让数据安全有法可依,助力数字经济发展
发布时间:2021-11-10 14:15 所属栏目:53 来源:互联网
导读:数据安全法的施行,不仅让数据安全从此有章可循,有法可依,而且将更好地为我国数字经济的健康发展保驾护航。从此数据驱动成了热词。推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合与安全保护,成了数据驱动的核心任务与保障。 在数据安全与
|
数据安全法的施行,不仅让数据安全从此有章可循,有法可依,而且将更好地为我国数字经济的健康发展保驾护航。从此“数据驱动”成了热词。推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合与安全保护,成了数据驱动的核心任务与保障。 在数据安全与保护方面,我们的长远目标是探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品;根据数据性质完善产权性质;制定数据隐私保护制度和安全审查制度;推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护等。 众所周知,数据安全已经被提升至国家安全层面。《中华人民共和国数据安全法》(以下简称《数据安全法》)的颁布和施行,将进一步规范数据处理活动,保障数据安全,促进数据的开发与利用,保护个人、组织的合法权益,更好地维护国家主权、安全和发展利益。 《数据安全法》的施行,不仅让数据安全从此有章可循,有法可依,而且将更好地为我国数字经济的健康发展保驾护航。 一场及时雨 2020年4月10日正式公布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》,提出了土地、劳动力、资本、技术、数据五个要素领域改革的方向,并且明确了完善要素市场化配置的具体举措。这是中央第一份关于要素市场化配置的文件,而数据作为一种新型生产要素写入文件,彰显了加快培育数据要素市场的重要性、必要性和紧迫性。 从此“数据驱动”成了热词。推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合与安全保护成了数据驱动的核心任务与保障。其中,在数据安全与保护方面,我们的长远目标是探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品;根据数据性质完善产权性质;制定数据隐私保护制度和安全审查制度;推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护等。 IDC Global DataSphere的数据显示,2020年,全球数据总量达到59ZB,其中一半以上的数据需要一定程度的保护,而近四分之一的数据被认为是私人的或通常不向公众提供的数据,安全级别尤其高,但是缺乏有效保护。 同样是IDC的研究发现,混合云与多云环境的应用,使得维护企业敏感数据变得更加复杂。目前,全球超过75%的企业在SaaS应用程序中存储着敏感数据。与普通消费者相比,企业需要保护的数据量更大,占需要保护数据总量的85.6%。 但是,数据保护的真实现状又是怎样的呢?国家互联网应急中心发布的《2020年我国互联网网络安全态势综述》显示,2020年累计监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制,以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起,数据泄露风险较为突出,特别是个人信息非法售卖情况较为严重。 数据安全牵动着国家安全,如果涉及政治、经济、外交、军事、科技、生物等方面的敏感数据出现泄露,并被恶意利用,将对国家安全造成重大危害;数据安全关系到经济安全,比如电信网络诈骗、金融欺诈等给人们正常的工作和生活造成了巨大损失;数据安全也影响到个人安全,个人身份、家庭、经济状况等公民个人隐私被恶意泄露的事件已屡见不鲜,影响恶劣。 特别需要指出的是,进入数字时代,数据安全直接影响到数字经济的健康安全和可持续发展。在数字经济与实体经济加速融合的背景下,数据权属、数据的安全交换、数据价值的挖掘等都必须在安全的环境中才能得以实现。 不可否认,对数据的掌控、使用以及保护的能力,已成为衡量国家之间竞争力的一大核心要素。全球各国针对数据安全与保护都采取了积极而有效的措施。