专家解读 | 《数据安全法》指导下的数据安全发展之路

admin
admin
admin
102202
文章
87
评论
2021年11月29日19:34:53评论132 views字数 4236阅读14分7秒阅读模式
专家解读 | 《数据安全法》指导下的数据安全发展之路
专家解读 | 《数据安全法》指导下的数据安全发展之路

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786


文│ 大数据协同安全技术国家工程实验室 唐会芳 翟婷婷
作为我国数据安全领域的基础性法律、 国家安全领域的重要法律,《数据安全法》的出台体现了当前数字经济发展对安全的关键需求,为我国数据安全的发展之路提供了指引。在数字经济发展的场景下,跨系统、跨域和跨境的数据流通共享以及多方的数据联合计算将成为常态,数据安全将不再是一个组织内部的事情,需要构建一个科学的数据安全治理体系,才能有效地保障数据安全,管控数据安全风险。而且,数字经济创新发展的关键在于数据的安全开发利用,需要数据安全和数据开发利用两者的协调发展。


一、建立健全数据安全治理体系

治理不同于自上而下的管理,而是基于关键抓手的、能够充分激发各相关方内驱力的多方协同共治的方式方法。数据已经成为新的生产要素,如果一种数据安全治理体系能够建立起数据与数据处理方之间的正向驱动关系,那么这种体系无疑是非常具有生命力的。
(一)构建基于 DSMM 的数据安全治理体系
《数据安全法》第四条提出:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”治理体系的构建对系统性提高国家的数据安全保障能力非常关键,需要找到关键抓手和基本逻辑,来调动多方力量和资源,发挥各自优势形成良性生态,建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。
国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)是我国有关数据安全治理的首个技术标准,提出了数据安全能力成熟模型(DSMM)。建立基于 DSMM 的数据安全治理体系,以数据为中心,能够系统性提高我国数据安全整体水平。DSMM 在数据分类分级的基础上,从组织建设、制度流程、技术工具和人员能力四个方面,对组织的数据安全能力成熟度进行测评和等级划分,从而在数据和组织间建立正向驱动的关系。根据组织的数据安全能力成熟度等级,可以决定其是否具有处理特定类型、特定等级数据的资质,以实现对数据安全风险的科学管控。这意味着,一个具有更高数据安全能力成熟度等级的组织,能获得处理更多数据资源的机会。该体系将改变过去“合规 + 处罚”的做法,使组织的数据安全水平成为发展的竞争力,从而激发组织主动提升其数据安全能力。
(二)数据侧以数据分类分级为基础和前提
《数据安全法》第二十一条明确提出“国家建立数据分类分级保护制度”,并在此基础上专门规定了对重要数据的保护,要求各地区、各部门、各行业制定各自范围内的“重要数据目录”,并进一步指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”。
数据分类分级保护制度作为数据安全治理的基础与前提,将为国家开展“自上而下”的监管提供依据,推动建立重要数据与国家核心数据的统一认定标准;同时,也直接决定了组织对不同类别与等级的数据在安全上应承担的保护义务,并对组织自身的数据安全能力提出了相应的要求。
目前,各地区、各部门正根据《数据安全法》制定地方或行业领域的数据分类分级规范,积极推进数据分类分级保护工作。例如,贵州省率先制定发布了《政府数据 数据分类分级指南》,在全国先试先行;工业和信息化部办公厅发布了《工业数据分类分级指南(试行)》,提出对工业数据的分类和分级标准;金融行业发布了行业标准《金融数据 安全数据安全分级指南》(JR/T 0197—2020)和《证券期货业数据分类分级指引》(JR/T 0158-2018)。数据分类分级已从探索走向实践,各数据安全厂商纷纷发布创新的数据分类分级产品,敏感数据发现和分类分级管理的自动化工具正在被开发使用,极大地提升了数据安全治理的效率。
(三)处理侧以对组织的数据安全能力成熟度测评为抓手
在对数据进行分类分级之后,对组织的数据安全能力成熟度进行测评成为构建治理体系的关键抓手。《数据安全法》第十八条指出“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”。这是对数据安全相关测评特别是 DSMM 测评认证最好的支持,在法律层面充分肯定了测评认证专业机构在带动数据安全合规建设和服务发展方面的积极作用。目前,我国已发展形成了多个从事 DSMM 测评认证的专业机构。其中,首个获得国家认监委授权的DSMM认证机构贵州大数据安全工程研究中心,正在全国范围内推广实施 DSMM 测评认证,并且,已有超过百家组织通过了测评。
通过 DSMM 测评认证的组织能够获得全方位的数据安全建设指导性纲要,使其对自身的数据安全建设充满信心。对企业来说,能够对自身数据安全整体状况做到心中有数,并可将“数据安全能力水平”作为宣传自身品牌的差异化标签。对政府机关、事业单位来说,除了能及时发现数据安全短板、查漏补缺之外,还可掌握地方相关组织、部门的数据安全整体水平。与此同时,各地政府也逐步认识到DSMM 测评认证的重要性,纷纷出台激励政策鼓励企业或组织参加 DSMM 测评认证,对获得证书的企业或组织进行补贴,并在一些重要数据安全项目招标中加入 DSMM 测评认证的控标要求。


