您所在的位置: 首頁 >
新聞資訊 >
政策法規(guī) >
專家解讀 | 《數(shù)據(jù)安全法》指導(dǎo)下的數(shù)據(jù)安全發(fā)展之路
文│ 大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室 唐會芳 翟婷婷
作為我國數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律、 國家安全領(lǐng)域的重要法律,《數(shù)據(jù)安全法》的出臺體現(xiàn)了當(dāng)前數(shù)字經(jīng)濟發(fā)展對安全的關(guān)鍵需求,為我國數(shù)據(jù)安全的發(fā)展之路提供了指引。在數(shù)字經(jīng)濟發(fā)展的場景下,跨系統(tǒng)、跨域和跨境的數(shù)據(jù)流通共享以及多方的數(shù)據(jù)聯(lián)合計算將成為常態(tài),數(shù)據(jù)安全將不再是一個組織內(nèi)部的事情,需要構(gòu)建一個科學(xué)的數(shù)據(jù)安全治理體系,才能有效地保障數(shù)據(jù)安全,管控數(shù)據(jù)安全風(fēng)險。而且,數(shù)字經(jīng)濟創(chuàng)新發(fā)展的關(guān)鍵在于數(shù)據(jù)的安全開發(fā)利用,需要數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用兩者的協(xié)調(diào)發(fā)展。
一、建立健全數(shù)據(jù)安全治理體系
治理不同于自上而下的管理,而是基于關(guān)鍵抓手的、能夠充分激發(fā)各相關(guān)方內(nèi)驅(qū)力的多方協(xié)同共治的方式方法。數(shù)據(jù)已經(jīng)成為新的生產(chǎn)要素,如果一種數(shù)據(jù)安全治理體系能夠建立起數(shù)據(jù)與數(shù)據(jù)處理方之間的正向驅(qū)動關(guān)系,那么這種體系無疑是非常具有生命力的。
(一)構(gòu)建基于 DSMM 的數(shù)據(jù)安全治理體系
《數(shù)據(jù)安全法》第四條提出:“維護(hù)數(shù)據(jù)安全,應(yīng)當(dāng)堅持總體國家安全觀,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力?!敝卫眢w系的構(gòu)建對系統(tǒng)性提高國家的數(shù)據(jù)安全保障能力非常關(guān)鍵,需要找到關(guān)鍵抓手和基本邏輯,來調(diào)動多方力量和資源,發(fā)揮各自優(yōu)勢形成良性生態(tài),建立適應(yīng)當(dāng)今數(shù)字時代的協(xié)同治理模式,共同提升全社會的數(shù)據(jù)安全水平。
國家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)是我國有關(guān)數(shù)據(jù)安全治理的首個技術(shù)標(biāo)準(zhǔn),提出了數(shù)據(jù)安全能力成熟模型(DSMM)。建立基于 DSMM 的數(shù)據(jù)安全治理體系,以數(shù)據(jù)為中心,能夠系統(tǒng)性提高我國數(shù)據(jù)安全整體水平。DSMM 在數(shù)據(jù)分類分級的基礎(chǔ)上,從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個方面,對組織的數(shù)據(jù)安全能力成熟度進(jìn)行測評和等級劃分,從而在數(shù)據(jù)和組織間建立正向驅(qū)動的關(guān)系。根據(jù)組織的數(shù)據(jù)安全能力成熟度等級,可以決定其是否具有處理特定類型、特定等級數(shù)據(jù)的資質(zhì),以實現(xiàn)對數(shù)據(jù)安全風(fēng)險的科學(xué)管控。這意味著,一個具有更高數(shù)據(jù)安全能力成熟度等級的組織,能獲得處理更多數(shù)據(jù)資源的機會。該體系將改變過去“合規(guī) + 處罰”的做法,使組織的數(shù)據(jù)安全水平成為發(fā)展的競爭力,從而激發(fā)組織主動提升其數(shù)據(jù)安全能力。
(二)數(shù)據(jù)側(cè)以數(shù)據(jù)分類分級為基礎(chǔ)和前提
