概述
2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,下文简称《数据安全法》,并定于2021年9月1日施行。其主要目的是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定的法律。同时随着互联网的迅速发展,万物互联崛起,对数据保护的需求也越发迫切,非常有必要单独出台一部针对数据安全保障领域的法律来加强对数据的监管,对数据的有效监管实现了有法可依,填补了数据安全保护立法的空白。
《数据安全法》已于2021年9月1日正式落地实施,这标志着国家在数据安全方面已经初步建立起一套法律框架。在数字化转型浪潮中,数据作为业务的驱动,已经为各行业企业的关键生产要素,于国家而言,更是具有深远战略价值的核心资产。在未来,各行各业若要实现数字化到智能化的转型,海量数据的价值转化及挖掘是必经之路。
数据安全法介绍
我们要更好的践行《数据安全法》的要求及遵守相应的管理条例,就要先了解和理解其内容。《数据安全法》全文共有七章五十五条,主要从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放及法律责任的角度对数据安全保护的义务和法律责任进行规定。
内容概述
《数据安全法》是我国实施数据安全监督和管理的一部基础法律,其根本目的是要提升国家数据安全的保障能力和数字经济的治理能力。作为国家的第一部关于数据安全的法律,不仅受到了安全从业者,也受到了来自各界人士的广泛关注:
数据安全与发展
众所周知,数字化转型的基石就是数据,以数据驱动业务发展,物联网的发展更是使数据爆炸性的增长,其中蕴含的价值,无法估量,这让国家和企业都越发的意识到数据的重要性,无论是从国家战略还是企业战略出发,都已经将数据作为核心资产,甚至上升到国家安全层面。
为此合理有效的利用数据,不仅关系个人、企业的利益,更关系到社会和经济的平稳发展,甚至影响国家安全。因此,数据安全法明确了数据安全与发展的关系,强调“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。
数据安全制度
数据安全法明确了六项数据安全制度:
数据分类分级与核心数据保制度:根据数据在经济社会发展中的重要程度及受到破坏后对国家安全、公共利益或个人、组织合法权益造成的危害程度进行分类分级,协调有关部门编制重要数据目录,要求下发到个地方,由地方部门按照要求编制地区的重要数据具体目录,对所列目录的数据加强保护。同时强调了对于关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
数据安全风险评估与工作协调机制:规定国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,建立工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
数据安全应急处置机制:国家建立数据安全应急处置机制,当发生数据安全事件,主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,及时向社会发布有关的警示信息。
数据安全审查制度:要求对影响或者可能影响国家安全的数据处理活动,国家有权进行安全审查。
数据出口管制制度:对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,规定在与数据和数据开发利用技术等有关的投资或贸易等方面,对我国采取相关歧视性的禁止、限制或者其他类似措施的国家和地区,我国可以对其采取对等措施。
数据安全保护义务
数据安全法规定了四类数据安全义务:
数据处理者的安全义务:明确指出,重要数据的处理者应明确数据安全的负责人和组织架构,按照要求定期的展开风险评估,并将发现的风险主动报送主管部门。对于关基的运营,要求运营者在境内运营过程中产生或收集的重要数据,数据的出境安全管理,必须依据网络安全法执行,其他数据处理者的数据出境管理由网信办另行制定政策,要求组织、个人必须合法、依规收集和使用数据等。
数据交易中介服务机构义务:数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
有关组织、个人的数据支持义务:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。公安或国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
跨境司法或执法机构数据提供审批义务:未经主管机关批准,境内的任何组织及个人不得向境外司法或者执法机构提供存储于境内的数据。
政务数据安全与开放
数据安全法就政务数据安全与开放作出相应规定:
