随着数据“升格”为第五大生产要素,数据的价值受到了空前的重视。对于企业而言,掌控和利用数据的能力将成为核心竞争力,决定企业能否长远发展。在挖掘数据价值、驱动业务增长的同时,企业必须着力推进数据治理以及数据安全建设,保障自身的业务和资产安全。
“合规”是企业数据治理以及数据安全建设的基础要求。近年来,我国相继出台了《个人信息保护法》《数据安全法》《网络安全法》等法律,《网络数据安全管理条例(征求意见稿)》等规章制度,以及一系列的数据安全国家标准,形成了层次清晰、架构完整、联系紧密的数据安全法律法规体系。企业开展数据治理以及数据安全建设之前,必须充分了解相关法律体系,站在全局视角规划企业的合规路径。
我国的数据安全法律法规体系经历了从无到有、从零散到完备、从借鉴到创新的发展过程。纵观法律体系的发展历程和现状,我们可以总结出以下特点。
近年来,随着数据安全立法的加速,我国已经初步建立了涵盖法律、行政法规、部门规章、地方性法规、地方政府规章、规范性文件、国家标准7大层次的法律法规体系。
在此体系中,《网络安全法》《数据安全法》和《个人信息保护法》三部基本法律构成了基础的治理框架。《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法》等行政法规是对三部上位法的补充、落实和细化。《工业和信息化领域数据安全管理办法试行(征求意见稿)》《浙江省公共数据条例》等行业规章和地方性法规充分结合行业、地域特点,将合规要求继续细化。GB/T 41479-2022《信息安全技术 网络数据处理安全要求》、GB/T 35273-2020《信息安全技术 个人信息安全规范》等一系列国标、行标,为企业数据安全建设提供了明确的框架、具体的路径、量化的指标。各类数据安全部门规章、地方性法规还在陆续出台,相关国标也在紧锣密鼓的编制。
日趋完善的法律体系为企业数据安全建设提供了法律依据,也提出了高要求、树立了严标准。
2. 数据合规要求从“保护”演变为“保护与利用并重”
在数据安全法律法规体系快速发展的过程中,数据安全的内涵不断演进、外延不断扩大,数据从单纯的被保护对象逐步转变为应用与安全并重的生产要素。
在国际标准ISO/IEC 27001和27002以及国家标准GB/T 22080和22081构成的信息管理体系中,信息安全(数据安全)的定义是对信息的保密性、完整性和可用性的保持。而在《个人信息保护法》中,已经将个人信息安全与保护作为数据主体的个人享有个人信息的众多权益放在了同样重要的位置。随着《数据安全法》的发布,数据安全的内涵继续延展。《数据安全法》第3条规定:“数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”可以看出,数据安全的内涵已经演变为保护和利用并重,并且强调数据的持续安全状态。
随着法律体系的完善,数据安全与网络安全的联系也越发清晰和紧密。《数据安全法》第27条规定:“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。”在互联网时代,数据安全合规建立在网络安全合规基础之上。企业必须正确处理数据安全和网络安全的关系,做到全面布局,统筹建设,持续发展。
随着数据安全立法的稳步推进,我国对数据安全的监管也日趋正规化、严格化、常态化,执法力度和频率明显加大。
截至8月31日,2023年已有146起依据《数据安全法》作出行政处罚决定的案例对外公示,涉事单位覆盖物业、信息技术、零售、娱乐、医疗、教育、餐饮等多个行业,未采取技术措施保障数据安全、未建立健全流程数据安全管理制度、未组织开展数据安全教育培训是被处罚的主要原因。相比之下,2022年全年公示的案例仅有11起。
虽然监管部门的处罚方式以警告、责令改正为主,仅当确实发生数据泄露事件或构成其他严重后果时才作罚款或逮捕处理,但企业所面临的数据安全合规压力仍旧与日俱增。
随着数据安全法律法规体系日趋完善,企业的数据安全合规建设也进入了新阶段。基于现有法条的要求,结合未来的立法趋势,企业普遍建设面临以下几方面的合规挑战。
