2020年7月2日,全国人大常委会第二十次会议审议了《数据安全法(草案)》(以下简称《数安法》)并公开征求意见。《数安法》主要围绕着数据安全管理各项基本制度、促进数据安全和发展的措施、解决数据安全领域突出总量、满足电子政务数据合理需求展开。
在这之前,国内数据安全建设的指导性文件,是国家互联网信息办公室去年5月28日发布的《数据安全管理办法(征求意见稿)》(以下简称《办法》)。《数安法》和《办法》之间的关系十分紧密,互为补充和支撑,共同搭建更加强大的数据安全保护体系,也体现了国家对于数据安全保护的高度重视。但相应的,《数安法》中的大部分细则较《办法》都有了进一步的明晰和提升,相应的,《数安法》对企业而言,也已经成为了数据安全建设的全新挑战。
覆盖更广的数据安全保护
此次《数安法》的一大特点,就是“覆盖更广”,具体分为行为、对象和空间上的规范。
先说行为,《数安法》明确了数据的概念,是指任何以电子或者非电子形式对信息的记录,需要遵守规范的“数据活动”包括:数据的收集、存储、加工、使用、提供、交易、公开等行为。环节的数量较《办法》中增加了4个,同时删除了“纯粹家庭和个人事务除外”的规定。将单纯个人用途使用数据的行为纳入监管。
其次是对象,除了企业,社会团体、政府部门、个人乃至境外的机构都覆盖其中。具体而言,在中华人民共和国境内开展数据活动的一切主体,都是规范的对象。根据对象的不同,也对应了不同的《数安法》要求。最基础的是合法义务,境内主体还有配合义务和报告义务的基础要求。企业们还有建立相关内容管理机制义务和员工培训义务。政府部门则有一个专属的政务公开义务。
最后是空间上,《数安法》特别覆盖了境外对象,并依据保护管辖原则,规定数据活动无论在境内还是境外,只要损害我国国家安全、他人合法权益的,就要依法追究法律责任。这一新改变,能更好适应当前数据没有国界、数据所有者主体全球化的现实情况。
数据安全建设挑战再升级
作为最常、最主流数据资产主体,企业和政府机构无疑是受《数安法》影响最大的对象。《数安法》中明确要求数据采来源及采集方式的合法性,明确规定任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
《数安法》还规定了专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案,这无疑给数据处理服务企业设立了硬性门槛。此外,从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。更加严苛的数据交易制度,将每时每刻挑战哪些不推进数据安全建设的企业,一旦被处罚,就将影响其未来数据市场中的声誉。
企业、政府机构类主体相较个人多出的内部管理机制、员工培训义务也是《数安法》突出强调的内容,后者指出开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
为数据加上“防护罩”,明确数据活动的红线
随着“新基建”的开展,潜藏其中的数据危机也衍生出新一轮的网络安全挑战。去年,勒索病毒依旧呈现周期性爆发的趋势,我国多家医院、台积电等均曾遭遇过勒索软件攻击;年初微盟删库事件,为互联网行业敲响了警钟,《数据安全法》的出台将显得尤为迫切。
在我国,数据产业已经形成一个完整产业链,涉及数据收集、存储、加工、使用、交付、流通等诸多环节,《数安法》的出台,将填补政策和法律的鸿沟,打破政策鼓励数据应用与流通交易,而法律法规相对滞后的局面。《数安法》公布后为数据产业、数据智能经济的划定了边界,明确了数据活动红线,让其发展有章可循。
这一人工智能与大数据时代所呼唤的数据规则,对于大数据数据及产业安全而言,无疑是一大利好,既约束了数据的滥用和非法采集,又保护了数据提供方和普通民众的信息,只有合法、合规运营,才能让数据价值最大化,让数据真正成为数字经济发展的流动的血液,在《数安法》的契机下,以数据开放、数据保护、数据流动等为基础的数据规则或将构建并逐步完善,不断促进数字经济发展。
迎接挑战,应紧踩数据安全建设油门
《数安法》的进一步落地,对企业的数据安全建设提出了要求,将成为企业合规运行的新门槛。尤其是数据的安全防护涉及到多个环节,包括人的管理、行为的控制、代码的健壮性等一系列问题,这些环节想要囊括到数据安全的防护措施中是非常困难的。
这一点,在《数安法》中也有明确的体现,尤其是明确企业、社会团体以及各种政府部门需要建立相关的内部管理机制、以及进行员工培训。这显然需要企业进行全面的数据安全建设动员,考验企业改造业务的决心。
站在最终实现数据安全的角度来看,尽早直接建立新型、全生命周期的、深入数据流的防护手段,将会成为企业持续升级数据安全建设,高标准满足数据安全相应合规要求的不二法则。
着眼于日益严峻的数据安全挑战,腾讯安全综合运用数据安全管理经验和数据保护技术打造了数据安全治理中心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系,针对性地在数据全生命周期每个阶段提供保护,通过从数据的产生、传输、存储、处理、共享、使用、销毁等环节入手,建立一套全生命周期的防护措施。贯穿始终的防护模式,防止一个短板(木桶原理)就导致企业数据安全全盘崩溃。
从另一个角度看,企业的数据安全与安全治理是密不可分的,企业应该通过建立一套全面的数据安全治理平台,以此来统筹业务数据流和数据风险管控,避免数据安全风险导致企业受到损失。腾讯云就专门打造了企业数据安全解决方案,企业可以极简快速地构建全生命周期的安全防护体系,同时充分利用腾讯过去20年积累的技术、人才、经验等优势,既高质量、高规格地完成了《数安法》中相应数据安全建设的要求,同时又保障了企业自身的数字资产经济利益。