚴峻的(de)安全風險問題:一方面,由于數據在不同載體之間進行收集加工處理(lǐ),模糊了(le)數據安全管理(lǐ)的(de)邊界;另一方面,由于商業價值的(de)體現,針對(duì)數據的(de)攻擊、竊取、濫用(yòng)等灰色産業鏈逐步向規模化(huà)、國際化(huà)等方向發展。
根據公開報道,2020年全球數據洩露的(de)平均損失成本爲1145萬美(měi)元;2019年數據洩露事件達到7098起,涉及151億條數據記錄,同比2018年增幅284%,由于數據洩漏事件而造成經濟損失極其重大(dà),且負面影(yǐng)響也(yě)極爲深遠(yuǎn)。
因系統本身漏洞而造成的(de)數據安全事件造成的(de)危害難以估計。2019年知名人(rén)臉識别公司深網視界,被曝發生數據洩露,緻使250萬人(rén)的(de)私人(rén)信息能夠不受限制被訪問,如此大(dà)規模的(de)信息洩露事件不免令人(rén)唏噓。與此同時(shí),此次事件也(yě)引發了(le)人(rén)們關于人(rén)臉識别技術信息安全方面的(de)擔憂和(hé)關于隐私等方面的(de)道德討(tǎo)論。一家主營安防的(de)人(rén)工智能企業,卻保護不了(le)用(yòng)戶的(de)信息安全,既可(kě)笑(xiào)又讓人(rén)費解。
由于黑(hēi)客攻擊造成數據洩露的(de)事件,往往出現于大(dà)企業,其造成的(de)損失和(hé)負面影(yǐng)響也(yě)極具災難性的(de)。2016年9月(yuè)22日,全球互聯網巨頭雅虎證實至少5億用(yòng)戶賬戶信息在2014年遭人(rén)竊取,内容涉及用(yòng)戶姓名、電子郵箱、電話(huà)号碼、出生日期和(hé)部分(fēn)登錄密碼。2016年12月(yuè)14日,雅虎再次發布聲明(míng),宣布在2013年8月(yuè),未經授權的(de)第三方盜取了(le)超過10億用(yòng)戶的(de)賬戶信息。2013年和(hé)2014年這(zhè)兩起黑(hēi)客襲擊事件有著(zhe)相似之處,即黑(hēi)客攻破了(le)雅虎用(yòng)戶賬戶保密算(suàn)法,竊得(de)用(yòng)戶密碼。2017年3月(yuè),美(měi)國檢方以參與竊取雅虎用(yòng)戶受到影(yǐng)響的(de)網絡攻擊活動爲由,對(duì)俄羅斯情報官員(yuán)提起刑事訴訟。
除了(le)黑(hēi)客攻擊,内部員(yuán)工作案更是防不勝防。以内部員(yuán)工竊取用(yòng)戶數據進行地下(xià)交易爲例,販賣用(yòng)戶信息的(de)暴利以及企業内部管理(lǐ)的(de)失序誘使企業内部人(rén)員(yuán)铤而走險、監守自盜,盜取販賣用(yòng)戶數據的(de)案例屢見不鮮。2016年,埃森哲等發布的(de)一項調查研究結果顯示,其調查的(de)208家企業中,69%的(de)企業曾在過去一年内“遭公司内部人(rén)員(yuán)竊取或試圖盜取數據”。未采取有效的(de)數據訪問權限管理(lǐ),身份認證管理(lǐ)、數據利用(yòng)控制等措施是大(dà)多(duō)數企業數據内部人(rén)員(yuán)數據盜竊的(de)主要原因。
近年來(lái)國内外重大(dà)數據安全事件頻(pín)頻(pín)發生,全面提升并完善數據信息安全是國家經濟發展的(de)核心任務,也(yě)是一場(chǎng)有著(zhe)深遠(yuǎn)意義的(de)國家戰役。
我國提出的(de)網絡安全的(de)基本制度——《網絡安全等級保護制度》,随著(zhe)信息技術的(de)發展和(hé)網絡安全形勢的(de)變化(huà),由公安部牽頭組織開展了(le)信息技術新領域等級保護重點标準申報國家标準的(de)工作,等級保護正式進入2.0時(shí)代。
“等保2.0”的(de)主要标準文件
“等保2.0”影(yǐng)響的(de)範圍不隻是普通(tōng)企業,還(hái)包括各個(gè)事業單位、機構組織、政府機關,根據“誰主管誰負責、誰運營誰負責、誰使用(yòng)誰負責”的(de)原則,網絡運營者成爲等級保護的(de)責任主體,對(duì)所有組織單位的(de)系統網絡進行安全保障能力的(de)要求,“等保2.0”與數據安全緊密呼應,這(zhè)也(yě)成爲了(le)加速《數據安全法》出台的(de)内因之一。
因此,國家亟需《數據安全法》來(lái)爲國家戰略目标、國家主權、公民利益和(hé)數字經濟發展全方位的(de)進行保駕護航。
數據安全防護“藍圖”是什(shén)麽樣?
