• <blockquote id="cm20e"><blockquote id="cm20e"></blockquote></blockquote>
    <blockquote id="cm20e"><samp id="cm20e"></samp></blockquote>
    <menu id="cm20e"><menu id="cm20e"></menu></menu><blockquote id="cm20e"><samp id="cm20e"></samp></blockquote>
    人民日報社中國經濟周刊官方網站國家一類新聞網站

    經濟網 中國經濟論壇


    首頁 > 周刊原創 > 正文

    《數據安全法》 解讀:如何實現數據“可用不可見”的安全目標?

    《數據安全法》的出臺標志著我國將數據安全保護的政策要求,通過法律文本的形式進行了明確和強化。

    文 | 范淵

    2021年6月10日,《數據安全法》經十三屆全國人大常委會第二十九次會議通過,并將于2021年9月1日起施行。本法是數據領域的基礎性法律,也是國家安全領域的一部重要法律。

    隨著經濟數字化、政府數字化、企業數字化的建設,數據已經成為我國政府和企業最核心的資產。隨著合資企業、跨境貿易、多廠商全球合作的模式變遷,數據開始在企業與企業之間、政府與企業之間以及國與國之間流轉、融合、使用。

    與此同時,數據泄露也成為一大隱患。據公開報道,2020年全球數據泄露的平均損失成本為1145萬美元,2019年數據泄露事件達到7098起,涉及151億條數據記錄,比2018年增長284%。

    數據泄露事件影響大、損失重。數據掌控、利用以及保護能力,既是確保廣大人民群眾在數字化發展中獲得更多幸福感、安全感,也是提升國家競爭力的核心要素。

    《數據安全法》的出臺標志著我國將數據安全保護的政策要求,通過法律文本的形式進行了明確和強化。

    《數據安全法》出臺背景:外力驅動和內部需求

    先看外力驅動。2018年3月23日,時任美國總統特朗普正式簽署了《澄清域外合法使用數據法》,法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件,無論服務提供者的通信、記錄或其他信息是否存儲在美國境內,要求服務商根據該法案進行調取并提供相關證據。

    2018年5月25日,歐盟《一般數據保護條例》(GDPR)正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外,只要處理的是歐盟境內居民的數據,均適用此法案,對數據實施長臂管理。

    目前全球已有近100個國家和地區制定了數據安全保護的法律,數據安全保護專項立法已成為國際慣例。

    歐美國家將數據主權從物理邊界轉向技術邊界,將會直接影響到第三方國家的主權。面對數據跨境流動愈加頻繁,必須盡快完善我國相關法律法規,保護我國國家利益、跨國公司以及公民個人利益。

    再看內部需求。2020年全球新冠肺炎疫情給經濟帶來了沉重的打擊,當前全球經濟特別是傳統經濟增長緩慢,迫切需要通過新的經濟增長點拉動內需,增加就業,而數字經濟正是切入點和發動機,國家將發展數字經濟提升到國家戰略高度也是恰逢其時。

    近年來數字經濟增速證明了數字經濟發展空間巨大,數字經濟已成為我國國民經濟增長要素的重要一員。中國信息通信研究院發布的《中國數字經濟發展白皮書》數據顯示,我國數字經濟的總體規模已從2005年的2.62萬億元增長至2019年的35.84萬億元,數字經濟總體規模占GDP的比重從2005年的14.2%提升至2019年的36.2%。

    《數據安全法》正式出臺之前,國務院已發布多個相關政策規定:2015年發布《促進大數據發展行動綱要》,2018年發布《科學數據管理辦法》,2020年發布《關于構建更加完善的要素市場化配置體制機制的意見》。2021年3月12日,《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》發布。這充分體現了數據安全政策導向明確,國家數據戰略清晰。

