在這之前,國內(nèi)數(shù)據(jù)安全建設(shè)的指導(dǎo)性文件,是國家互聯(lián)網(wǎng)信息辦公室去年5月28日發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》(以下簡稱《辦法》)。《數(shù)安法》和《辦法》之間的關(guān)系十分緊密,互為補充和支撐,共同搭建更加強大的數(shù)據(jù)安全保護體系,也體現(xiàn)了國家對于數(shù)據(jù)安全保護的高度重視。
但相應(yīng)的,《數(shù)安法》中的大部分細則較《辦法》都有了進一步的明晰和提升,《數(shù)安法》對企業(yè)而言,也已經(jīng)成為了數(shù)據(jù)安全建設(shè)的全新挑戰(zhàn)。
覆蓋更廣的數(shù)據(jù)安全保護
此次《數(shù)安法》的一大特點,就是“覆蓋更廣”,具體分為行為、對象和空間上的規(guī)范。
先說行為,《數(shù)安法》明確了數(shù)據(jù)的概念,是指任何以電子或者非電子形式對信息的記錄,需要遵守規(guī)范的“數(shù)據(jù)活動”包括:數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。環(huán)節(jié)的數(shù)量較《辦法》中增加了4個,同時刪除了“純粹家庭和個人事務(wù)除外”的規(guī)定。將單純個人用途使用數(shù)據(jù)的行為納入監(jiān)管。
其次是對象,除了企業(yè),社會團體、政府部門、個人乃至境外的機構(gòu)都覆蓋其中。具體而言,在中華人民共和國境內(nèi)開展數(shù)據(jù)活動的一切主體,都是規(guī)范的對象。根據(jù)對象的不同,也對應(yīng)了不同的《數(shù)安法》要求。最基礎(chǔ)的是合法義務(wù),境內(nèi)主體還有配合義務(wù)和報告義務(wù)的基礎(chǔ)要求。企業(yè)們還有建立相關(guān)內(nèi)容管理機制義務(wù)和員工培訓(xùn)義務(wù)。政府部門則有一個專屬的政務(wù)公開義務(wù)。
最后是空間上,《數(shù)安法》特別覆蓋了境外對象,并依據(jù)保護管轄原則,規(guī)定數(shù)據(jù)活動無論在境內(nèi)還是境外,只要損害我國國家安全、他人合法權(quán)益的,就要依法追究法律責(zé)任。這一新改變,能更好適應(yīng)當(dāng)前數(shù)據(jù)沒有國界、數(shù)據(jù)所有者主體全球化的現(xiàn)實情況。
數(shù)據(jù)安全建設(shè)挑戰(zhàn)再升級
作為最常見、最主流數(shù)據(jù)資產(chǎn)主體,企業(yè)和政府機構(gòu)無疑是受《數(shù)安法》影響最大的對象。《數(shù)安法》中明確要求數(shù)據(jù)采來源及采集方式的合法性,明確規(guī)定任何組織、個人收集數(shù)據(jù),必須采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。
《數(shù)安法》還規(guī)定了專門提供在線數(shù)據(jù)處理等服務(wù)的經(jīng)營者,應(yīng)當(dāng)依法取得經(jīng)營業(yè)務(wù)許可或者備案。這無疑給數(shù)據(jù)處理服務(wù)企業(yè)設(shè)立了硬性門檻。此外,從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)在提供交易中介服務(wù)時,應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄。更加嚴苛的數(shù)據(jù)交易制度,將每時每刻挑戰(zhàn)那些不推進數(shù)據(jù)安全建設(shè)的企業(yè),一旦被處罰,就將影響其未來數(shù)據(jù)市場中的聲譽。
企業(yè)、政府機構(gòu)類主體相較個人多出的內(nèi)部管理機制、員工培訓(xùn)義務(wù)也是《數(shù)安法》中的新要求,后者指出開展數(shù)據(jù)活動應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和國家標(biāo)準的強制性要求,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。
為數(shù)據(jù)加上“防護罩”,明確數(shù)據(jù)活動的紅線