纵览数据安全立法进程,合规要求已经从单纯的保护数据安全,逐步转变为数据的有效保护和合法利用。随着企业数字化转型持续深入、业务数字化水平持续提升,企业掌握的数据将成为核心资产,不但能持续为企业业务赋能,未来还能够作为生产要素对外交易。保护数据的安全,就是保护企业生存和发展的权利。
受限于自身的能力,企业不足以凭借一己之力规划、建设兼具前瞻性与落地性、满足体系化与场景化需求的数据安全体系。因此,按照法律体系的合规要求展开数据安全建设是企业的“最优解”。同时,企业还必须正视数据安全的外部性,认识到与大众个人信息有关的数据事关国家安全与社会稳定,保障数据安全是企业天然的义务和责任。
数据分类分级保护制度是数据安全合规建设的基础。《数据安全法》第21条规定:“国家建立数据分类分级保护制度”,“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”《信息安全技术 网络数据分类分级要求》(征求意见稿) 进一步明确了数据分类分级框架和考虑要素,细化了分类分级工作的参考规则和实施流程,对行业领域数据和个人信息分类分级等具体工作提供了指引。一系列行业性、地方性的数据分类分级标准也相继发布,对企业的要求更加细致、量化。
尽管国标、行标给出了数据分类分级的基本流程,但企业在落实相关要求时普遍面临三大挑战。第一,企业的数据资产数量大、分布散、类型杂,难以高效识别和梳理。第二,受限于人力资源和技术水平,企业普遍对数据分级分类缺乏高效的指导技术和方法,导致耗费大量人力且实践效果不佳。第三,随着数字化转型不断深入,企业的数据资产规模持续快速增长,类型更加丰富,企业必须建立动态的分类分级标准,采用自动化的工具,才能提高效率,保证合规建设的延续性和持久性。
管理制度为数据安全合规建设提供制度保障。《数据安全法》第27条规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度”,“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。” 《网络数据安全管理条例(征求意见稿)》第6条要求:“数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。”
长久以来,企业的信息安全工作都由IT运维部门负责,在数据安全合规建设中容易出现以下管理问题。第一,数据流通流转贯穿于数字化业务流程的全流程,数据安全也随之成为业务安全的“原生需求”。但受限于原有的组织架构和管理制度,业务部门并不承担数据安全职能,对相关工作也不够重视。企业迫切需要通过调整管理制度,明确责任归属,建立制度规范,开展技能培训,制定应急预案,提升业务部门对数据安全的参与度。第二,企业的数据安全负责人兼具法律、业务、技术三种视角,才能规划出合规建设的最佳路径,充分整合内外部资源,高效推动项目建设。
数字时代,数据安全合规建设必须建立在网络安全合规的基础之上。GB/T 41479-2022《信息安全技术 网络数据处理安全要求》对数据的“风险防控”提出了具体的要求,网络运营者“开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其它必要措施,加强数据安全防护,保护数据免受泄密、窃取、篡改、损毁、不当使用等”,并对数据的收集、存储、使用、加工、传输、提供、公开等环节做出了细化要求。
这对企业的网络安全建设提出了“内”与“外”两方面的要求。在内部管理上,应重点关注数据的备份、加密和访问控制。在对外的数据传输和存储上,企业需要保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用。面对快速变化的网络安全态势,企业在“内”“外”两个层次上都必须进行动态的、持续的安全建设。2023年,ChatGPT等生成式人工智能工具的快速普及使得企业面临严峻的钓鱼攻击威胁,API攻击的爆发式增长给企业带来新的网络安全挑战。企业必须持续强化、更新网络安全防御体系,才能满足数据安全合规需求。