    在此背景下,出臺《數據安全法》,維護了我國的數據主權,保障了國家的安全、促進了經濟健康發展,為中國數字經濟的安全發展保駕護航。

    數據安全建設的幾點建議

    作為數據安全管理的基本大法,《數據安全法》實施后,單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源,都應當依法建立健全數據安全管理制度,采取相應技術措施保障數據安全。

    未來如何做好數據安全建設?概括來說,政企在進行數據安全能力建設時,需要考慮數據安全、訪問控制以及數據保護三個層面。

    101

    數據安全的首要目標是需要找數據在哪里?數據的主體是誰?訪問控制是目前主流的數據安全能力之一,首要目標是數據使用者如何證明具備相應的數據權限?數據保護是更高層面的建設框架,首要目標是組織或個人如何確保數據已經被保護好了?

    對于IT和信息安全從業人員來說,數據安全能力建設是最艱巨的任務之一。數據安全能力的建設,在業務層面,應當考慮建設包含預防、發現、消除泄密隱患為主的數據安全體系;在技術層面,應當考慮建設數據風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力四大核心數據能力;最終建立“數據安全運營”的全過程自適應安全支撐能力,直至達到整體智治的安全目標。

    第一,建立健全管理組織體系和組織架構。企業數據安全管理的成敗,主要取決于主要領導是否重視?意識是否提升?全員是否參與?是否建立了一套完善的數據安全管理組織?這是數據安全的重要保障。要形成“管理層重視、一把手負責、全員參與”的管理模式。

    第二,建立完善的數據安全技術體系和落地。傳統方式已經無法適應新時代數據安全需要,面臨安全的新態勢、新要求,在繼續做好業務安全的基礎之上,通過智能化管理平臺,在技術層面實現對風險核查(Check)能力、數據梳理(Assort)能力、數據保護(Protect)能力以及數據威脅監控預警(Examine)能力四大核心能力的建設,在業務層面,實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。

    第三,引進下一代技術,實現流程自動化。人工智能和機器學習將是未來數據安全工作的關鍵,目前,多數大型企業正在尋求使某些法規遵從流程自動化,包括數據定位和提取。自動化是大型企業保持對大量存儲在數據中心和云中的結構化和非結構化數據兼容的唯一方式。對于數據安全能力建設較為薄弱的企業,建議考慮零信任模式作為一種安全策略,有了“零信任”,企業將著眼于數據管理的整個生命周期,并將關注點從數據安全本身擴展到企業整體信息安全框架。

    第四,政府需落實數據安全保護責任,推動政務數據開放利用。政務數據安全與開發作為《數據安全法》的獨立章節,要求我國政府在落實數據安全保護責任的同時,推動政務數據開放利用。但是如何才能實現數據要素安全、高效的共享開放?數據要素市場化與個人隱私保護、敏感數據使用、數據確權等如何兼顧?可行的方法是通過引入“數據安全島”模式,利用安全計算沙箱、安全多方計算、區塊鏈等技術,實現原始數據不出本地,只交換計算結果,做到數據共享的“可用不可見”,解決數據信任和隱私保護、溯源等難題,讓流動的數據成為驅動數字經濟發展的新動能。

    《數據安全法》是繼《網絡安全法》提出數據的概念后,我國在數據安全立法層面的又一個重大里程碑,是中國數字經濟高速發展的壓艙石和定海神針。相信隨著《數據安全法》的出臺和落地實施,數據要素安全管控和市場化將同步提升,數據資源將會迸發出更大的活力,數字經濟將在“十四五”時期更加蓬勃發展。

    (作者系安恒信息董事長)

    (本文刊發于《中國經濟周刊》2021年第11期)

    《中國經濟周刊》第11期封面

    《中國經濟周刊》第11期封面

    中國經濟周刊-經濟網版權作品,轉載時須獲得授權并注明來源,違者將被追究法律責任。
    • 微笑
    • 流汗
    • 難過
    • 羨慕
    • 憤怒
    • 流淚
    0
    欧美成人在线视频