引言

數據安全法（草案）

隨著全球數字經濟的快速展，當前對數據掌控和利用能力，已成為衡量國家之間競爭力的核心要素。今年4月份，中央首次明確了將數據作為五大生產要素之一，加快對數據要素市場的培養(yǎng)，并通過新基建等一系列措施進行政策的落地。面對數字經濟迎來新的發(fā)展機遇同時，國內外數據安全的形勢不容樂觀，根據公開報道，2019年數據泄露事件達到7098起，涉及151億條數據記錄，比2018年增幅284%。數據泄漏事件影響大、損失重。

?

數據安全是數字經濟的零因子，零乘以億萬等于零。2020年6月28日，第十三屆全國人大常委會第二十次會議初次審議了《中華人民共和國數據安全法（草案）》（以下簡稱“數安法”）。7月3日在中國人大網公布，向社會征求意見，通過立法實現(xiàn)數據安全與共享的平衡發(fā)展。

?

外力驅動和內部需求，促使數安法快速落地

外力驅動

2018年3月23日，美國總統(tǒng)特朗普正式簽署了《澄清域外合法使用數據法》，法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件，無論服務提供者的通信、記錄或其他信息是否存儲在美國境內，要求服務商根據該法案進行調取并提供相關證據。

?

2018年5月25日，歐盟《一般數據保護條例》（GDPR）正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外，只要處理的是歐盟境內居民的數據，均適用此法案，對數據實施長臂管理。

?

面對歐美國家將數據主權從物理邊界轉向技術邊界，將會直接影響到第三方國家的主權，在數據跨境流動愈加頻繁的今天，必須盡快完善我國相關法律法規(guī)，保護我國國家利益、跨國公司以及公民個人利益。

?

內部需求

當前全球經濟傳統(tǒng)經濟增長緩慢，尤其上半年全球“新冠疫情”給經濟帶來了沉重的打擊。迫切需要通過新的經濟增長點拉動內需，增加就業(yè)，而數字經濟正是切入點和發(fā)動機。國家將發(fā)展數字經濟提升到國戰(zhàn)略高度則水到渠成。

?

通過近年來數字經濟增速也證明數字經濟發(fā)展空間巨大，通過信息院的調研報告，發(fā)現(xiàn)數字經濟增長顯著高于同期的GDP，是帶動國民經濟發(fā)展的關鍵力量。2019年我國數字經濟規(guī)模已經達到35.8萬億元，占GDP比重達到36.2%。

圖：我國數字產業(yè)規(guī)模

?

在2020年初，各省根據中央要求，印發(fā)“關于支持數字經濟發(fā)展若干政策實施細則”等相關通知，全面推進數字設施化、設施數字化的進程，全力打造數字經濟。因此，亟需一部國家的基本法，為中國數字經濟的安全發(fā)展保駕護航。

?

上述背景下數安法誕生，恰逢其時，維護了我國的數據主權，保障了國家的安全、促進了經濟健康發(fā)展。

?

數安法要點解讀和提煉

?

數安法的發(fā)布標志著我國將數據治理的政策要求，通過法律文本的形式進行了明確和強化。本法一共七章五十一條，其中 “總則”、“法律責任”及“附則”三章屬于常規(guī)章節(jié)，另外四個章節(jié)圍繞著“數據安全與發(fā)展、數據安全制度、數據安全保護義務、政務數據安全與開放”來提出要求。

圖：數安法七個章節(jié)

?

我們對數安法進行深入解讀后，為大家提煉出30個要點。

總則的要點

1) 適用范圍：在中國境內開展數據活動的組織和個人。

2) 保護要求：釆取必要措施，對數據進行有效保護和合法利用，并持續(xù)保持其安全能力。

3) 責任任務：工業(yè)、電信、教育等行業(yè)和地方各部門承擔本行業(yè)、本領域的數據安全監(jiān)、管職責。網信部門負責統(tǒng)籌協(xié)調和監(jiān)管。

?

數據安全與發(fā)展要點

4) 發(fā)展原則：維護數據安全和促進數據開發(fā)并重發(fā)展。

5) 戰(zhàn)略要求：省級以上人民政府應制定數字經濟發(fā)展規(guī)劃。

6) 標準體系：國家主管部門負責相關標準和體系的制定。

7) 評估認證：國家促進數據安全檢測評估、認證等服務的發(fā)展，支持專業(yè)機構依法開展服務。

8) 人才培養(yǎng)：要釆取多種方式培養(yǎng)數據開發(fā)利用技術和數據安全專業(yè)人才。

?