數據安全治理(lǐ)框架
我國現行的(de)網絡安全法律的(de)整體保障和(hé)監督不僅對(duì)各單位提出嚴格的(de)安全要求,也(yě)對(duì)IT從業人(rén)員(yuán)提出了(le)提升保障數據信息安全能力的(de)要求。單位和(hé)個(gè)人(rén)在收集、存儲、使用(yòng)、加工、傳輸、提供、公開數據資源,都必須建立合法合規的(de)數據安全管理(lǐ)制度,采取必要的(de)技術措施确保數據安全。從《數據安全法》具體内容看,保障數據信息安全應當聚焦在安全管理(lǐ)體系和(hé)安全技術體系兩個(gè)方向。
建立健全的(de)安全管理(lǐ)體系。國家建立數據的(de)分(fēn)類分(fēn)級保護制度,對(duì)數據進行實行分(fēn)類分(fēn)級保護,并确定重要數據目錄,加強對(duì)重要數據的(de)保護。各地區(qū)、各單位需要遵循“等保2.0”來(lái)确保所運營的(de)系統符合國家标準,并且建立全流程數據信息安全管理(lǐ)制度,對(duì)重要數據的(de)處理(lǐ)者明(míng)确數據安全負責人(rén)和(hé)管理(lǐ)機構,進一步落實數據安全保護責任主體。
建立完善的(de)安全技術體系。随著(zhe)信息化(huà)、智能化(huà)的(de)發展,數據信息在環境、網絡、應用(yòng)系統等方面面臨著(zhe)多(duō)種多(duō)樣的(de)威脅,如果沒有完善的(de)安全技術體系,數據信息就顯得(de)格外脆弱。從身份識别、到訪問控制、到安全審計、再到數據件防護等,每一項之間相輔相成,并且又對(duì)應著(zhe)物(wù)理(lǐ)、網絡、系統、應用(yòng)、數據層的(de)不同的(de)安全項目。
從管理(lǐ)制度到安全技術體系,是決策層到技術層,自上而下(xià)貫穿組織架構的(de)一個(gè)完整鏈條,符合 Gartner 對(duì)數據安全治理(lǐ)的(de)定義。在2019年數據安全治理(lǐ)專業委員(yuán)會發布的(de)《數據安全治理(lǐ)白皮書(shū)2.0》中,提出了(le)數據安全治理(lǐ)是要以“讓數據使用(yòng)更安全”爲目的(de),在中國易于落地的(de)數據安全建設體系方法論,并且給出了(le)數據安全治理(lǐ)理(lǐ)念框架:
數據安全治理(lǐ)理(lǐ)念框架
在現行的(de)一系列法律法規和(hé)國家标準的(de)保護和(hé)要求下(xià),數據安全治理(lǐ)框架主要基于“策略、技術、人(rén)員(yuán)”三個(gè)核心能力領域而設計,結合實際的(de)數據安全防護情況,通(tōng)過專業的(de)數據安全治理(lǐ)團隊,明(míng)确數據安全治理(lǐ)策略和(hé)流程,以技術手段爲支撐,圍繞數據使用(yòng)的(de)業務場(chǎng)景和(hé)活動分(fēn)析安全需求,在數據安全管理(lǐ)體系、數據業務活動以及數據安全技術等方面綜合指導數據安全頂層設計,提升數據的(de)體系化(huà)保障能力。
合規性最薄弱的(de)基礎場(chǎng)景