《数据安全法》第3条规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”这就要求企业不但要关注数据的即时状态,还要通过数据安全评估、数据风险监测、事件响应处置等措施,保证数据长期、持续的安全状态。
建立长效的数据安全评估机制,其目的在于督促企业建立动态的、可持续的数据安全运营体系,引导企业的数据安全防护体系从一次性的建设向常态化的运营转变。企业应以数据安全评估为契机,打造覆盖“策略→防护→监测→响应”的数据安全闭环管理流程,借助安全评估、实战演练,持续强化数据安全防护、提升数据安全水平,让数据更好地为企业发展赋能。
面对企业的数据安全合规建设需求,芯盾时代基于对数据安全法律法规体系的深度理解、在企业数据安全建设上的丰富经验,将零信任理念引入数据安全领域,推出了数据安全态势感知解决方案,采用新理念、新架构、新技术,帮助企业升级数据安全防护体系,满足合规要求,提升防护水平。
芯盾时代综合考虑数据安全合规要求,结合企业自身业务特点,为企业量身定制最优的数据安全合规建设路径。结合海量数据安全建设实践、完善的数据安全产品线,帮助企业制定数据安全战略,明确组织架构与管理制度,建立数据安全技术体系,打造数据安全运营体系,为企业构建数据安全基座。
严格按照《数据安全法》、《网络数据安全管理条例(征求意见稿)》、《信息安全技术 网络数据分类分级要求(征求意见稿)》等法律法规的要求,采用大数据技术和AI技术,为企业建立具备自适应学习能力的数据度量模型,帮助企业主动发现数据资产,精准标识生产经营数据,并持续调优分类标准,实现数据分类分级的动态化、智能化,更好的满足合规要求。
帮助企业建立自上而下的组织架构,明确数据安全管理机构与专职岗位的权限与职责,明确考核机制。在管理制度上,整合丰富的数据安全项目经验,参考DSMM(数据安全成熟度模型),帮助企业制定符合法律法规、满足业务需求的、层次清晰的数据安全规范体系。同时,帮助企业开展数据安全培训、建立应急预案,全方位提升企业的数据安全能力。
按照网络安全等级保护制度的要求,从身份、设备、行为三个维度为企业构建零信任架构,帮助企业强化网络安全防护体系。借助自主研发的用户身份与访问管理平台(IAM)、零信任业务安全平台(SDP)、智能终端密码模块(PMIT)、API安全网关等产品,为企业建立以“身份”为核心的动态访问控制体系,实现对数据资源访问的最小化授权。在收敛数据资源暴露面、减少网络攻击的同时,通过对数据的加密、脱敏,保证数据被安全传输和存储。
为企业建立数据安全监督体系,针对数据全生命周期各阶段的安全管理情况进行监控与审计,以保证数据安全治理可以有效、持续地创造价值。借助监督体系,定期开展数据安全评估,对规章制度体系、安全防护体系、安全运营体系的实际运转情况进行检查,并根据评估结果持续改进数据安全体系,确保数据安全运营的有效性和持续性,满足法律法规的评估要求。
目前,我国企业的数据应用刚刚起步,主要集中在精准营销等有限场景,未能从业务转型角度开展预测性和决策性分析,没有更深层次挖掘数据资产的潜在价值。随着企业数据安全合规建设的逐步深入,企业将构建坚实的数据安全基座,更好地拓宽数据的应用场景、发掘数据的潜在价值,让数据成为数字化时代的“新石油”,成为企业的长远发展的源动力。
本科毕业于清华大学,研究生毕业于中国科学院,长期深耕于网络与信息安全领域,对安全市场有广阔的视野和深入的理解。现担任北京市工商联执行委员、中国指挥与控制学会公共安全数据工程专委会委员、中国计算机学会抗恶劣环境计算机专委会委员,中国通信学会公共安全通信委员会委员、中国能源研究会专委会委员等社会职务。
本科、研究生毕业于北京邮电大学,现清华大学五道口金融学院EMBA在读。孙悦率先提出“以人为核心的业务安全”理念,开创性地解决开放网络环境下各行业在数字化发展过程中遇到的业务安全问题。现担任中国网络安全产业联盟专家库专家、全国金融标准化技术委员会专项工作组专家、中国能源研究会专委会委员、新基建创新研究院信创专家、北京市门头沟区工商联副主席等社会职务。
