2018年5月,歐盟出臺了GDPR,美國、新加坡、日本、印度等國家也快速跟進,在全球範圍內,資料安全立法工作一下子進入了快車道。
2018年9月,我國正式啟動《資料安全法》立法工作。
2020年6月,《資料安全法(草案)》完成審議。
2020年7月,《資料安全法(草案)》釋出。
2021年6月,《資料安全法》正式釋出。
2021年9月1日,《資料安全法》開始施行。
三年時間,我們共同見證了《資料安全法》的落地。9月1日,資料安全法正式實施,標誌著資料安全和資料利用正式納入國家治理體系。全新的法律法規會對企業安全防護工作產生重大影響,企業應該如何深化自身資料安全方面的進階建設,匹配法律法規的新要求?進而又該如何將資料安全體系打造成企業的基因,成為其參與市場競爭的優勢?
本期產業安全觀智庫訪談,我們以2021年北京工業網際網路資料安全發展論壇為背景,邀請到國家工業資訊保安發展研究中心保障技術所副所長王墨、北京航空航天大學副研究員李博、騰訊安全副總裁黎巍、天融信科技集團股份有限公司副總裁唐寧、中國鐵道科學研究院集團有限公司評測中心等保測評部主任周澤巖、騰訊安全資料安全產線負責人崔卓,就《資料安全法》落地與應用、資料安全技術與產業發展等進行深度討論,為大家詳解《資料安全法》的立法背景及長遠影響。
Q:《資料安全法》出臺的背景及核心目的是什麼?
李博:我認為背景可以從三個方面來講。
第一、 資料已經成為新的生產要素,資料資源也是一種戰略資源,它在國民經濟中發揮的作用也越來越大。相應的安全風險和挑戰肯定也會越來越多,這是一個大的背景。
第二、從法律角度來講,我們更多關注資料作為一種戰略資源,在國際競爭中也處在各國爭奪的焦點。
第三、《資料安全法》的出臺也是出於我國自身的實際需求,從中國網際網路發展來看,尤其是資料在這裡起到了至關重要的作用,但相應也產生了一些副作用,比如一些隱私洩露、大資料殺熟等,也迫切需要透過立法來做相應的保證。
對於《資料安全法》出臺的目的,從國家層面,因為有《國家安全法》這樣一個上位法體系,《資料安全法》其實是針對資料安全領域的一個補充法律。從企業層面,行業內都制定了各自的資料安全規範,但缺了一層國家基本法律,相當於補充了一個口子。
Q:資料安全專委會如何開展《資料安全法》相關工作?
資料安全專委會由北京工業網際網路技術創新和產業發展聯盟發起,旨在充分發揮各單位的行業優勢、技術優勢、資源優勢和人才優勢,搭建產學研用一體化的資料安全交流合作平臺,加快促進資料安全技術和產業高質量發展。
王墨:今天在會上我們發起設立資料安全專委會,希望用整體化的優勢資源聚攏產學研,一體化推動資料安全技術和產業發展。後續我們將開展四個方面的工作:
第一、 政策標準方面的研究,我們會跟蹤國內外一些比較先進的政策、制度、法律法規的研究,參與一些我們國家頂層的政策檔案、指導性檔案的編制、及時跟蹤整個行業的態勢進行相關分析,形成資料安全領域的刊物編輯和出版。
第二、 技術方面的研究,我們會圍繞資料安全,對提供監測、防護、共享、交易的應用,以及提供資料安全服務的工作,聯合企業力量,一起開展技術研究的工作。也會聚焦工業安全、工業網際網路安全、車聯網安全等這些領域的特點,開展標準的研製。
第三、 開展評估評測工作,比如聚焦DSMM、DCMM、資料安全防護能力評估、資料跨境的防護能力評估,做好整個評估工作的對接。同時,我們也會培育專業的評估隊伍,在整個評估過程中貫穿評估規範、測試驗證。
第四、 整個資料安全產業的宣傳與推廣,包括資料安全技術與產品的體系建設,還有產業圖譜、產業研究的工作,會遴選一些優秀的解決方案,開展試點示範。後續的過程中還會開展產品的推介,學術沙龍,高階論壇。
我們也希望借這個機會聯合各方力量,共同把整個工作做好。後續還會籌備政策、工業網際網路的工作組,希望大家都能積極投入進來,為資料安全事業發展添磚加瓦。
Q:資料安全產業是否將迎來“春天”?