政务数据安全要求:国家机关需要建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。同时要求国家机关应当依法合规收集和使用的个人隐私、个人信息、商业秘密、保密商务信息等数据,应当依法予以保密,不得泄露或者非法向他人提供。
外包政务系统数据安全要求:国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,同时国家机关应当监督受托方履行相应的数据安全保护义务。
政务数据开放要求:除依法不予公开的数据外,国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据,同时应制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
法律责任
对于数据处理者与数据交易中介服务机构不履行数据安全义务、数据安全监管履职国家工作人员滥权舞弊、违法获取或滥用数据等行为,数据安全法也作出了相应的处罚规定。其中,对于不履行数据安全义务的数据处理者除罚款外可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,而对于违反国家核心数据管理制度且构成犯罪的可以追究刑事责任,对于违规数据出境或未经授权向外国司法或者执法机构提供数据的,同样会处以相应处罚。
企业责任
随着万物互联时代的来临,《数据安全法》的正式落地实施,助推了大数据、云计算、物联网、人工智能等技术平台的蓬勃发展与安全保障。作为企业更应该在《数据安全法》落地后,持续加大数据安全的投入,将保护企业核心数据资产作为第一要务。同时针对2C业务,要尊重终端用户的数据所有权和使用权,并严格保障终端用户的隐私安全。
企业在关注信息安全的同时,更要突出数据安全的重要性。要时刻谨记,安全是所有业务正常运行的前提条件。
企业面临的数据安全风险
在了解了《数据安全法》之后,目前企业主要面临的数据安全风险有哪些?识别这些风险,有利于企业更好的完善数据安全防护方面的短板,提升企业整体数据安全防御能力,保护核心数据资产的安全。
存在的挑战
现在我们已经进入了大数据时代,各行各业所产生的数据量呈现爆炸式增长。随着数字化转型步伐的加快,数据资产的重要性就尤为重要。数据不仅是企业的核心资产,更是数字化转型的创新驱动。
2021年一系列的关于安全的法律法规陆续出台,从国家层面已经意识到数据的重要性,甚至上升到国家安全层面。同时也迫使企业必须意识到了解数据、保护数据和发掘数据价值的重要性。
企业既要保护数据安全,也要确保业务的稳定,从个人理解来看,目前企业针对数据安全保护主要面临以下四大挑战:
海量数据
万物互联时代,数据量成指数级激增,按照第三方机构的统计,数据量每两年就会增加一倍从2010年到2020年,数据量就增长了超过50倍。可想而知,作为企业很难厘清内部所有的数据,并从中发现哪些数据是核心的,哪些不是。如此大的数据量,企业甚至更无法准确定位这些数据都存储在具体的哪些位置。
存储分散
现在的企业都非常的重视数据的安全,深知数据的重要性,所以会把数据分散存储到不同的数据中心。随着云计算的发展,数据上云也是混合云战略的体现,充分利用云资源实现按需的快速交付。但这种对基础设施架构的优化也带来了数据存储地点分散,加大了数据保护的难度。
攻击频繁
网络连接万物,我们的生活、工作对网络的依赖程度越来越深,网络安全事件也在近几年呈现攻击类型多、攻击范围广、攻击模式组织化、防御难度大的趋势,几乎每天都有企业被攻击沦陷。以GlobeImposter、Crysis为代表的勒索病毒日渐猖獗,各种挖矿病毒更是如洪水猛兽。他们攻击的对象也瞄准了政府单位和各种转型中的企业,如制造业。勒索病毒的影响力和破坏性可见一斑,多次引发社会各界的广泛关注。
数据合规
大数据时代的到来,给企业自身的数据安全带来了挑战。目前尤其是传统企业,经常忽视安全审计在数据安全中的重要性。安全审计应贯穿应用系统的全生命周期,从设计到消亡,从代码安全到存储安全。同时安全审计人员较为短缺,随着数据安全法的落地,企业应关注数据安全审计人员的培养。
面临的风险
大数据时代给企业带来长远价值的同时,也让企业面临来自不同方面的数据安全问题,根据个人经验,分为以下6类:
网络攻击
互联网的发达不但方便了“我们”,也方便了“他们”。近年来网络攻击呈现向上暴增趋势,而且越来越具有针对性,他们攻击的目标就是数据,尤其是企业的核心数据。正所谓无利不起早,黑客往往会对有价值的对象发起攻击。他们通常会采用数据获取后到黑市贩售,或者通过更加暴力的勒索方式让受害者支付赎金。在大数据时代,数据安全面临的最直接的、最频繁的威胁就是来自网络的各种恶意攻击。
APP数据泄露
移动办公已成员工工作的新方式,尤其是在疫情频发的阶段,远程办公已经进入常态化。便捷的办公方式使员工可以随时随地轻松的接入公司内网,访问内网资源,同时也满足企业业务发展的需求。
