数据安全有法可依 天融信数据安全总经理解读审议中的《数据安全法》

2020年6月28日,十三届全国人大常委会第二十次会议在北京举行,《数据安全法(草案)》提请本次常委会会议审议。草案的主要内容包括:

一、按照总体国家安全观的要求,确立数据安全保护管理各项基本制度,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。

二、坚持安全与发展并重,规定支持、促进数据安全与发展的措施,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。

三、立足数据安全工作实际,着力解决数据安全领域突出问题,落实数据活动主体的安全保护义务与责任,切实维护公民、组织的合法权益。

四、适应电子政务发展的需要,建立政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。

《数据安全法》的诞生,标志着数据安全上升到国家安全层面,意义重大。《数据安全法》与《网络安全法》都是《国家安全法》的配套法规。《数据安全法》与《网络安全法》一样作为国家整体安全观的组成部分。同属上位法,是法律效力最高的法律。《数据安全法》与《网络安全法》将各有侧重,互相补充,共同构筑网络空间安全与数据安全。

从这些年的发展来看,大数据技术的广泛应用,数据大量集中,数据共享交换成常态,个人信息泄漏和滥用时有发生,这些都提升了公众对数据安全的担忧。另一方面公众对数据价值的认识也逐渐形成了广泛的共识。

2015年李克强总理在国际大数据产业博览会上给数据下了定义,“数据是基础性资源,也是重要的生产力。”2017年习近平总书记在政治局“国家大数据战略”学习会议上强调“数据是新的生产要素,是基础性资源和战略性资源、也是重要生产力。”2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,第一次以正式文件将数据归为生产要素。由此可见数据的重要性不言而喻,如果没有配套的法律对其进行保护,是无法适应数字经济的发展的。

那么《数据安全法》一旦正式执行将对各行各业产生深远影响。在这里,针对后《数据安全法》时代,我们也给大家一些建议,提前做好准备。

一、首先要充分认识到数据安全管理的复杂性

1、数据资产权责梳理

2、数据量大且分布广

3、数据流转和动态变化

4、数据形态、载体、环境、场景的多样性

5、数据容易复制,副本的安全管理复杂

二、做好数据安全首先要做到“11个关注”

1、要关注数据的价值和影响范围

2、要关注数据的CIA(机密性、完整性、可用性)和PSR(隐私性、安全性、可靠性)

3、要关注数据的流动和完整生命周期:采集、传输、存储、使用、共享、删除。

4、要关注数据的状态:存储中、使用中、传输中。

5、要关注数据的形式:结构化、非结构化、半结构化。

6、要关注数据的载体:文件、数据库、大数据。

7、要关注数据权属关系:所有者、使用者、管理者。

8、要关注数据的运行环境:应用、系统、主机、存储、网络、云等

9、要关注数据的应用场景变化:5G、互联网、物联网、工业互联网等

10、要关注数据安全与业务发展的平衡

11、要关注数据安全投资与效益的平衡

三、做好数据安全要改变思维方式:

1、以数据为中心的构建安全体系架构

2、遵循三同步原则,以数据安全治理推动数据安全体系建设,

3、遵循991分级保护原则,获得数据安全投资效益最大化

4、以“一个中心、三重防护”落实数据安全技防体系

5、组合应用多种数据安全技术手段,完善数据全生命周期保护

6.建立统一数据安全管理平台并配置专业运营人员,提升数据安全管理水平

四、做好数据安全要分步落实:

1、数据安全评估:人员评估、组织评估、制度评估、技术评估、风险评估、策略评估等

2、数据安全培训: 通过CISP-DSG培养数据安全专业从业人员

3、数据安全管理:提升人员组织能力、完善配套管理制度

4、数据安全监测技术:数据库监测、大数据监测、网络传输数据监测、终端数据监测、API数据监测、应用系统数据监测等。

5、数据安全防护技术:数据防泄漏、数据脱敏、数据水印、数据加密、数据库防护、大数据防护、文档保护、备份容灾等。

6、数据安全运营管理技术:数据资产发现、数据识别、数据分类分级、数据标签、数据资产分布、数据安全态势、数据流动追踪、统一身份管理、统一数据安全审计(数据安全事件审计、数据流动审计、数据安全策略审计、数据安全运维审计)、统一数据安全策略管理等。

最后,希望《数据安全法》能顺利通过审议尽快颁布,全面提升全民数据安全保护意识,推动国家数据安全监管能力和企事业单位数据安全防护能力的提升,大幅减少个人信息、重要数据泄漏等安全事件的发生