2020年7月2日,全國人大常委會第二十次會議審議了《資料安全法(草案)》(以下簡稱《數安法》)並公開徵求意見。《數安法》主要圍繞著資料安全管理各項基本制度、促進資料安全和發展的措施、解決資料安全領域突出總量、滿足電子政務資料合理需求展開。
在這之前,國內資料安全建設的指導性檔案,是國家網際網路資訊辦公室去年5月28日釋出的《資料安全管理辦法(徵求意見稿)》(以下簡稱《辦法》)。《數安法》和《辦法》之間的關係十分緊密,互為補充和支撐,共同搭建更加強大的資料安全保護體系,也體現了國家對於資料安全保護的高度重視。
但相應的,《數安法》中的大部分細則較《辦法》都有了進一步的明晰和提升,《數安法》對企業而言,也已經成為了資料安全建設的全新挑戰。
覆蓋更廣的資料安全保護
此次《數安法》的一大特點,就是“覆蓋更廣”,具體分為行為、物件和空間上的規範。
先說行為,《數安法》明確了資料的概念,是指任何以電子或者非電子形式對資訊的記錄,需要遵守規範的“資料活動”包括:資料的收集、儲存、加工、使用、提供、交易、公開等行為。環節的數量較《辦法》中增加了4個,同時刪除了“純粹家庭和個人事務除外”的規定。將單純個人用途使用資料的行為納入監管。
其次是物件,除了企業,社會團體、政府部門、個人乃至境外的機構都覆蓋其中。具體而言,在中華人民共和國境內開展資料活動的一切主體,都是規範的物件。根據物件的不同,也對應了不同的《數安法》要求。最基礎的是合法義務,境內主體還有配合義務和報告義務的基礎要求。企業們還有建立相關內容管理機制義務和員工培訓義務。政府部門則有一個專屬的政務公開義務。
最後是空間上,《數安法》特別覆蓋了境外物件,並依據保護管轄原則,規定資料活動無論在境內還是境外,只要損害我國國家安全、他人合法權益的,就要依法追究法律責任。這一新改變,能更好適應當前資料沒有國界、資料所有者主體全球化的現實情況。
資料安全建設挑戰再升級
作為最常見、最主流資料資產主體,企業和政府機構無疑是受《數安法》影響最大的物件。《數安法》中明確要求資料採來源及採集方式的合法性,明確規定任何組織、個人收集資料,必須採取合法、正當的方式,不得竊取或者以其他非法方式獲取資料。
《數安法》還規定了專門提供線上資料處理等服務的經營者,應當依法取得經營業務許可或者備案。這無疑給資料處理服務企業設立了硬性門檻。此外,從事資料交易中介服務的機構在提供交易中介服務時,應當要求資料提供方說明資料來源,稽核交易雙方的身份,並留存稽核、交易記錄。更加嚴苛的資料交易制度,將每時每刻挑戰那些不推進資料安全建設的企業,一旦被處罰,就將影響其未來資料市場中的聲譽。
企業、政府機構類主體相較個人多出的內部管理機制、員工培訓義務也是《數安法》中的新要求,後者指出開展資料活動應當依照法律、行政法規的規定和國家標準的強制性要求,建立健全全流程資料安全管理制度,組織開展資料安全教育培訓,採取相應的技術措施和其他必要措施,保障資料安全。
為資料加上“防護罩”
明確資料活動的紅線
隨著“新基建”的開展,潛藏其中的資料危機也衍生出新一輪的網路安全挑戰。去年,勒索病毒依舊呈現週期性爆發的趨勢,我國多家醫院、臺積電等均曾遭遇過勒索軟體攻擊;年初微盟刪庫事件,為網際網路行業敲響了警鐘,《數安法》的出臺將顯得尤為迫切。
在我國,資料產業已經形成一個完整產業鏈,涉及資料收集、儲存、加工、使用、交付、流通等諸多環節,《數安法》的出臺,將填補政策和法律的鴻溝,打破政策鼓勵資料應用與流通交易,而法律法規相對滯後的局面。《數安法》公佈後為資料產業、資料智慧經濟的劃定了邊界,明確了資料活動紅線,讓其發展有章可循。
這一人工智慧與大資料時代所呼喚的資料規則,對於大資料資料及產業安全而言,無疑是一大利好,既約束了資料的濫用和非法採集,又保護了資料提供方和普通民眾的資訊,只有合法、合規運營,才能讓資料價值最大化,讓資料真正成為數字經濟發展的流動的血液,在《數安法》的契機下,以資料開放、資料保護、資料流動等為基礎的資料規則或將構建並逐步完善,不斷促進數字經濟發展。
迎接挑戰
應緊踩資料安全建設油門
《數安法》的進一步落地,對企業的資料安全建設提出了要求,將成為企業合規執行的新門檻。尤其是資料的安全防護涉及到多個環節,包括人的管理、行為的控制、程式碼的健壯性等一系列問題,這些環節想要囊括到資料安全的防護措施中是非常困難的。
這一點,在《數安法》中也有明確的體現,尤其是明確企業、社會團體以及各種政府部門需要建立相關的內部管理機制、以及進行員工培訓。這顯然需要企業進行全面的資料安全建設動員,考驗企業改造業務的決心。
站在最終實現資料安全的角度來看,儘早直接建立新型、全生命週期的、深入資料流的防護手段,將會成為企業持續升級資料安全建設,高標準滿足資料安全相應合規要求的不二法則。
著眼於日益嚴峻的資料安全挑戰,騰訊安全綜合運用資料安全管理經驗和資料保護技術打造了資料安全治理中心、資料加密服務、金鑰管理系統、憑據管理系統、資料安全審計、堡壘機、敏感資料處理等七大產品體系,針對性地在資料全生命週期每個階段提供保護,透過從資料的產生、傳輸、儲存、處理、共享、使用、銷燬等環節入手,建立一套全生命週期的防護措施。貫穿始終的防護模式,防止一個短板(木桶原理)就導致企業資料安全全盤崩潰。
從另一個角度看,企業的資料安全與安全治理是密不可分的,企業應該透過建立一套全面的資料安全治理平臺,以此來統籌業務資料流和資料風險管控,避免資料安全風險導致企業受到損失。騰訊雲就專門打造了企業資料安全解決方案,企業可以極簡快速地構建全生命週期的安全防護體系,同時充分利用騰訊過去20年積累的技術、人才、經驗等優勢,既高質量、高規格地完成了《數安法》中相應資料安全建設的要求,同時又保障了企業自身的數字資產經濟利益。