据不完全统计,目前全球已有近100个国家和地区制定了与数据安全保护相关的法律法规,其中最具代表性的当属2018年5月25日正式施行的欧盟《通用数据保护条例》(GDPR)。如今在全球范围内,数据安全保护专项立法已经成了国际惯例。 从司法实践看,我国正不断加强与数据安全相关的法律法规、技术标准、管理办法等的制定,数据安全的管控力度越来越大。刑法修正案、网络安全法、密码法中都对数据保护提出了具体要求。 即将正式施行的《数据安全法》与仍处于立法进程中的个人信息保护法将构建起中国数据安全领域的法律基础框架。 另外,国家与各行业也陆续出台了数据安全的建设标准与技术要求,主要包括网络安全等级保护基本要求(GB/T 22239)、数据安全能力成熟度模型(GB/T 37988)、大数据安全管理指南(GB/T 37973)、政务信息共享数据安全技术要求(征求意见稿)等。上述法律法规,以及行业标准的出台和施行,将极大地促进我国数据安全产业的发展,对规范数据保护,以及促进数字经济高质量发展起到有效的推动作用。 综上所述,《数据安全法》的颁布与施行,是社会与经济发展的必然要求,也是规范数据安全发展的必然需要。《数据安全法》的施行是一场及时雨。 安全与发展并重 《数据安全法》来了,各行业和企业需要尽快将信息安全与数据保护提上日程。数据安全,刻不容缓。 《数据安全法》第三条对数据进行了定义:本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 《数据安全法》经过多次审议和修改,进一步明确了对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度;进一步完善了保障政务数据安全方面的规定;进一步加大了对违法行为的处罚力度等。 特别需要关注的是,《数据安全法》确立了数据分类分级管理、数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度,明确了相关主体的数据安全保护义务,旨在通过建立健全各项制度和措施,提升国家数据安全的保障能力。 中国安全市场近几年一直处于高速增长期,即使在一定程度上受到2020年新冠肺炎疫情的影响,但是安全市场整体增长的态势并没有改变。IDC在2021年6月发布的《中国安全资源池市场份额,2020:云化、服务化、场景化助力市场实现高速增长》研究报告显示,2020年中国安全资源池市场的规模超过1亿美元,同比增长26.5%。毫无疑问,《数据安全法》的施行将成为推动中国安全市场继续增长的新引擎。 IDC中国助理研究总监王军民表示,在数字时代,《数据安全法》将成为数据应用全产业链的信任基础,保障数据在全生命周期中的安全性。相信未来几年,将有一批专业的数据安全技术提供商借势而行,借助资本的力量加大发展力度,成为数据安全市场的领军企业。 从数据安全建设的角度,IDC也给出了自己的建议:第一,提供与数据“生存”位置无关的数据全生命周期安全防护解决方案,强制企业保持对数据的最低特权访问;以数据为中心的安全产品和服务的提供者,应强调数据发现和分类的必要性;企业用户必须了解数据如何在企业中流动,这是构建和管理强大的隐私合规性程序以及保护数据的基石。 大数据协同安全技术国家工程实验室从大数据安全开发利用的角度,对《数据安全法》进行了解读。《数据安全法》鼓励数据依法合理有效利用,保障数据依法有序自由流动。尤其值得注意的是,国家监管机构的思路正由“以系统为中心的安全”转变为“以数据为中心的安全”,这种转变的原因就是要更好地满足现在数字经济模式的数据安全需求。《数据安全法》为政府、产业界开展数据安全工作提供了重要的法律支撑,为企业发展数据安全业务提供了有益的指导,有利于形成全社会共同维护数据安全和促进发展的良好氛围。 美创科技认为,《数据安全法》是数字经济“安全与发展”并重的体现。以此为契机,未来数字经济、数据交易市场,以及数据安全检测与认证等服务将有更广阔的发展前景。 数据分类分级是基础 “十四五”规划和2035年远景目标纲要中明确提出,迎接数字时代,激活数据要素潜能,推进网络强国建设。为此,要充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,壮大经济发展新引擎。 激活数据要素潜能,助力数字经济发展,数据安全必须先行一步。 中国工程院院士沈昌祥指出,《数据安全法》的出台,将有助于进一步提升国家数据安全保障能力,加强我国应对因数据引发的国家安全风险与挑战。