2020 年 7 月 2 日,全国人大常委会第二十次会议审议了《数据安全法(草案)》(以下简称《数安法》)并公开征求意见。《数安法》次要围绕着数据安全治理各项根本制度、促成数据安全和倒退的措施、解决数据安全畛域突出总量、满足电子政务数据正当需要开展。
在这之前,国内数据安全建设的指导性文件,是国家互联网信息办公室去年 5 月 28 日公布的《数据安全治理方法(征求意见稿)》(以下简称《方法》)。《数安法》和《方法》之间的关系非常严密,互为补充和撑持,独特搭建更加弱小的数据安全爱护体系,也体现了国家对于数据安全爱护的高度重视。
但相应的,《数安法》中的大部分细则较《方法》都有了进一步的清晰和晋升,《数安法》对企业而言,也曾经成为了数据安全建设的全新挑战。
笼罩更广的数据安全爱护
此次《数安法》的一大特点,就是“笼罩更广”,具体分为行为、对象和空间上的标准。
先说行为,《数安法》明确了数据的概念,是指任何以电子或者非电子模式对信息的记录,须要恪守标准的“数据流动”包含:数据的收集、存储、加工、应用、提供、交易、公开等行为。环节的数量较《方法》中减少了 4 个,同时删除了“纯正家庭和集体事务除外”的规定。将单纯集体用处应用数据的行为纳入监管。
其次是对象,除了企业,社会个人、政府部门、集体乃至境外的机构都笼罩其中。具体而言,在中华人民共和国境内发展数据流动的所有主体,都是标准的对象。依据对象的不同,也对应了不同的《数安法》要求。最根底的是非法任务,境内主体还有配合任务和报告任务的根底要求。企业们还有建设相干内容管理机制任务和员工培训任务。政府部门则有一个专属的政务公开任务。
最初是空间上,《数安法》特地笼罩了境外对象,并根据爱护管辖准则,规定数据流动无论在境内还是境外,只有侵害我国国家平安、别人合法权益的,就要依法追究法律责任。这一新扭转,能更好适应以后数据没有国界、数据所有者主体全球化的现实情况。
数据安全建设挑战再降级
作为最常见、最支流数据资产主体,企业和政府机构无疑是受《数安法》影响最大的对象。《数安法》中明确要求数据采起源及采集形式的合法性,明确规定任何组织、集体收集数据,必须采取非法、正当的形式,不得窃取或者以其余非法形式获取数据。
《数安法》还规定了专门提供在线数据处理等服务的经营者,该当依法获得经营业务许可或者备案。这无疑给数据处理服务企业设立了硬性门槛。此外,从事数据交易中介服务的机构在提供交易中介服务时,该当要求数据提供方阐明数据起源,审核交易单方的身份,并留存审核、交易记录。更加严苛的数据交易制度,将每时每刻挑战那些不推动数据安全建设的企业,一旦被处罚,就将影响其将来数据市场中的名誉。
企业、政府机构类主体相较集体多出的 外部管理机制、员工培训任务也是《数安法》中的新要求,后者指出发展数据流动该当按照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织发展数据安全教育培训,采取相应的技术措施和其余必要措施,保障数据安全。
为数据加上“防护罩”
明确数据流动的红线
随着“新基建”的发展,潜藏其中的数据危机也衍生出新一轮的网络安全挑战。去年,勒索病毒仍旧出现周期性暴发的趋势,我国多家医院、台积电等均曾遭逢过勒索软件攻打;年初微盟删库事件,为互联网行业敲响了警钟,《数安法》的出台将显得尤为迫切。
在我国,数据产业曾经造成一个残缺产业链,波及数据收集、存储、加工、应用、交付、流通等诸多环节,《数安法》的出台,将填补政策和法律的鸿沟,突破政策激励数据利用与流通交易,而法律法规绝对滞后的场面。《数安法》颁布后为数据产业、数据智能经济的划定了边界,明确了数据流动红线,让其倒退有章可循。
这一人工智能与大数据时代所召唤的数据规定,对于大数据数据及产业平安而言,无疑是一大利好,既束缚了数据的滥用和非法采集,又爱护了数据提供方和一般民众的信息,只有非法、合规经营,能力让数据价值最大化,让数据真正成为数字经济倒退的流动的血液,在《数安法》的契机下,以数据凋谢、数据保护、数据流动等为根底的数据规定或将构建并逐步完善,一直促成数字经济倒退。
迎接挑战
应紧踩数据安全建设油门
《数安法》的进一步落地,对企业的数据安全建设提出了要求,将成为企业合规运行的新门槛。尤其是数据的平安防护波及到多个环节,包含人的治理、行为的管制、代码的健壮性等一系列问题,这些环节想要囊括到数据安全的防护措施中是十分艰难的。
这一点,在《数安法》中也有明确的体现,尤其是明确企业、社会个人以及各种政府部门须要建设相干的外部管理机制、以及进行员工培训。这显然须要企业进行全面的数据安全建设动员,考验企业革新业务的信心。
站在最终实现数据安全的角度来看,尽早间接建设新型、全生命周期的、深刻数据流的防护伎俩,将会成为企业继续降级数据安全建设,高标准满足数据安全相应合规要求的不二法令。
着眼于日益严厉的数据安全挑战,腾讯平安综合使用数据安全治理教训和数据保护技术打造了数据安全治理核心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系,针对性地在数据全生命周期每个阶段提供爱护,通过从数据的产生、传输、存储、解决、共享、应用、销毁等环节动手,建设一套全生命周期的防护措施。贯通始终的防护模式,避免一个短板(木桶原理)就导致企业数据安全全盘解体。
从另一个角度看,企业的数据安全与平安治理是密不可分的,企业应该通过建设一套全面的数据安全治理平台,以此来兼顾业务数据流和数据危险管控,防止数据安全危险导致企业受到损失。腾讯云就专门打造了企业数据安全解决方案,企业能够极简疾速地构建全生命周期的平安防护体系,同时充分利用腾讯过来 20 年积攒的技术、人才、教训等劣势,既高质量、高规格地实现了《数安法》中相应数据安全建设的要求,同时又保障了企业本身的数字资产经济利益。