便捷的同时也给企业的数据安全带来了新的风险和挑战。移动设备多为开源系统,时常出现系统漏洞或者后门,其便利性的特点使其易丢失,给企业造成不可估量的安全风险。当下各种APP泛滥,研发标准不一,有些APP自带后门和恶意程序,对脆弱的移动设备的安全使用环境造成威胁,所以在移动办公过程中极易发生信息泄露事件。
员工跳槽
现在越来越多的商业机密泄露行为主要来自内部,过往很多企业的信息安全防御重心放在了企业外围,如网络攻击、黑客渗透等,忽略了来自内部的人员泄露行为。商业化竞争的加剧,跳槽成为一种常态。核心人员的离职很可能直接带走企业多年的研究成果,对企业造成严重影响。
内部人员窃取
在任何的公司总有这么一些人为了个人利益出卖集团利益,虽然入职时签署了各种保密协议、敬业协议,但仍会为蝇头小利窃取企业的核心数据。这类人一般都很小心,“潜伏”在公司内部,很难被发现,却时常用自身的职位权力获取利益,一般的信息安全防御手段很难发现,所以对企业来说他们具有极强的杀伤力。
数据灾难
数据作为企业的核心资产一直被严格保护,但是天有不测风云,很多企业由于自身成本或者基础设施的问题,不能确保数据100%的安全。各种意外事件导致数据丢失也在所难免,如人为误删除、建筑塌陷、自然因素等。
脆弱性口令
最容易忽略的问题,往往会造成最严重的事件。系统上的脆弱性口令直接导致企业核心数据的泄漏,尤其在传统的制造企业。根据第三方评测机构的数据显示,12345这样的密码大量被使用,而且一般都被核心人员使用。
强化数据安全措施
《数据安全法》的落地,很好的指引企业该如何正确的收集数据、使用数据、流转数据和保护数据。通过对七章节的学习和个人理解,总结出符合企业更好的落实数据安全保护的经验。要更好的保护数据,确保数据安全,就要在管理和技术两个方面下功夫,从数据的产生一直到消亡进行保护。
数据安全技术
数据采集
数据采集是数据生命周期的第一个步骤,这个阶段的安全重要性不言而喻,直接关系到后续工作的顺利开展。此阶段有几个点的安全需要重点考虑:
1.制定严格的访问控制策略,非授权的采集请求应通过技术手段直接拒绝,确保数据采集端与信息主体处于相互信任的情况;
2.在数据采集前后采取校验码等技术对数据完整性进行校验,如使用数字签名、Hash算法校验等方式;
3.对数据采集接口与后端进行加密对接。
数据传输
数据在传输阶段易遭到截取,甚至造成篡改。在此环节重点可以考虑:
1.使用https等类似的协议,使传输通道进行加密,防止被恶意窃听;
2.通过证书或者其他手段对数据进行加密,防止在传输过程中被篡改。
数据存储
数据存储阶段保证数据不被恶意调用和访问,此环节重点可以考虑:
1.对落盘的数据进行加密存储;
2.收缩DBA权限最小化,控制数据库访问权限。
数据使用
数据使用阶段要确保正确的人使用正确的数据,此环节重点可以考虑:
1.对核心数据通过技术手段进行脱敏;
2.做好数据分级和分类,对数据进行标签化;
3.数据的使用和流转需进行授权,实现可追溯。
数据消亡
数据消亡阶段要确保数据不可被技术恢复,此环节重点可以考虑:
1.对存储数据的硬盘要进行不少于4次的格式化和复写操作;
2.核心数据的硬件要进行粉碎处理。
数据安全管理
国家层面
在大数据时代,全民数据安全意识增强的背景下,各个国家分别出台了大量的关于数据安全的法规和标准,国家在2021年出台了《数据安全法》和《个人信息保护法》,用于规范和合规企事业单位在数据采集、使用、流转等多个过程中的行为,其根本目的是要提升国家数据安全的保障能力和数字经济的治理能力。
行业层面
随着国家层面的关于数据安全的法律法规的落地,各个行业也开始制定相关的管理规定和标准,对企业和政府单位的数据安全策略和数据安全体系建设情况进行指导与监督。如工信部将在国家相关法律和机制框架下,依据职责,围绕行业数据安全监管、提升数据安全监管能力建设、促进数据安全产业发展等几方面开展工作。
企业层面
作为企业要严格遵守国家及行业的规定,从以下几方面对数据安全进行管理:
1.建立数据安全管理组织或机构,制定指导方针和发展策略,指明方向;
2.编制和下发各种数据安全相关的管理制度和数据调用流程;
3.对企业内部数据进行分类和分级,所有数据标签化;
4.依托中台理念,建设企业数据中台,实现数据归一化、可复用、可视化;
5.通过运营的思路进行数据安全管理,如日常的数据管理、数据监管,指从资产、数据、业务、合规、事件处置、风险管理等多方面对数据进行监管,掌握数据安全运营情况。
结束语
信息安全本身就是一场永无止境的战斗,而且会越来越难以取胜,数据安全的风险防御更是任重而道远,为更好的解决数据安全的问题只有通过有效的技术措施结合管理手段,从里到外识别风险,并解决风险。深刻理解《数据安全法》,会让企业在数据安全防御方面事半功倍。
因文章内容有限,将不在此处详述各个条款的内容,只是根据个人理解,总结出若干点针对企业内最为关注的重点条款进行说明,更加详细的条款,可以详参《数据安全法》正文。