《数据安全法》指导下的数据安全发展

VSole2021-11-29 14:50:44

作为我国数据安全领域的基础性法律、 国家安全领域的重要法律,《数据安全法》的出台体现了当前数字经济发展对安全的关键需求,为我国数据安全的发展之路提供了指引。在数字经济发展的场景下,跨系统、跨域和跨境的数据流通共享以及多方的数据联合计算将成为常态,数据安全将不再是一个组织内部的事情,需要构建一个科学的数据安全治理体系,才能有效地保障数据安全,管控数据安全风险。而且,数字经济创新发展的关键在于数据的安全开发利用,需要数据安全和数据开发利用两者的协调发展。

一、建立健全数据安全治理体系

治理不同于自上而下的管理,而是基于关键抓手的、能够充分激发各相关方内驱力的多方协同共治的方式方法。数据已经成为新的生产要素,如果一种数据安全治理体系能够建立起数据与数据处理方之间的正向驱动关系,那么这种体系无疑是非常具有生命力的。

(一)构建基于 DSMM 的数据安全治理体系

《数据安全法》第四条提出:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”治理体系的构建对系统性提高国家的数据安全保障能力非常关键,需要找到关键抓手和基本逻辑,来调动多方力量和资源,发挥各自优势形成良性生态,建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。

国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)是我国有关数据安全治理的首个技术标准,提出了数据安全能力成熟模型(DSMM)。建立基于 DSMM 的数据安全治理体系,以数据为中心,能够系统性提高我国数据安全整体水平。DSMM 在数据分类分级的基础上,从组织建设、制度流程、技术工具和人员能力四个方面,对组织的数据安全能力成熟度进行测评和等级划分,从而在数据和组织间建立正向驱动的关系。根据组织的数据安全能力成熟度等级,可以决定其是否具有处理特定类型、特定等级数据的资质,以实现对数据安全风险的科学管控。这意味着,一个具有更高数据安全能力成熟度等级的组织,能获得处理更多数据资源的机会。该体系将改变过去“合规 + 处罚”的做法,使组织的数据安全水平成为发展的竞争力,从而激发组织主动提升其数据安全能力。

(二)数据侧以数据分类分级为基础和前提

《数据安全法》第二十一条明确提出“国家建立数据分类分级保护制度”,并在此基础上专门规定了对重要数据的保护,要求各地区、各部门、各行业制定各自范围内的“重要数据目录”,并进一步指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。

数据分类分级保护制度作为数据安全治理的基础与前提,将为国家开展“自上而下”的监管提供依据,推动建立重要数据与国家核心数据的统一认定标准;同时,也直接决定了组织对不同类别与等级的数据在安全上应承担的保护义务,并对组织自身的数据安全能力提出了相应的要求。

目前,各地区、各部门正根据《数据安全法》制定地方或行业领域的数据分类分级规范,积极推进数据分类分级保护工作。例如,贵州省率先制定发布了《政府数据 数据分类分级指南》,在全国先试先行;工业和信息化部办公厅发布了《工业数据分类分级指南(试行)》,提出对工业数据的分类和分级标准;金融行业发布了行业标准《金融数据 安全数据安全分级指南》(JR/T 0197—2020)和《证券期货业数据分类分级指引》(JR/T 0158-2018)。数据分类分级已从探索走向实践,各数据安全厂商纷纷发布创新的数据分类分级产品,敏感数据发现和分类分级管理的自动化工具正在被开发使用,极大地提升了数据安全治理的效率。

(三)处理侧以对组织的数据安全能力成熟度测评为抓手

在对数据进行分类分级之后,对组织的数据安全能力成熟度进行测评成为构建治理体系的关键抓手。《数据安全法》第十八条指出“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”。这是对数据安全相关测评特别是 DSMM 测评认证最好的支持,在法律层面充分肯定了测评认证专业机构在带动数据安全合规建设和服务发展方面的积极作用。目前,我国已发展形成了多个从事 DSMM 测评认证的专业机构。其中,首个获得国家认监委授权的DSMM认证机构贵州大数据安全工程研究中心,正在全国范围内推广实施 DSMM 测评认证,并且,已有超过百家组织通过了测评。