數據安全制度要點

9) 分級分類：數據要求實行分級分類，形成數據保護目錄。

10) 風險評估：要建立集中統(tǒng)一、高效權威的數據安全風險評估、報告、信息共享、監(jiān)測預警機制。

11) 應急處置：要建立數據安全應急處置機制。

12) 安全審查：要建立數據安全審查制度。

13) 出口管制：對屬于管制物項的數據依法實施出口管制。

?

數據安全保護義務要點

14) 管理制度:建立健全全流程數據安全管理制度，組織開展教育培訓。

15) 風險監(jiān)測：對出現(xiàn)缺陷、漏洞等風險，要釆取補救措施；發(fā)生數據安全事件要按規(guī)定上報。

16) 風險評估：定期開展風險評估并上報風評報告。

17) 數據收集：任何組織、個人收集數據必須釆取合法、正當的方式，不得竊取或者以其他

非法方式獲取數據。

18) 數據交易：數據服務商或交易機構，要提供并說明數據來源證據，要審核相關人員身份并留存記錄。

19) 經營備案：數據服務經營者取得經營業(yè)務許可或備案。

20) 配合調查：要求依法配合公安、安全等部門進行犯罪調查。境外執(zhí)法機構要調取存儲在中國的數據，須先審核。

?

政務數據安全與開放要點

21) 管理制度:建立健全全流程數據安全管理制度，落實數據安全保護責任。

22) 存儲加工：委托他人存儲、加工或提供政務數據，要先審批，并做好監(jiān)督。

23) 數據開放：構建統(tǒng)一政務數據開放平臺，發(fā)布數據開放目錄，推動政務數據開放利用。

?

法律責任要點

24) 未釆取必要的安全措施: 責令改正和警告，給予單位1萬至10萬元罰款，給予負責人5000至5萬元罰款；拒不改正或造成大量數據泄漏等嚴重后果的，給予單位10萬至100萬元罰款，給予負責人1萬至10萬元罰款。

25) 交易來源不明的數據：沒收違法所得，對違法所得一至十倍罰款。沒有違法所得的給予10萬至100萬元罰款，或吊銷營業(yè)執(zhí)照；對主管和直接責任人1萬至10萬元罰款。

26) 無證照經營：取締，對違法所得進行一至十倍的罰款。沒有違法所得，給予10萬至100萬元罰款，對主管和直接責任人處1萬至10萬元罰款。

27) 國家機關不履行安全保護義務：對負責人和直接責任人員依法處分。

28) 國家工作人員違法：因玩忽職守、濫用職權、徇私舞弊，未構成犯罪的給予處分。

29) 給他人造成損害：依法承擔民事責任。

30) 涉及國家秘密和軍事秘密數據，依據《中華人民共和國保守國家秘密法》以及相關法律法規(guī)執(zhí)行。

?

數安法是繼《網絡安全法》提出數據的概念后，國家在數據安全立法層面的一個重大里程碑，注定了是中國數字經濟高速發(fā)展的壓艙石和定海神針。

?

企業(yè)數據安全治理的幾點建議

?

數安法作為數據安全管理的基本大法，給我們指明了方向和提供法律保障。隨著產業(yè)的擴大和數據種類的日益豐富，當前各行各業(yè)都在探索如何安全、高效的做好本行業(yè)數據安全的治理，由于數據類型的復雜性和應用場景的多樣性，目前為止，還沒有行業(yè)通用的數據安全治理標準和模型。

?

我們通過各類數據泄密事件分析，發(fā)現(xiàn)大部分數據安全事件是由于內部管理不到位，由內部人員引發(fā)。

圖：數據泄漏事件分布圖

?

如何建立一個以預防、發(fā)現(xiàn)、消除泄密隱患為主的數據安全管理體系？我們建議從組織架構、規(guī)章制度、技術防護、監(jiān)督檢查、教育培訓、運行維護六個方面入手，將數據安全管理和技術防護滲透到業(yè)務流程的各個環(huán)節(jié)，一旦發(fā)生泄漏情況，以責任人為點，以業(yè)務流程為線，做到在最短時間內找到風險點并加以補救。

?

由于數據安全治理是一個長期的、系統(tǒng)化工程，本著三分技術、七分管理的原則，建議企業(yè)從六個方面進行規(guī)劃和建設。

圖：數據安全管理架構圖

?