二、保障数据安全与数据开发利用的协调发展

数字经济已成为支撑我国经济发展的重要引擎,数据开发利用则是数字经济创新发展的关键,需将保障数据安全贯穿于数据开发利用的全过程,防范和化解影响我国数字经济发展过程中的安全风险,同步提升数据安全和数据开发利用水平。
(一)在数据安全与发展之间取得平衡
《数据安全法》第二章的主题是数据安全与发展,其第十三条提出:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。该条款的目的是取得数据安全与发展之间的平衡,保障数据安全与促进数据开发利用和产业发展是相辅相成的,既不能以发展之名忽略安全,也不能以安全之名阻碍发展。数字经济需要充分挖掘数据的价值,将数据作为生产要素进行开发利用,同时,在数据开发利用的过程中,又需要充分保障数据的安全。
数据的开发利用为数据安全提供了技术支持和概念革新,数据安全为数据的开发利用提供了基础的保障和稳固的底盘。数字经济时代与过去不同,在很多场景下会先有数据再有应用,基于数据的数字创新应用开发将成为常态。数据安全影响国家发展与安全,关系公众利益和公民个人权益,应建立数据全生命周期安全的概念,关注数据的流通共享,确保以安全为前提进行数据的开发利用。
(二)推进政务数据安全开发利用
《数据安全法》第五章聚焦的政务数据安全与开放,是数据安全开发利用的一个特定应用场景。它在保障政务数据安全方面,对国家机关收集、使用数据的行为和能力提出了要求,严格监督可能涉及的第三方;在推动政务数据开发利用方面,明确了以及时、准确公开为原则,要求“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台”,这为政府各部门安全开放数据提供了法律支持和行动指导,为我国数字政府和智慧城市建设铺平了道路。
国家在“十四五”规划进程中将大力推进电子政务建设,政务数据开放将进一步提升政府工作效能。政务数据在采集、存储、加工过程中的安全非常关键,需要被合理、合法、安全地使用。在智慧城市应用场景下,跨域数据的流通共享与联合计算需求日益增多,政务数据开放平台和基于隐私计算技术的数据协同应用平台将得到广泛应用。利用可信执行环境、联邦学习、安全多方计算、同态加密和差分隐私等技术搭建隐私计算平台,可实现多方数据的协同安全计算,它与政务数据开放平台一起,能够打破数据孤岛,联通政务数据和各行业领域数据,从而促进政务数据的安全开发利用,充分挖掘政务数据的价值。
(三)为数据安全开发利用培养足够的专业人才
数据安全开发利用离不开相关专业人才的支撑,《数据安全法》第二十条明确提出“国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。”这体现了国家对培养数据安全专业人才的重视,鼓励企业与高等院校联合,从多个渠道培养数据开发利用和安全人才。企业也能够从教育培训等领域寻找自身商业机会,带动数字产业的发展与创新。通过专业的培训,能够提高组织人员的数据安全技能,为数据安全产业发展和数字经济发展注入强大的人才动力。
经过多年的发展,我国在网络安全领域已建立起较为完善的人才培养体系,网络安全也成为一级学科。在数据安全领域,人才的培养还没有上升到数字经济所要求的高度,相关的培训内容还不够完善。对于数据安全,既需要拥有了解组织数据安全战略规划的数据安全管理专家,也需要懂具体业务场景,掌握相关数据安全技术的数据安全工程师。


三、对数据跨境流动进行严格安全审查

《数据安全法》第二十四条明确提出:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,包含对数据跨境流动的安全审查。该法第三十一条规定了关键信息基础设施运营者重要数据的出境安全管理,适用《网络安全法》的规定,其他主体重要数据的出境则适用于国家网信部门会同国务院制定的管理办法。通过区分主体的监管思路,进一步明确补充了对重要数据出境的规定,也使数据分类分级保护制度能够更好地与关键信息基础设施保护要求相协调。此外,法案第三十六条针对外国司法或执法机构调取我国数据的情况进行了规定,即非经主管机关批准,境内组织、个人不得擅自提供境内的数据,此举是依法应对域外“长臂管辖”所作出的防御性措施。
在当前全球尚未形成共识的数据安全治理体系框架条件下,数据的跨境流动带来了敏感数据泄露、授权管理、数据权属、流向追踪和法律风险等系列问题,并难以对数据接收方的数据处理活动进行监控和审计。因此,对于涉及国家、公民的敏感数据,要严格遵守“非必要不出境”原则,尽量做到数据在本地存储、分析和利用。确需出境的数据,需经过匿名化、去标识化和脱敏处理,并对跨境数据进行严格的安全审查,杜绝敏感信息外泄。对于关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据,应严禁跨境流动并防范潜在数据跨境风险,防止中国拥有大量核心数据企业赴美国上市类似事件的发生。

(本文刊登于《中国信息安全》杂志2021年第7期)


专家解读 | 《数据安全法》指导下的数据安全发展之路
专家解读 | 《数据安全法》指导下的数据安全发展之路
专家解读 | 《数据安全法》指导下的数据安全发展之路
专家解读 | 《数据安全法》指导下的数据安全发展之路

扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

原文始发于微信公众号(中国信息安全):专家解读 | 《数据安全法》指导下的数据安全发展之路

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月29日19:34:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   专家解读 | 《数据安全法》指导下的数据安全发展之路https://cn-sec.com/archives/653450.html

发表评论

匿名网友 填写信息