在這之前,國內數據安全建設的指導性文件,是國家互聯網信息辦公室去年5月28日發布的《數據安全管理辦法(征求意見稿)》(以下簡稱《辦法》)。《數安法》和《辦法》之間的關系十分緊密,互為補充和支撐,共同搭建更加強大的數據安全保護體系,也體現了國家對于數據安全保護的高度重視。
但相應的,《數安法》中的大部分細則較《辦法》都有了進一步的明晰和提升,《數安法》對企業而言,也已經成為了數據安全建設的全新挑戰。
覆蓋更廣的數據安全保護
此次《數安法》的一大特點,就是“覆蓋更廣”,具體分為行為、對象和空間上的規范。
先說行為,《數安法》明確了數據的概念,是指任何以電子或者非電子形式對信息的記錄,需要遵守規范的“數據活動”包括:數據的收集、存儲、加工、使用、提供、交易、公開等行為。環節的數量較《辦法》中增加了4個,同時刪除了“純粹家庭和個人事務除外”的規定。將單純個人用途使用數據的行為納入監管。
其次是對象,除了企業,社會團體、政府部門、個人乃至境外的機構都覆蓋其中。具體而言,在中華人民共和國境內開展數據活動的一切主體,都是規范的對象。根據對象的不同,也對應了不同的《數安法》要求。最基礎的是合法義務,境內主體還有配合義務和報告義務的基礎要求。企業們還有建立相關內容管理機制義務和員工培訓義務。政府部門則有一個專屬的政務公開義務。
最后是空間上,《數安法》特別覆蓋了境外對象,并依據保護管轄原則,規定數據活動無論在境內還是境外,只要損害我國國家安全、他人合法權益的,就要依法追究法律責任。這一新改變,能更好適應當前數據沒有國界、數據所有者主體全球化的現實情況。
數據安全建設挑戰再升級
作為最常見、最主流數據資產主體,企業和政府機構無疑是受《數安法》影響最大的對象。《數安法》中明確要求數據采來源及采集方式的合法性,明確規定任何組織、個人收集數據,必須采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
《數安法》還規定了專門提供在線數據處理等服務的經營者,應當依法取得經營業務許可或者備案。這無疑給數據處理服務企業設立了硬性門檻。此外,從事數據交易中介服務的機構在提供交易中介服務時,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。更加嚴苛的數據交易制度,將每時每刻挑戰那些不推進數據安全建設的企業,一旦被處罰,就將影響其未來數據市場中的聲譽。
企業、政府機構類主體相較個人多出的內部管理機制、員工培訓義務也是《數安法》中的新要求,后者指出開展數據活動應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。
為數據加上“防護罩”,明確數據活動的紅線
隨著“新基建”的開展,潛藏其中的數據危機也衍生出新一輪的網絡安全挑戰。去年,勒索病毒依舊呈現周期性爆發的趨勢,我國多家醫院、臺積電等均曾遭遇過勒索軟件攻擊;年初微盟刪庫事件,為互聯網行業敲響了警鐘,《數安法》的出臺將顯得尤為迫切。
在我國,數據產業已經形成一個完整產業鏈,涉及數據收集、存儲、加工、使用、交付、流通等諸多環節,《數安法》的出臺,將填補政策和法律的鴻溝,打破政策鼓勵數據應用與流通交易,而法律法規相對滯后的局面。《數安法》公布后為數據產業、數據智能經濟的劃定了邊界,明確了數據活動紅線,讓其發展有章可循。
這一人工智能與大數據時代所呼喚的數據規則,對于大數據數據及產業安全而言,無疑是一大利好,既約束了數據的濫用和非法采集,又保護了數據提供方和普通民眾的信息,只有合法、合規運營,才能讓數據價值最大化,讓數據真正成為數字經濟發展的流動的血液,在《數安法》的契機下,以數據開放、數據保護、數據流動等為基礎的數據規則或將構建并逐步完善,不斷促進數字經濟發展。
迎接挑戰,應緊踩數據安全建設油門
《數安法》的進一步落地,對企業的數據安全建設提出了要求,將成為企業合規運行的新門檻。尤其是數據的安全防護涉及到多個環節,包括人的管理、行為的控制、代碼的健壯性等一系列問題,這些環節想要囊括到數據安全的防護措施中是非常困難的。
這一點,在《數安法》中也有明確的體現,尤其是明確企業、社會團體以及各種政府部門需要建立相關的內部管理機制、以及進行員工培訓。這顯然需要企業進行全面的數據安全建設動員,考驗企業改造業務的決心。
站在最終實現數據安全的角度來看,盡早直接建立新型、全生命周期的、深入數據流的防護手段,將會成為企業持續升級數據安全建設,高標準滿足數據安全相應合規要求的不二法則。
著眼于日益嚴峻的數據安全挑戰,騰訊安全綜合運用數據安全管理經驗和數據保護技術打造了數據安全治理中心、數據加密服務、密鑰管理系統、憑據管理系統、數據安全審計、堡壘機、敏感數據處理等七大產品體系,針對性地在數據全生命周期每個階段提供保護,通過從數據的產生、傳輸、存儲、處理、共享、使用、銷毀等環節入手,建立一套全生命周期的防護措施。貫穿始終的防護模式,防止一個短板(木桶原理)就導致企業數據安全全盤崩潰。
從另一個角度看,企業的數據安全與安全治理是密不可分的,企業應該通過建立一套全面的數據安全治理平臺,以此來統籌業務數據流和數據風險管控,避免數據安全風險導致企業受到損失。騰訊云就專門打造了企業數據安全解決方案,企業可以極簡快速地構建全生命周期的安全防護體系,同時充分利用騰訊過去20年積累的技術、人才、經驗等優勢,既高質量、高規格地完成了《數安法》中相應數據安全建設的要求,同時又保障了企業自身的數字資產經濟利益。