《數(shù)據(jù)安全法》第二十一條明確提出“國家建立數(shù)據(jù)分類分級保護(hù)制度”,并在此基礎(chǔ)上專門規(guī)定了對重要數(shù)據(jù)的保護(hù),要求各地區(qū)、各部門、各行業(yè)制定各自范圍內(nèi)的“重要數(shù)據(jù)目錄”,并進(jìn)一步指出“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù),實行更加嚴(yán)格的管理制度”。
數(shù)據(jù)分類分級保護(hù)制度作為數(shù)據(jù)安全治理的基礎(chǔ)與前提,將為國家開展“自上而下”的監(jiān)管提供依據(jù),推動建立重要數(shù)據(jù)與國家核心數(shù)據(jù)的統(tǒng)一認(rèn)定標(biāo)準(zhǔn);同時,也直接決定了組織對不同類別與等級的數(shù)據(jù)在安全上應(yīng)承擔(dān)的保護(hù)義務(wù),并對組織自身的數(shù)據(jù)安全能力提出了相應(yīng)的要求。
目前,各地區(qū)、各部門正根據(jù)《數(shù)據(jù)安全法》制定地方或行業(yè)領(lǐng)域的數(shù)據(jù)分類分級規(guī)范,積極推進(jìn)數(shù)據(jù)分類分級保護(hù)工作。例如,貴州省率先制定發(fā)布了《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類分級指南》,在全國先試先行;工業(yè)和信息化部辦公廳發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南(試行)》,提出對工業(yè)數(shù)據(jù)的分類和分級標(biāo)準(zhǔn);金融行業(yè)發(fā)布了行業(yè)標(biāo)準(zhǔn)《金融數(shù)據(jù) 安全數(shù)據(jù)安全分級指南》(JR/T 0197—2020)和《證券期貨業(yè)數(shù)據(jù)分類分級指引》(JR/T 0158-2018)。數(shù)據(jù)分類分級已從探索走向?qū)嵺`,各數(shù)據(jù)安全廠商紛紛發(fā)布創(chuàng)新的數(shù)據(jù)分類分級產(chǎn)品,敏感數(shù)據(jù)發(fā)現(xiàn)和分類分級管理的自動化工具正在被開發(fā)使用,極大地提升了數(shù)據(jù)安全治理的效率。
(三)處理側(cè)以對組織的數(shù)據(jù)安全能力成熟度測評為抓手
在對數(shù)據(jù)進(jìn)行分類分級之后,對組織的數(shù)據(jù)安全能力成熟度進(jìn)行測評成為構(gòu)建治理體系的關(guān)鍵抓手?!稊?shù)據(jù)安全法》第十八條指出“國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展,支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動”。這是對數(shù)據(jù)安全相關(guān)測評特別是 DSMM 測評認(rèn)證最好的支持,在法律層面充分肯定了測評認(rèn)證專業(yè)機構(gòu)在帶動數(shù)據(jù)安全合規(guī)建設(shè)和服務(wù)發(fā)展方面的積極作用。目前,我國已發(fā)展形成了多個從事 DSMM 測評認(rèn)證的專業(yè)機構(gòu)。其中,首個獲得國家認(rèn)監(jiān)委授權(quán)的DSMM認(rèn)證機構(gòu)貴州大數(shù)據(jù)安全工程研究中心,正在全國范圍內(nèi)推廣實施 DSMM 測評認(rèn)證,并且,已有超過百家組織通過了測評。
通過 DSMM 測評認(rèn)證的組織能夠獲得全方位的數(shù)據(jù)安全建設(shè)指導(dǎo)性綱要,使其對自身的數(shù)據(jù)安全建設(shè)充滿信心。對企業(yè)來說,能夠?qū)ψ陨頂?shù)據(jù)安全整體狀況做到心中有數(shù),并可將“數(shù)據(jù)安全能力水平”作為宣傳自身品牌的差異化標(biāo)簽。對政府機關(guān)、事業(yè)單位來說,除了能及時發(fā)現(xiàn)數(shù)據(jù)安全短板、查漏補缺之外,還可掌握地方相關(guān)組織、部門的數(shù)據(jù)安全整體水平。與此同時,各地政府也逐步認(rèn)識到DSMM 測評認(rèn)證的重要性,紛紛出臺激勵政策鼓勵企業(yè)或組織參加 DSMM 測評認(rèn)證,對獲得證書的企業(yè)或組織進(jìn)行補貼,并在一些重要數(shù)據(jù)安全項目招標(biāo)中加入 DSMM 測評認(rèn)證的控標(biāo)要求。
二、保障數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的協(xié)調(diào)發(fā)展