唐寧:其實《網路安全法》、《資料安全法》之間是姊妹法的概念,不是上位法下位法。所以現階段,我認為可以把資料安全市場和網路安全市場看成一體。
目前法律層面已經落實,未來會有更多的下位法或相關的標準規範支撐。現在可以看到《資料安全法》要做的是資料分類分級的防護。無論是工業相關分類分級,還是教育、衛生,金融、運營商等資料分類分級,相關的防護性工作都已經動起來了。這將大大地促進整個網路安全、資料安全市場的前景。
現在大家都在講資料全生命週期的安全防護,這些工作需要做,但還不夠。一方面環境的安全要做,一方面資料治理或安全治理要做。再者,資料全生命週期安全防護的伴隨保障、伴隨賦能、相關資料應用的安全防護也要做,只有這些東西做到了,資料安全的目標才能夠達到,這實際上就是《資料安全法》的連環影響。
工信部也釋出了3年高質量產業發展規劃,2023年網路安全整個市場是2500個億,《資料安全法》從資料安全形度,給整個網路安全市場做了一次很好的加持,有等保2.0,又有《資料安全法》,不久的將來會有分保2.0出來,市場規模我覺得肯定是沒有問題的。
Q:典型行業和大型企業如何渡過資料安全關?
王墨:針對工業網際網路資料安全的三個思路
近年來,工信安全中心也高度重視資料安全的工作。在貼近工業企業,進行比較細緻的梳理和檢查過程中,我們發現了很多問題。
我們圍繞著資料安全的監測、防護、共享和交易等開展能力建設,現在已經形成了一系列的平臺和工具,都投入到了國家在資料安全支撐的能力建設以及檢查工作中。圍繞著“雙安法”的落實,我們也在積極研究針對工業行業資料如何開展這種資料安全的工作,簡單來說有幾個思路。
首先,一定要明確工業行業資料和工業資料的處理者概念的範疇,才能更好更準確地開展後續工作。包括主體責任的落實、具體提出的安全要求。比如,工業資料界定為在工業領域,產品和服務全生命週期中產生和應用的資料。工業資料處理者可以理解為在收集、儲存、加工工業資料過程中,工業行業或是工業資料服務的提供者。
第二,工業企業有自身特色,衍生出來工業資料的分類分級。分類分級安全防護和整個工作機制落實也有自己的特色,比如分類分級方面,工業行業種類很多,因此工業資料種類很多,分類分級跟其他工作就會有不同的重點。另外在安全防護方面,工業企業的資料實時性比較強,而且工業資料穩定性要求也會比較高,包括多關聯、閉環反饋,所以做防護解決方案的時候會更有針對性,需要根據行業特色和資料特點來制定。
第三,工作機制方面,“數安法”也提到了,現在工業資料的監管主要透過地方的工信主管部門和通訊主管部門進行。工業企業產生的工業資料由地方的工信主管部門來指導。工業網際網路平臺的企業產生的資料由地方的通訊主管部門來指導。
簡單來說,我們國家資料安全產業事業剛剛起步,工信安全中心希望同眾多企業、科研院所交流研討,一起建立健全整個資料安全產業的發展體系。
周澤巖:國鐵集團長期佈局資料安全建設
目前我們國鐵集團在資料安全領域一直從事研究工作,去年跟前年,國鐵集團都立了資料安全治理方面的國鐵集團重大課題。
不光是鐵路上研究機構參與,社會各界,比如清華大學、華北電力大學都有參與到研究工作當中。所以在這方面工作的軟科學研究,我們鐵路一直在做。
落實在具體工作中,比如說12306,其實很早就採用了相關的密碼技術,對資料分級分類做了相關處理,並且也出過一些具體方案。
從國鐵集團整體來講,因為在天津武清建了一個主資料中心,目前比較重要的是全路統一使用的資訊系統,很多資料我們也按照國家的要求進行上移,《資料安全法》和去年公安部發布的1966號檔案當中也提到了重點資料上移的問題。