加强数据安全防护,必须坚持积极防范,构建基于等级保护的数据纵深防御防护体系架构,加强可信免疫和主动防护,以确保数据可信、可控、可管。 为了实现上述目标,沈昌祥院士提出以下四点建议:第一,加强数据资源、环境、系统整体防护,建设多重防护、多级互联体系结构,确保数据处理环境可信;第二,加强处理流程控制,防止内部攻击,提高计算节点的自我免疫能力;第三,加强全局层面的安全机制,制定数据控制策略,建立安全的数据处理新模式;第四,加强安全管理,将安全策略与业务处理、监控和日常管理有机结合,实现全程管控。 在《数据安全法》中,关注度最高的一条便是数据分类分级保护制度。 《数据安全法》第二十一条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 数据在分类分级之后,才能更方便地确定可分享的部分,才能更容易针对不同的数据提供不同的更高效的保护措施。腾讯安全认为,企业首先要做好数据资产的盘点和分类分级,掌握敏感数据的分布和使用情况,包括数据的类型、风险级别、安全能力、保护现状等。 数据分类分级制度,从源头上进一步明确了哪些数据要重点保护,哪些数据可以有条件甚至免费向公众开放。这有利于数据的交换与共享,最大程度地体现数据价值。 毫无疑问,数据分类分级是实现数据安全的基础。做好数据安全,就必须做到对数据的采集、传输、存储、使用、共享和废弃的全生命周期防护。 由于数据量非常庞大,要找到其中最值得进行保护的数据,这是实现高效数据保护的前提。卫士通认为,数据分类分级是解决当前数据安全痛点问题的重要抓手。《数据安全法》制定了完备的数据安全制度,比如建立数据分类分级保护制度和数据安全审查制度,对关系国家安全、国民经济命脉的国家核心数据将实行更加严格的管理制度等。 哈工大(深圳)-奇安信数据安全研究院执行院长刘川意教授表示,《数据安全法》明确了数据安全底线规范。以数据分类分级为核心的数据安全治理是各相关单位必须重视的核心工作,同时也是数据安全建设落地实施的基础。企业只有梳理好自身的数据资产,做好数据分类分级工作,才能更好地推动数据安全建设,对全生命周期的数据进行安全风险监测、评估和防护。 数据安全治理刻不容缓 加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。中国电子信息产业发展研究院网络安全研究所所长刘权表示,面对日益严峻的数据安全威胁,从法律、制度、技术、市场、生态等多个维度解决数据安全领域的棘手问题,提升数据安全治理能力是众望所归。赛迪智库最近发布了《数据安全治理白皮书》,在分析我国数据安全风险、治理现状、治理困境的基础上,从政策、监管、产业生态建设、国际合作等方面提出了综合解决路径。 安华金和联合创始人兼副总裁杨海峰将数据安全治理面临的挑战归纳为五个方面:第一,数据资产有规模但缺乏梳理;第二,安全防护有技术但不成体系;第三,安全体系重产品轻运营;第四,安全监管有目标但缺少手段;第五,安全管理虽有规范但难落地。若想有效解决上述问题,首先要建立起严格的制度和规范,理清数据资产,并对其进行分类分级;之后,还要建立评价体系,同时开展数据安全威胁分析,根据具体的风险情况,制定切实有效的数据安全建设方案;最后,从管理、技术、运营三个层面,确保数据安全治理的真正落地。 政务大数据的开放是人们普遍关注的一个焦点问题。随着政务大数据平台接入的开放数据越来越多,如何在持续运营的同时确保数据的安全是一个难题。潍坊市大数据局副局长陈军结合应用实践谈了自己的观点:首先在数据资产层面,应持续关注数据资产的变化,及时对新数据进行备案,落实分级分类制度;其次,在安全策略层面,应持续关注数据安全设备及技术应用的落地情况,并根据外部安全威胁和黑客攻击技术的变化,及时调整、更新、升级现有的安全策略;最后,持续关注风险事件,建立对违规、越权和其他风险行为的闭环处理机制。 依据《数据安全法》建立数据安全管理制度和数据开发利用的规则,绿盟科技兼顾管理和技术,全面落地“智慧安全3.0”的理念,通过关键技术创新,构建起全场景、可信任、实战化的数据安全纵深防御预警体系,并贴合客户需求,形成了场景化的数据安全解决方案,达到全面防护、智能分析、自动响应的数据安全防护效果。绿盟科技始终以数据安全防护为中心,通过“知、识、控、察、行”五个步骤实现能力落地,引入新技术不断优化技术和管理流程,确立数据安全管理制度,提升数据安全治理与开发利用技术水平的同时,可有效应对数据安全风险与挑战。 