建立健全管理組織機構

企業(yè)數據安全管理的成敗，主要取決主要領導是否重視，是否建立了一套完善數據安全管理組織，這是數據安全的重要保障。要形成“管理層重視、一把手負責、全員參與”的管理模式。

圖：安全組織架構搭建建議

?

同時，建議明確部門和相關人員職責，要責任到人。

圖：部門職責示例

?

制定落實安全制度體系

建立健全完善的企業(yè)安全規(guī)章制度，保障數據安全管理體系的有效運行，制度包括策略、標準、基線、流程和操作指南等，分級別進行管理。制度中的要求和標準或流程，可以通過培訓，讓每位員工知悉，并自覺遵守。

各業(yè)務部門在業(yè)務推進時，根據風險和業(yè)務需求，自行制定和發(fā)布四級文件，促進業(yè)務的安全開展。

圖：制度文件示例

?

加快技術智能化推進落實

技術不是萬能的，但是沒有技術卻是萬萬不能的。我們已經進入了大數據時代，在云安全、大數據安全、物聯(lián)網安全、工業(yè)互聯(lián)網安全、智慧城市安全等新安全的需求下，傳統(tǒng)的網絡邊界被打破，現(xiàn)有的技術和管理已無法滿足其業(yè)務的安全需求，面臨安全的新態(tài)勢、新要求，在繼續(xù)做好業(yè)務安全的基礎之上，通過智能化管理平臺，實現(xiàn)對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。

圖：數據安全生命周期管理架構

?

抓好常態(tài)化的教育培訓

俗話說：“成功的奧秘第一靠人，第二靠人，第三還是靠人”，人在數據安全管理中是關鍵因素，也是最不可控的因素。企業(yè)可以通過例行化、常態(tài)化、系統(tǒng)化的安全意識教育來提升全體員工的安全意識，使員工對安全要求牢記在心，并形成良好的人員操作習慣。

?

我們可以通過多種形式的教育培訓：一是借助企業(yè)各類平臺，如郵件系統(tǒng)、墻面海報、電視等進行宣傳，二是組織專題信息安全意識培訓，如新員工培訓、專題討論會等。三是借助外力組織全公司的安全宣傳周活動等形式，全面提升員工安全意識。

圖：培訓內容示例

?

加強數據安全的監(jiān)督檢查

監(jiān)督檢查是驗證企業(yè)數據安全管理工作成果的重要抓手，通過安全檢查，一是可了解安全和業(yè)務是否匹配，是否阻礙業(yè)務開展，是否形同虛設。二是可及時發(fā)現(xiàn)業(yè)務的風險和隱患，提出改進要求。三是以查代訓，提升員工對數據安全的重視程度。

?

在技術方面，安全部門也可以主動發(fā)起模擬釣魚郵件攻擊，通過實戰(zhàn)來驗證員工安全意識狀態(tài)，檢查結果全員公布，警鐘長鳴。

圖：監(jiān)督檢查內容示例

?

優(yōu)化安全運營的防控體系

安全運營不可一蹴而成，要和企業(yè)的各階段的安全建設相匹配，分階段實施：

? 第一階段是安全基礎設施建設，具備基本檢測和防御能力，管理以補齊安全能力為主。

? 第二階段通過搭建安全團隊，完善安全系統(tǒng)建設，具備掌握系統(tǒng)或工具的使用方法，實現(xiàn)被動防御的能力，形成初步安全運營能力。

? 第三階段對專職人員進行技能培訓、攻防演練等高階訓練，不斷提升安全團隊的能力。通過建設大數據態(tài)勢感知平臺，對攻擊行為進行自學習和自識別，實現(xiàn)主動防御，并具備安全威懾和反制能力。

?

在整體安全運營中，可參照PDCA模型循序漸進，通過對安全組織、制度、技術、培訓、檢查等各子模塊的不斷研究、建設、服務和優(yōu)化，形成一個完整的PDCA循環(huán)體系，以全面提升企業(yè)數據安全管理能力。

圖：安全運營示例

?

作為新安全領域的安恒信息，以“助力安全中國、助推數字經濟”為使命，為客戶提供專業(yè)安全產品和安全服務，13年以來深耕網絡和信息安全領域。在本輪的數字經濟大潮中，我們將和行業(yè)同仁一道為中國數字經濟發(fā)展賦能，共同筑起信息安全的新“長城”。