數(shù)字經(jīng)濟已成為支撐我國經(jīng)濟發(fā)展的重要引擎,數(shù)據(jù)開發(fā)利用則是數(shù)字經(jīng)濟創(chuàng)新發(fā)展的關(guān)鍵,需將保障數(shù)據(jù)安全貫穿于數(shù)據(jù)開發(fā)利用的全過程,防范和化解影響我國數(shù)字經(jīng)濟發(fā)展過程中的安全風(fēng)險,同步提升數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用水平。
(一)在數(shù)據(jù)安全與發(fā)展之間取得平衡
《數(shù)據(jù)安全法》第二章的主題是數(shù)據(jù)安全與發(fā)展,其第十三條提出:“國家統(tǒng)籌發(fā)展和安全,堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。該條款的目的是取得數(shù)據(jù)安全與發(fā)展之間的平衡,保障數(shù)據(jù)安全與促進(jìn)數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展是相輔相成的,既不能以發(fā)展之名忽略安全,也不能以安全之名阻礙發(fā)展。數(shù)字經(jīng)濟需要充分挖掘數(shù)據(jù)的價值,將數(shù)據(jù)作為生產(chǎn)要素進(jìn)行開發(fā)利用,同時,在數(shù)據(jù)開發(fā)利用的過程中,又需要充分保障數(shù)據(jù)的安全。
數(shù)據(jù)的開發(fā)利用為數(shù)據(jù)安全提供了技術(shù)支持和概念革新,數(shù)據(jù)安全為數(shù)據(jù)的開發(fā)利用提供了基礎(chǔ)的保障和穩(wěn)固的底盤。數(shù)字經(jīng)濟時代與過去不同,在很多場景下會先有數(shù)據(jù)再有應(yīng)用,基于數(shù)據(jù)的數(shù)字創(chuàng)新應(yīng)用開發(fā)將成為常態(tài)。數(shù)據(jù)安全影響國家發(fā)展與安全,關(guān)系公眾利益和公民個人權(quán)益,應(yīng)建立數(shù)據(jù)全生命周期安全的概念,關(guān)注數(shù)據(jù)的流通共享,確保以安全為前提進(jìn)行數(shù)據(jù)的開發(fā)利用。
(二)推進(jìn)政務(wù)數(shù)據(jù)安全開發(fā)利用
《數(shù)據(jù)安全法》第五章聚焦的政務(wù)數(shù)據(jù)安全與開放,是數(shù)據(jù)安全開發(fā)利用的一個特定應(yīng)用場景。它在保障政務(wù)數(shù)據(jù)安全方面,對國家機關(guān)收集、使用數(shù)據(jù)的行為和能力提出了要求,嚴(yán)格監(jiān)督可能涉及的第三方;在推動政務(wù)數(shù)據(jù)開發(fā)利用方面,明確了以及時、準(zhǔn)確公開為原則,要求“國家制定政務(wù)數(shù)據(jù)開放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺”,這為政府各部門安全開放數(shù)據(jù)提供了法律支持和行動指導(dǎo),為我國數(shù)字政府和智慧城市建設(shè)鋪平了道路。
國家在“十四五”規(guī)劃進(jìn)程中將大力推進(jìn)電子政務(wù)建設(shè),政務(wù)數(shù)據(jù)開放將進(jìn)一步提升政府工作效能。政務(wù)數(shù)據(jù)在采集、存儲、加工過程中的安全非常關(guān)鍵,需要被合理、合法、安全地使用。在智慧城市應(yīng)用場景下,跨域數(shù)據(jù)的流通共享與聯(lián)合計算需求日益增多,政務(wù)數(shù)據(jù)開放平臺和基于隱私計算技術(shù)的數(shù)據(jù)協(xié)同應(yīng)用平臺將得到廣泛應(yīng)用。利用可信執(zhí)行環(huán)境、聯(lián)邦學(xué)習(xí)、安全多方計算、同態(tài)加密和差分隱私等技術(shù)搭建隱私計算平臺,可實現(xiàn)多方數(shù)據(jù)的協(xié)同安全計算,它與政務(wù)數(shù)據(jù)開放平臺一起,能夠打破數(shù)據(jù)孤島,聯(lián)通政務(wù)數(shù)據(jù)和各行業(yè)領(lǐng)域數(shù)據(jù),從而促進(jìn)政務(wù)數(shù)據(jù)的安全開發(fā)利用,充分挖掘政務(wù)數(shù)據(jù)的價值。