在法律法規的(de)要求下(xià),各個(gè)企業單位都有保護數據安全的(de)責任,且處理(lǐ)數據過程中都要充分(fēn)滿足合規性要求。要滿足數據安全的(de)“合規性”,需要從三個(gè)基礎場(chǎng)景出發去思考。盡管以下(xià)這(zhè)三個(gè)基礎場(chǎng)景并不能覆蓋所有的(de)應用(yòng)場(chǎng)景,但卻是從數據處理(lǐ)過程中“合規性”最薄弱的(de)三個(gè)基礎場(chǎng)景。
場(chǎng)景一:敏感信息采集
違規采集:違規收集用(yòng)戶敏感信息或強制、過度索取法規範圍之外的(de)個(gè)人(rén)權限。
越權采集:未經同意收集使用(yòng)個(gè)人(rén)信息,違反必要性原則收集與其提供的(de)服務無關的(de)個(gè)人(rén)信息,或采集範圍與其聲明(míng)範圍不一緻。
《數據安全法》規定,在“等保2.0”的(de)基礎上履行數據安全保護的(de)義務,數據收集和(hé)處理(lǐ)需要得(de)到許可(kě)。在 APP 應用(yòng)中,違規采集和(hé)越權采集個(gè)人(rén)信息的(de)現象比較猖獗,國内對(duì)敏感信息的(de)監管力度逐漸增強,違規采集和(hé)越權采集的(de)都已經成爲國家打擊的(de)重點。場(chǎng)景問題一:如何防止違規的(de)數據采集行爲?
場(chǎng)景二:數據防洩漏
歐美(měi)國家在數據洩漏方面的(de)監管和(hé)處罰力度非常大(dà),例如:2018年和(hé)2020年,萬達旗下(xià)的(de)喜達屋酒店(diàn)發生的(de)兩起客戶信息洩漏事件,第一次洩漏了(le)近4億的(de)客戶信息洩漏,被罰1.24億美(měi)金;第二次又洩露了(le)520萬客戶信息,被英國政府處罰了(le)1840萬英鎊。
數據洩漏是一個(gè)非常綜合的(de)場(chǎng)景,在數據的(de)存儲、處理(lǐ)、分(fēn)享的(de)過程中既有人(rén)物(wù)因素造成的(de)數據竊取,也(yě)有系統因素造成洩漏。場(chǎng)景問題二:如何有效的(de)防止數據洩漏?
場(chǎng)景三:數據出境保護
各國各地區(qū)對(duì)數據流動的(de)監管訴求均有相關立法,而業務形式和(hé)業務種類的(de)多(duō)樣性增加了(le)傳輸場(chǎng)景的(de)複雜(zá)性,使國内企業和(hé)跨國企業難以滿足本國合規要求。
《數據安全法》規定,在國内收集産生的(de)數據,其的(de)出境安全管理(lǐ)适用(yòng)《網絡安全法》規定:要求在國境内收集生産的(de)數據,必須存儲于境内。需要向境外提供的(de),要向有關部門進行評估。
因業務需要向境外提供重要數據的(de),一般情況下(xià)由國家網信部門會同國務院有關部門制定的(de)辦法進行安全評估,法律、行政法規另有規定的(de)則從其規定。
今年上半年多(duō)個(gè)互聯網公司赴美(měi)上市,根據美(měi)國的(de)《外國公司問責法案》要求,赴美(měi)上市公司需要審查會計底稿,且需要“自證不被外國政府所擁有控制”,此法案不但泛政治化(huà)嚴重同時(shí)也(yě)涉及到上市公司的(de)數據出境和(hé)數據跨境流動問題,嚴重侵犯了(le)國家和(hé)公民的(de)數據安全。場(chǎng)景問題三:如何對(duì)數據做(zuò)出境保護?