下一步《資料安全法》頒佈後,包括落實資料的分級管理制度,除了12306裡涉及到的個人資訊,鐵路上重要的地理標識資訊,客運、貨運、以及一些經營管理相關的重要資訊,下一步都需要做資料相關的歸類、劃分,按照《資料安全法》相關要求,推進預警機制、應急處置機制、相關培訓等。以及《資料安全法》中談到的作為企業應該提供的義務,都是下一步我們需要重點關注的。
國鐵集團多年以來持續跟國家的法律法規、中央政策保持一致,我們也會在這個道路上持續前進、砥礪前行。
黎巍:打造資料安全體系是騰訊安全的戰略核心
資料安全問題,對於每個企業來說都非常重要,早在10年前,騰訊內部對資料的安全就做了非常系統的治理。那時候還沒有GDPR,沒有各種安全法規。因為騰訊很清楚地知道,我們肩負著海量的高價值資料,關係到國計民生。
首先,騰訊內部有一套十多年來在對抗中逐漸形成完備的體系。同時,幾年前騰訊開始給企業提供服務以後,發現對於資料安全面臨的問題,不僅是騰訊,各行各業都會遇到這樣的問題。尤其是這兩年,各種法律法規的促進,各種重大事件的驅動,企業對資料安全越發重視。
所以在騰訊的整個安全體系裡,資料安全無論是在內部還是對外提供,都處於非常重要的戰略核心位置。從騰訊安全的角度來看,有了雲平臺之後,也是一個機會,可以幫助企業圍繞資料安全的治理,形成一個資料安全中心承載資料安全的能力,讓企業面對資料安全問題的時候,可管可控,能夠及時發現,及時預警、及時處理。
對於騰訊來說,打造整個資料安全體系,是騰訊安全的戰略核心,非常重要又極具挑戰的。
Q:雲平臺、雲端計算能為資料安全、以及整個安全行業帶來哪些增益?
黎巍:雲的場景跟傳統的IDC網路儲存環境有非常大的區別。傳統IDC裡面,所有東西都在自己的可控下,那時候很多東西沒有完全聯網,不和外界發生聯絡,也就沒有安全問題產生。但隨著產業的發展,任何一家企業,即便是傳統餐飲企業,它都會產生網際網路資料。所謂產業網際網路,就是各行各業都會最終實現聯網。
所以在雲的場景下,做安全肯定要和外界發生聯絡。必然要發生聯絡的常態下,怎樣去做安全?如果每個企業都要去建一個很複雜的體系,對大部分企業來說是不現實的,因為要把安全體系搭建起來,需要企業團隊、技術、產品各種各樣資源的投入。
而作為雲服務商來說,本身是從底層來為企業構建一個基礎設施。基礎設施安不安全,是作為任何一個雲廠商首先要考慮的問題。所以對於傳統企業來說,雲的底座和基礎設施就是彌補企業在數字安全層面的短板。傳統的企業上雲以後,會發現起碼有了一個最基本的底座。
長期來看,雲是非常好的生態,可以幫助企業節約投資成本,又能比較好的獲得安全防護能力。而作為雲廠商,因為有云的打通,可以提供雲的SaaS服務或者彈性服務,讓企業資料很快接入,透過資料安全中心管控起來,具備所需的安全能力。所以雲對於中小企業來講,是更加低成本、更高效的解決方案。
寫在最後
總的來說,資料安全是萬物互聯背景下各個行業面臨的長期課題。《資料安全法》的頒佈既是挑戰、更是機遇,未來需要產學研用多方協同,共建可持續發展的資料安全體系,挖掘並釋放資料安全市場的更多潛能。
「產業安全觀智庫訪談」
是騰訊安全依託中國產業網際網路發展聯盟及安全專業委員會,策劃的一檔聚焦於產業安全、安全生態、安全產業發展、安全與各產業融合等戰略宏觀維度的高階訪談欄目。
專欄文章:
o 疫情和“新基建”雙重驅動,安全產業發展按下“加速鍵”
o 發改委明確新基建範圍,產業安全如何做好這道“必答題”?
o 如何建立與智慧城市相匹配的安全體系?
o 兩會關鍵政策解讀,產業安全建設需成為“先行者”
o 風生水起藏隱憂:電商行業的安全挑戰與變革
o 企業上雲如何享受普惠安全紅利?
o 數字營銷加速進入“下半場”,如何應對虛假流量“頑疾”?
o 持續增長的物聯網行業,安全體系建設跟上了嗎?
o 遊戲出海闖千億市場,DDoS難關如何渡過?