关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


《数据安全法》解读:如何实现数据“可用不可见”的安全目标?

2022-07-12 10:07 推荐: 浏览: 31字号:

摘要: 文 | 范渊2021年6月10日,《数据安全法》经十三届全国人大常委会第二十九次会议通过,并将于2021年9月1日起施行。本法是数据领域的基础性法律,也是国家安全领域的一部重要法律。随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政...

文 | 范渊

2021年6月10日,《数据安全法》经十三届全国人大常委会第二十九次会议通过,并将于2021年9月1日起施行。本法是数据领域的基础性法律,也是国家安全领域的一部重要法律。

随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心的资产。随着合资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用。

与此同时,数据泄露也成为一大隐患。据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增长284%。

数据泄露事件影响大、损失重。数据掌控、利用以及保护能力,既是确保广大人民群众在数字化发展中获得更多幸福感、安全感,也是提升国家竞争力的核心要素。

《数据安全法》的出台标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化。

《数据安全法》出台背景:外力驱动和内部需求

先看外力驱动。2018年3月23日,时任美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。

2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。

目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。

欧美国家将数据主权从物理边界转向技术边界,将会直接影响到第三方国家的主权。面对数据跨境流动愈加频繁,必须尽快完善我国相关法律法规,保护我国国家利益、跨国公司以及公民个人利益。

再看内部需求。2020年全球新冠肺炎疫情给经济带来了沉重的打击,当前全球经济特别是传统经济增长缓慢,迫切需要通过新的经济增长点拉动内需,增加就业,而数字经济正是切入点和发动机,国家将发展数字经济提升到国家战略高度也是恰逢其时。

近年来数字经济增速证明了数字经济发展空间巨大,数字经济已成为我国国民经济增长要素的重要一员。中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元,数字经济总体规模占GDP的比重从2005年的14.2%提升至2019年的36.2%。

《数据安全法》正式出台之前,国务院已发布多个相关政策规定:2015年发布《促进大数据发展行动纲要》,2018年发布《科学数据管理办法》,2020年发布《关于构建更加完善的要素市场化配置体制机制的意见》。2021年3月12日,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布。这充分体现了数据安全政策导向明确,国家数据战略清晰。

在此背景下,出台《数据安全法》,维护了我国的数据主权,保障了国家的安全、促进了经济健康发展,为中国数字经济的安全发展保驾护航。

数据安全建设的几点建议

作为数据安全管理的基本大法,《数据安全法》实施后,单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。

未来如何做好数据安全建设?概括来说,政企在进行数据安全能力建设时,需要考虑数据安全、访问控制以及数据保护三个层面。

《数据安全法》解读:如何实现数据“可用不可见”的安全目标?

数据安全的首要目标是需要找数据在哪里?数据的主体是谁?访问控制是目前主流的数据安全能力之一,首要目标是数据使用者如何证明具备相应的数据权限?数据保护是更高层面的建设框架,首要目标是组织或个人如何确保数据已经被保护好了?

对于IT和信息安全从业人员来说,数据安全能力建设是最艰巨的任务之一。数据安全能力的建设,在业务层面,应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全体系;在技术层面,应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力四大核心数据能力;最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。

第一,建立健全管理组织体系和组织架构。企业数据安全管理的成败,主要取决于主要领导是否重视?意识是否提升?全员是否参与?是否建立了一套完善的数据安全管理组织?这是数据安全的重要保障。要形成“管理层重视、一把手负责、全员参与”的管理模式。

第二,建立完善的数据安全技术体系和落地。传统方式已经无法适应新时代数据安全需要,面临安全的新态势、新要求,在继续做好业务安全的基础之上,通过智能化管理平台,在技术层面实现对风险核查(Check)能力、数据梳理(Assort)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力四大核心能力的建设,在业务层面,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。

第三,引进下一代技术,实现流程自动化。人工智能和机器学习将是未来数据安全工作的关键,目前,多数大型企业正在寻求使某些法规遵从流程自动化,包括数据定位和提取。自动化是大型企业保持对大量存储在数据中心和云中的结构化和非结构化数据兼容的唯一方式。对于数据安全能力建设较为薄弱的企业,建议考虑零信任模式作为一种安全策略,有了“零信任”,企业将着眼于数据管理的整个生命周期,并将关注点从数据安全本身扩展到企业整体信息安全框架。

第四,政府需落实数据安全保护责任,推动政务数据开放利用。政务数据安全与开发作为《数据安全法》的独立章节,要求我国政府在落实数据安全保护责任的同时,推动政务数据开放利用。但是如何才能实现数据要素安全、高效的共享开放?数据要素市场化与个人隐私保护、敏感数据使用、数据确权等如何兼顾?可行的方法是通过引入“数据安全岛”模式,利用安全计算沙箱、安全多方计算、区块链等技术,实现原始数据不出本地,只交换计算结果,做到数据共享的“可用不可见”,解决数据信任和隐私保护、溯源等难题,让流动的数据成为驱动数字经济发展的新动能。

《数据安全法》是继《网络安全法》提出数据的概念后,我国在数据安全立法层面的又一个重大里程碑,是中国数字经济高速发展的压舱石和定海神针。相信随着《数据安全法》的出台和落地实施,数据要素安全管控和市场化将同步提升,数据资源将会迸发出更大的活力,数字经济将在“十四五”时期更加蓬勃发展。

(作者系安恒信息董事长)

(本文刊发于《中国经济周刊》2021年第11期)

《数据安全法》解读:如何实现数据“可用不可见”的安全目标?

《中国经济周刊》第11期封面

联系站长租广告位!

中国首席信息安全官
Copy link