隨著“新基建”的開展,潛藏其中的數(shù)據(jù)危機也衍生出新一輪的網(wǎng)絡(luò)安全挑戰(zhàn)。去年,勒索病毒依舊呈現(xiàn)周期性爆發(fā)的趨勢,我國多家醫(yī)院、臺積電等均曾遭遇過勒索軟件攻擊;年初微盟刪庫事件,為互聯(lián)網(wǎng)行業(yè)敲響了警鐘,《數(shù)安法》的出臺將顯得尤為迫切。
在我國,數(shù)據(jù)產(chǎn)業(yè)已經(jīng)形成一個完整產(chǎn)業(yè)鏈,涉及數(shù)據(jù)收集、存儲、加工、使用、交付、流通等諸多環(huán)節(jié),《數(shù)安法》的出臺,將填補政策和法律的鴻溝,打破政策鼓勵數(shù)據(jù)應(yīng)用與流通交易,而法律法規(guī)相對滯后的局面。《數(shù)安法》公布后為數(shù)據(jù)產(chǎn)業(yè)、數(shù)據(jù)智能經(jīng)濟的劃定了邊界,明確了數(shù)據(jù)活動紅線,讓其發(fā)展有章可循。
這一人工智能與大數(shù)據(jù)時代所呼喚的數(shù)據(jù)規(guī)則,對于大數(shù)據(jù)數(shù)據(jù)及產(chǎn)業(yè)安全而言,無疑是一大利好,既約束了數(shù)據(jù)的濫用和非法采集,又保護了數(shù)據(jù)提供方和普通民眾的信息,只有合法、合規(guī)運營,才能讓數(shù)據(jù)價值最大化,讓數(shù)據(jù)真正成為數(shù)字經(jīng)濟發(fā)展的流動的血液,在《數(shù)安法》的契機下,以數(shù)據(jù)開放、數(shù)據(jù)保護、數(shù)據(jù)流動等為基礎(chǔ)的數(shù)據(jù)規(guī)則或?qū)?gòu)建并逐步完善,不斷促進數(shù)字經(jīng)濟發(fā)展。
迎接挑戰(zhàn),應(yīng)緊踩數(shù)據(jù)安全建設(shè)油門
《數(shù)安法》的進一步落地,對企業(yè)的數(shù)據(jù)安全建設(shè)提出了要求,將成為企業(yè)合規(guī)運行的新門檻。尤其是數(shù)據(jù)的安全防護涉及到多個環(huán)節(jié),包括人的管理、行為的控制、代碼的健壯性等一系列問題,這些環(huán)節(jié)想要囊括到數(shù)據(jù)安全的防護措施中是非常困難的。
這一點,在《數(shù)安法》中也有明確的體現(xiàn),尤其是明確企業(yè)、社會團體以及各種政府部門需要建立相關(guān)的內(nèi)部管理機制、以及進行員工培訓(xùn)。這顯然需要企業(yè)進行全面的數(shù)據(jù)安全建設(shè)動員,考驗企業(yè)改造業(yè)務(wù)的決心。
站在最終實現(xiàn)數(shù)據(jù)安全的角度來看,盡早直接建立新型、全生命周期的、深入數(shù)據(jù)流的防護手段,將會成為企業(yè)持續(xù)升級數(shù)據(jù)安全建設(shè),高標(biāo)準滿足數(shù)據(jù)安全相應(yīng)合規(guī)要求的不二法則。
著眼于日益嚴峻的數(shù)據(jù)安全挑戰(zhàn),騰訊安全綜合運用數(shù)據(jù)安全管理經(jīng)驗和數(shù)據(jù)保護技術(shù)打造了數(shù)據(jù)安全治理中心、數(shù)據(jù)加密服務(wù)、密鑰管理系統(tǒng)、憑據(jù)管理系統(tǒng)、數(shù)據(jù)安全審計、堡壘機、敏感數(shù)據(jù)處理等七大產(chǎn)品體系,針對性地在數(shù)據(jù)全生命周期每個階段提供保護,通過從數(shù)據(jù)的產(chǎn)生、傳輸、存儲、處理、共享、使用、銷毀等環(huán)節(jié)入手,建立一套全生命周期的防護措施。貫穿始終的防護模式,防止一個短板(木桶原理)就導(dǎo)致企業(yè)數(shù)據(jù)安全全盤崩潰。
從另一個角度看,企業(yè)的數(shù)據(jù)安全與安全治理是密不可分的,企業(yè)應(yīng)該通過建立一套全面的數(shù)據(jù)安全治理平臺,以此來統(tǒng)籌業(yè)務(wù)數(shù)據(jù)流和數(shù)據(jù)風(fēng)險管控,避免數(shù)據(jù)安全風(fēng)險導(dǎo)致企業(yè)受到損失。騰訊云就專門打造了企業(yè)數(shù)據(jù)安全解決方案,企業(yè)可以極簡快速地構(gòu)建全生命周期的安全防護體系,同時充分利用騰訊過去20年積累的技術(shù)、人才、經(jīng)驗等優(yōu)勢,既高質(zhì)量、高規(guī)格地完成了《數(shù)安法》中相應(yīng)數(shù)據(jù)安全建設(shè)的要求,同時又保障了企業(yè)自身的數(shù)字資產(chǎn)經(jīng)濟利益。