通过 DSMM 测评认证的组织能够获得全方位的数据安全建设指导性纲要,使其对自身的数据安全建设充满信心。对企业来说,能够对自身数据安全整体状况做到心中有数,并可将“数据安全能力水平”作为宣传自身品牌的差异化标签。对政府机关、事业单位来说,除了能及时发现数据安全短板、查漏补缺之外,还可掌握地方相关组织、部门的数据安全整体水平。与此同时,各地政府也逐步认识到DSMM 测评认证的重要性,纷纷出台激励政策鼓励企业或组织参加 DSMM 测评认证,对获得证书的企业或组织进行补贴,并在一些重要数据安全项目招标中加入 DSMM 测评认证的控标要求。

二、保障数据安全与数据开发利用的协调发展

数字经济已成为支撑我国经济发展的重要引擎,数据开发利用则是数字经济创新发展的关键,需将保障数据安全贯穿于数据开发利用的全过程,防范和化解影响我国数字经济发展过程中的安全风险,同步提升数据安全和数据开发利用水平。

(一)在数据安全与发展之间取得平衡

《数据安全法》第二章的主题是数据安全与发展,其第十三条提出:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。该条款的目的是取得数据安全与发展之间的平衡,保障数据安全与促进数据开发利用和产业发展是相辅相成的,既不能以发展之名忽略安全,也不能以安全之名阻碍发展。数字经济需要充分挖掘数据的价值,将数据作为生产要素进行开发利用,同时,在数据开发利用的过程中,又需要充分保障数据的安全。

数据的开发利用为数据安全提供了技术支持和概念革新,数据安全为数据的开发利用提供了基础的保障和稳固的底盘。数字经济时代与过去不同,在很多场景下会先有数据再有应用,基于数据的数字创新应用开发将成为常态。数据安全影响国家发展与安全,关系公众利益和公民个人权益,应建立数据全生命周期安全的概念,关注数据的流通共享,确保以安全为前提进行数据的开发利用。

(二)推进政务数据安全开发利用

《数据安全法》第五章聚焦的政务数据安全与开放,是数据安全开发利用的一个特定应用场景。它在保障政务数据安全方面,对国家机关收集、使用数据的行为和能力提出了要求,严格监督可能涉及的第三方;在推动政务数据开发利用方面,明确了以及时、准确公开为原则,要求“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台”,这为政府各部门安全开放数据提供了法律支持和行动指导,为我国数字政府和智慧城市建设铺平了道路。

国家在“十四五”规划进程中将大力推进电子政务建设,政务数据开放将进一步提升政府工作效能。政务数据在采集、存储、加工过程中的安全非常关键,需要被合理、合法、安全地使用。在智慧城市应用场景下,跨域数据的流通共享与联合计算需求日益增多,政务数据开放平台和基于隐私计算技术的数据协同应用平台将得到广泛应用。利用可信执行环境、联邦学习、安全多方计算、同态加密和差分隐私等技术搭建隐私计算平台,可实现多方数据的协同安全计算,它与政务数据开放平台一起,能够打破数据孤岛,联通政务数据和各行业领域数据,从而促进政务数据的安全开发利用,充分挖掘政务数据的价值。

(三)为数据安全开发利用培养足够的专业人才

数据安全开发利用离不开相关专业人才的支撑,《数据安全法》第二十条明确提出“国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。”这体现了国家对培养数据安全专业人才的重视,鼓励企业与高等院校联合,从多个渠道培养数据开发利用和安全人才。企业也能够从教育培训等领域寻找自身商业机会,带动数字产业的发展与创新。通过专业的培训,能够提高组织人员的数据安全技能,为数据安全产业发展和数字经济发展注入强大的人才动力。

经过多年的发展,我国在网络安全领域已建立起较为完善的人才培养体系,网络安全也成为一级学科。在数据安全领域,人才的培养还没有上升到数字经济所要求的高度,相关的培训内容还不够完善。对于数据安全,既需要拥有了解组织数据安全战略规划的数据安全管理专家,也需要懂具体业务场景,掌握相关数据安全技术的数据安全工程师。

三、对数据跨境流动进行严格安全审查

《数据安全法》第二十四条明确提出:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,包含对数据跨境流动的安全审查。该法第三十一条规定了关键信息基础设施运营者重要数据的出境安全管理,适用《网络安全法》的规定,其他主体重要数据的出境则适用于国家网信部门会同国务院制定的管理办法。通过区分主体的监管思路,进一步明确补充了对重要数据出境的规定,也使数据分类分级保护制度能够更好地与关键信息基础设施保护要求相协调。此外,法案第三十六条针对外国司法或执法机构调取我国数据的情况进行了规定,即非经主管机关批准,境内组织、个人不得擅自提供境内的数据,此举是依法应对域外“长臂管辖”所作出的防御性措施。