(三)為數(shù)據(jù)安全開發(fā)利用培養(yǎng)足夠的專業(yè)人才
數(shù)據(jù)安全開發(fā)利用離不開相關(guān)專業(yè)人才的支撐,《數(shù)據(jù)安全法》第二十條明確提出“國家支持教育、科研機構(gòu)和企業(yè)等開展數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn),采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才,促進(jìn)人才交流?!边@體現(xiàn)了國家對培養(yǎng)數(shù)據(jù)安全專業(yè)人才的重視,鼓勵企業(yè)與高等院校聯(lián)合,從多個渠道培養(yǎng)數(shù)據(jù)開發(fā)利用和安全人才。企業(yè)也能夠從教育培訓(xùn)等領(lǐng)域?qū)ふ易陨砩虡I(yè)機會,帶動數(shù)字產(chǎn)業(yè)的發(fā)展與創(chuàng)新。通過專業(yè)的培訓(xùn),能夠提高組織人員的數(shù)據(jù)安全技能,為數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展和數(shù)字經(jīng)濟發(fā)展注入強大的人才動力。
經(jīng)過多年的發(fā)展,我國在網(wǎng)絡(luò)安全領(lǐng)域已建立起較為完善的人才培養(yǎng)體系,網(wǎng)絡(luò)安全也成為一級學(xué)科。在數(shù)據(jù)安全領(lǐng)域,人才的培養(yǎng)還沒有上升到數(shù)字經(jīng)濟所要求的高度,相關(guān)的培訓(xùn)內(nèi)容還不夠完善。對于數(shù)據(jù)安全,既需要擁有了解組織數(shù)據(jù)安全戰(zhàn)略規(guī)劃的數(shù)據(jù)安全管理專家,也需要懂具體業(yè)務(wù)場景,掌握相關(guān)數(shù)據(jù)安全技術(shù)的數(shù)據(jù)安全工程師。
三、對數(shù)據(jù)跨境流動進(jìn)行嚴(yán)格安全審查
《數(shù)據(jù)安全法》第二十四條明確提出:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進(jìn)行國家安全審查”,包含對數(shù)據(jù)跨境流動的安全審查。該法第三十一條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡(luò)安全法》的規(guī)定,其他主體重要數(shù)據(jù)的出境則適用于國家網(wǎng)信部門會同國務(wù)院制定的管理辦法。通過區(qū)分主體的監(jiān)管思路,進(jìn)一步明確補充了對重要數(shù)據(jù)出境的規(guī)定,也使數(shù)據(jù)分類分級保護(hù)制度能夠更好地與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求相協(xié)調(diào)。此外,法案第三十六條針對外國司法或執(zhí)法機構(gòu)調(diào)取我國數(shù)據(jù)的情況進(jìn)行了規(guī)定,即非經(jīng)主管機關(guān)批準(zhǔn),境內(nèi)組織、個人不得擅自提供境內(nèi)的數(shù)據(jù),此舉是依法應(yīng)對域外“長臂管轄”所作出的防御性措施。
在當(dāng)前全球尚未形成共識的數(shù)據(jù)安全治理體系框架條件下,數(shù)據(jù)的跨境流動帶來了敏感數(shù)據(jù)泄露、授權(quán)管理、數(shù)據(jù)權(quán)屬、流向追蹤和法律風(fēng)險等系列問題,并難以對數(shù)據(jù)接收方的數(shù)據(jù)處理活動進(jìn)行監(jiān)控和審計。因此,對于涉及國家、公民的敏感數(shù)據(jù),要嚴(yán)格遵守“非必要不出境”原則,盡量做到數(shù)據(jù)在本地存儲、分析和利用。確需出境的數(shù)據(jù),需經(jīng)過匿名化、去標(biāo)識化和脫敏處理,并對跨境數(shù)據(jù)進(jìn)行嚴(yán)格的安全審查,杜絕敏感信息外泄。對于關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益的國家核心數(shù)據(jù),應(yīng)嚴(yán)禁跨境流動并防范潛在數(shù)據(jù)跨境風(fēng)險,防止中國擁有大量核心數(shù)據(jù)企業(yè)赴美國上市類似事件的發(fā)生。
(本文刊登于《中國信息安全》雜志2021年第7期)
來源:中國信息安全