为保护维护数据安全,促进数据的开发利用,启明星辰建议企业从以下几方面入手,建立健全数据安全标准化体系,推动数据安全评估和认证服务的发展:制定数据分类分级标准;完善数据安全保护标准;开展数据安全风险评估;进行数据安全事件应急演练和数据安全攻防演练;开展数据安全培训教育;定期开展行业数据安全监督检查。 毋庸置疑,《数据安全法》的施行,必将有力地推动国家,各行各业以及相关领域数据安全治理能力的提升。让数据的使用自由且安全,这是所有人的共同心愿。 数据安全风云再起 《数据安全法》的施行会不会催生一些新的市场、技术和业态?我们已经看到了些许端倪。IDC中国助理研究总监王军民表示:“我国诸如数据隐私计算等数据使用环节的安全技术仍然处于起步阶段。《数据安全法》将成为驱动这些安全技术快速成熟的催化剂,也是我国数据安全市场规模快速增长的核心驱动因素之一。” 隐私计算技术被认为是一个已经显现的“新风口”。隐私计算技术能够实现“数据可用而不可见”,全同态加密、多方安全计算、联邦学习等技术的创新与应用加速了隐私计算的发展。隐私计算可以进一步增强数据在流通过程中的安全,有力地促进数据的流转和交易。在《数据安全法》施行之后,相信与数据安全相关的新技术会更多、更快地涌现,跑马圈地的情况也会加剧。 “《数据安全法》是网络安全行业的又一里程碑,势必驱动政府、机构和企业增加在数据安全领域的投资,用以完善安全防护体系,推动网络安全行业在数据安全领域的技术、产品加快创新,以及产业创新发展。”奇安信集团总裁吴云坤表示,未来,更多新的赛道、新的技术和创新的企业将不断涌现,填补数据安全管理、数据访问控制和共享交换保护、数据开放和跨境流动保护、数据交易保护、个人信息保护等领域的市场空白。 谈到未来数据安全产业面临的新商机,大数据协同安全技术国家工程实验室预测: 大数据平台安全和安全监管产品将迎来难得的发展机遇期;基于数据安全能力成熟度模型(DSMM)的数据安全治理将持续推进,与DSMM相关的咨询、培训、测评、认证、审计等数据安全服务市场前景广阔;数据安全人才培训市场将迎来爆发,《数据安全法》中已经明确,国家支持教育、科研机构和企业等开展数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才。 可以预见,未来人工智能、机器学习、零信任等技术将与数据安全更紧密地融合,从而进一步推动数据安全理念、策略和应用的落地。安恒信息表示,数据安全在未来仍将是一个重大挑战。安恒信息提出以“CAPE”数据安全能力框架为核心的数据安全管控体系,包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能力,将努力实现数据“可用不可见”的安全目标。 关键还是落地执行 《数据安全法》的出台让数据安全从此有法可依,但是接下来如何让政府、企业和相关组织机构等严格落地执行,让数据安全得到切实有效的保障呢? 刘权提出了以下三点建议: 一是加快制定《数据安全法》的配套法规,推动建立个人信息和重要数据备案、数据安全评估、数据安全管理认证、数据开放共享、数据出境安全管理等基本制度,进一步明确政府、平台等主体的数据管理责任; 二是探索建立数据确权制度,以《数据安全法》为重要遵循,在明晰数据分级分类基本原则、各行各业进一步厘清自身行业数据的类型、特征、性质等基础上,通过立法对数据产权归属进行界定; 三是加强数据国际交流合作,提升数据安全治理国际话语权和规则制定权。 美创科技表示,将以客户为中心,不断完善自身的数据安全解决方案,从数据安全治理、数据使用安全、数据流动安全、外部入侵安全、数据存储加密、防勒索、数据安全态势感知等多个方面,为各行业构筑起全方位的数据安全防护体系。 安恒信息建议政企从数据安全、访问控制和数据保护三个层面入手,不断提升数据安全能力。具体来说,就是要建立健全管理组织体系和组织架构,同时要建立完善的数据安全技术体系和落地,还有引进下一代技术,实现流程自动化。 遵从《数据安全法》,不断完善企业的数据安全体系建设,亚信安全也提出了它的思路:设立数据安全治理组织,设定数据安全治理目标,明确数据安全治理受众,创建保障职责分离流程,引入技术工具和追踪落实违规事件。 总之,《数据安全法》的施行是一个全新的起点。政企的数据安全建设有章可循、有法可依。接下来,就要看政企如何贯彻执行,将数据安全真正落实到位,为业务的持续稳定运行保驾护航。 (编辑:ASP站长网) |
相关内容
Redis未授权检测漏洞G
严峻Web对抗环境下的W
遭黑客盗走AMD GPU 部
企业级信息防泄漏大方网友评论
推荐文章
热点阅读