從理(lǐ)論上看,數據處理(lǐ)的(de)五個(gè)環節,從采集到傳輸到存儲到處理(lǐ)到分(fēn)享再到銷毀,更像是一個(gè)數據流水(shuǐ)線,如果單純從流水(shuǐ)線上考慮數據安全治理(lǐ)問題,往往會忽略很多(duō)現實中的(de)細節。
所以,制定一個(gè)數據安全解決方案,不應隻從數據處理(lǐ)環節中制定理(lǐ)論上的(de)方案,也(yě)不應單獨的(de)從某個(gè)問題爲其做(zuò)單一的(de)解決方案而是需要從基礎場(chǎng)景出發,在解決綜合數據治理(lǐ)問題中确保合規性的(de)技術體現,來(lái)制定合适的(de)解決方案。
基于數據安全新規的(de)解決方案
開源網安将與昂楷科技強強聯合,共同推出數據安全新規的(de)解決方案,合力解決“合規性”中最薄弱的(de)三個(gè)基礎場(chǎng)景産生的(de)數據安全問題。
開源網安憑借自主研發的(de)敏感數據檢測系統,打破行業内安全技術壁壘,解決了(le)應用(yòng)内流轉數據無法被檢測的(de)問題,并針對(duì)敏感信息和(hé)數據進行全生命周期的(de)監控。
在解決方案上,開源網安以自身強大(dà)實力結合昂楷科技在數據庫安全和(hé)數據治理(lǐ)方面多(duō)年積累的(de)能力,将兩家公司的(de)技術優勢高(gāo)度融合,加強應用(yòng)的(de)數據防護綜合水(shuǐ)平,規避數據洩露風險,避免安全事故發生,在法律法規日益嚴格的(de)要求下(xià)保障國家、企業、個(gè)人(rén)的(de)數據安全。
展望和(hé)思考
《數據安全法》的(de)發布是我國數字經濟發展下(xià)的(de)一個(gè)裏程碑事件,各行各業在收集處理(lǐ)海量數據的(de)同時(shí),創造出更具價值的(de)信息,也(yě)面臨更加複雜(zá)的(de)安全風險。而數據安全治理(lǐ)是個(gè)系統性工程,需要國家立法部門、政策制定部門、監管部門引導并組織數據安全相關廠商、技術和(hé)咨詢服務企業相互協作,合力應對(duì)更高(gāo)難度的(de)數據安全風險和(hé)挑戰。
随著(zhe)信息技術的(de)飛(fēi)速發展,科技和(hé)人(rén)類活動的(de)高(gāo)度融合,全世界的(de)數據信息将呈現爆發式增長(cháng),從各國關于數據安全的(de)法律法規的(de)制定和(hé)發布來(lái)看,首要任務是保護國家安全和(hé)公民權益,而未來(lái),各國又面臨更發達的(de)技術和(hé)更複雜(zá)的(de)數據,全球化(huà)的(de)數據安全問題也(yě)終将不是一個(gè)國家所能完成的(de),也(yě)許在不久的(de)将來(lái),圍繞全球化(huà)的(de)數據安全問題而建立的(de)世界性組織或将成型,打造面向全球化(huà)的(de)數據安全管理(lǐ)體系和(hé)安全技術體系将成爲世界性的(de)挑戰。
但從大(dà)衆和(hé)用(yòng)戶角度看數據安全,我們不必說敏感數據如何處理(lǐ),如何對(duì)信息進行脫敏,法律如何嚴格管控;也(yě)不必說應用(yòng)做(zuò)了(le)哪些保護,數據庫和(hé)代碼做(zuò)了(le)什(shén)麽審計,如何對(duì) App 違規的(de)識别;單是僅僅一個(gè)騷擾電話(huà)打到用(yòng)戶手機上,也(yě)意味著(zhe)我們之前所做(zuò)的(de)一切努力都付之一炬。