在当前全球尚未形成共识的数据安全治理体系框架条件下,数据的跨境流动带来了敏感数据泄露、授权管理、数据权属、流向追踪和法律风险等系列问题,并难以对数据接收方的数据处理活动进行监控和审计。因此,对于涉及国家、公民的敏感数据,要严格遵守“非必要不出境”原则,尽量做到数据在本地存储、分析和利用。确需出境的数据,需经过匿名化、去标识化和脱敏处理,并对跨境数据进行严格的安全审查,杜绝敏感信息外泄。对于关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据,应严禁跨境流动并防范潜在数据跨境风险,防止中国拥有大量核心数据企业赴美国上市类似事件的发生。

数据安全数字经济
本作品采用《CC 协议》,转载必须注明作者和本文链接
随着数字经济加速发展,数据已成为重要生产要素。加强数据治理、保护数据安全,为数字经济持续健康发展筑牢安全屏障,这是时代发展的客观需要。
2021年7月29日, ISC 2021第九届互联网安全大会迎来“技术日”,在“融合与创新、应用与安全——商用密码应用论坛”中,三未信安CEO张岳公受邀为大家带来主题演讲:“数字经济时代的密码技术”。从密码技术创新的视角,分享了自己对数字经济时代密码技术所面临的新需求、新机遇、新挑战的独到见解,并提出当前需要重点解决的数据安全和隐私保护问题,以及三未信安利用密码核心技术保障数据安全的创新实践经验。
个人信息是重要的数字资产。加强个人信息保护,规范个人信息的获取及使用,不仅事关个人权益维护,也关系数字经济健康发展。“十四五”规划和2035年远景目标纲要对加快推进数据安全、个人信息保护等领域基础性立法提出明确要求。民法典对个人信息保护作出了规定。今年8月,个人信息保护法通过,于11月正式施行。这是一部专门规定个人信息保护基本原则和制度的法律,有力增强了个人信息保护的系统性、权威性和针对性,对于统
9月23日,以“积极推动网络安全新技术应用,携手构建网络安全新发展格局”及“促进网络安全新兴技术与产业创新融合发展”为主题的中国网络空间新兴技术安全创新论坛第一次成员大会暨2021年网络空间安全创新技术高峰论坛于深圳隆重召开。作为主要协办单位之一,天融信科技集团深度参与此次大会。
10月12日,由中央网信办网络数据管理局、国家市场监督管理总局认证监管司、陕西省委网信办、西安市委网信办指导,中国网络安全审查技术与认证中心、中国网络空间安全协会主办,天融信科技集团承办的“数据安全数字经济发展”论坛顺利举行。唐宁在论坛上宣布,天融信正式发布基于IPDRR的工业互联网数据安全体系,依据工业特征,构建以数据为对象的安全能力闭环,夯实工业互联网安全根基,筑牢国家网络安全防线。
发展数字经济是把握、用好新一轮科技革命和产业变革新机遇的战略选择。近年来,我国数字经济发展取得举世瞩目成就,对经济社会发展的支撑作用日益凸显。与此同时,我国数字经济大而不强、数据安全治理体系不健全等问题仍较突出。
12月11日,由中国社会治理研究会数字治理分会指导、北京师范大学互联网发展研究院主办、北京师范大学新闻传播学院协办的“数据安全数字治理”专家研讨会在京举行。研讨会围绕近日国家网信办发布的《网络数据安全管理条例(征求意见稿)》进行了交流研讨。
国家在加快建设数字中国和数字政府,发展数字经济,总体来讲是在建设一个数字化、网络化、智能化社会,打造数字化生态,这是一个复杂的系统工程。在这个复杂系统工程中,网络和数据安全极为重要,为此,在数字政府建设过程中,要提升全社会特别是政府部门的网络安全意识,建设良好的网络安全生态环境,护航数字经济发展。
本文梳理了我国2022年上半年发布的网络安全和数据安全领域国家法律法规、行业规章、地方政策、技术标准和产业报告等近150项文件,供产业人士参考。
今年是党的二十大召开之年,也是实施“十四五”数字经济规划承上启下的重要一年,做好数据安全工作意义重大。
VSole
网络安全专家