近年来,数字经济发展如日方升,人们在享受网络便捷服务的同时,也面临着一系列新的风险。“如何保障数据安全”成为了人们关注的热点话题。距离《数据安全法》正式实施还有不到一个月的时间,随着一连串的敏感事件的发生,网络安全的热度被推向了一个高潮。国家政策一个又一个的出台,力促数据应用合规化、数据交易规范化、数据保护常态化发展。
《中华人民共和国数据安全法》于2021年6月10日发布,确定于2021年9月1日正式实施。作为我国第一部与 “数据安全”相关的法律,与2016年11月7日发布的《中华人民共和国网络安全法》并行,标志着在复杂的互联网时代,我国数据信息安全领域的法律法规体系得到进一步完善。国家积极探索网络与信息安全领域中的危机与隐患,把大力保障国内各领域各行业的数据安全作为主要任务。
此次发布的《数据安全法》从公民权益、行业领域、国家战略等方面多层次的影响国家信息化建设,加上之前的《国家安全法》、《网络安全》、《民法典》等,从国家法律层面已经构建了一条宏观的互联网安全体系的主线。
网络安全相关法律法规时间线
这是一个数字经济的时代,数据成为了当下社会和科技进步的核心要素。制定《数据安全法》既是维护人民群众合法权益的客观需要,也是促进数字经济健康发展的重要举措,更是维护国家安全的必然要求。
自2018年以来,我国全面实施国家大数据战略,将数据定义为一种“战略资源”、把数据作为国家主权安全的保护对象。《数据安全法》正是这大数据战略的可靠保障。它能加强关键信息基础设施的保护、强化国家关键数据处理能力,增强数据安全预警与溯源能力,是国家深远战略目光与宏大全局意识的体现。
在我国,一部法律在面世之前往往需要经历相对漫长、细致的审议。如《网络安全法》从2013年开始起草,2015年6月开始初审议,到2016年10月第三次最终审议通过,经历了四年时间。
而《数据安全法》从初审到三审通过,只用了不到1年时间,立法之快足以体现了《数据安全法》的必要性和紧迫性。
促使《数据安全法》快速实施的原因无外乎以下几个方面:
国际政治因素是推进《数据安全法》快速实施的重要的外部因素。自2018年,美国总特朗普签署了《澄清域外合法使用数据法》和欧盟《一般数据保护条例》(GDPR)正式实施以来,全球已经有近100多个国家和地区制定了数据安全相关的法律法规。在数据流动更加频繁的今天,尽快完善数据信息安全的法律法规,保护国家利益和公民个人利益是各个国家政府的当务之急。
数字经济的高速发展是推进《数据安全法》快速实施的内驱动力,中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年的36.2%。
2021年3月12日,在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,数据安全政策导向明确,国家数据战略清晰。
风险与机遇并存,当数据成为了推动社会发展的关键要素,具有了可观的商业价值的同时也面临着严峻的安全风险问题:一方面,由于数据在不同载体之间进行收集加工处理,模糊了数据安全管理的边界;另一方面,由于商业价值的体现,针对数据的攻击、窃取、滥用等灰色产业链逐步向规模化、国际化等方向发展。
根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元;2019年数据泄露事件达到7098起,涉及151亿条数据记录,同比2018年增幅284%,由于数据泄漏事件而造成经济损失极其重大,且负面影响也极为深远。
因系统本身漏洞而造成的数据安全事件造成的危害难以估计。2019年知名人脸识别公司深网视界,被曝发生数据泄露,致使250万人的私人信息能够不受限制被访问,如此大规模的信息泄露事件不免令人唏嘘。与此同时,此次事件也引发了人们关于人脸识别技术信息安全方面的担忧和关于隐私等方面的道德讨论。一家主营安防的人工智能企业,却保护不了用户的信息安全,既可笑又让人费解。
由于黑客攻击造成数据泄露的事件,往往出现于大企业,其造成的损失和负面影响也极具灾难性的。2016年9月22日,全球互联网巨头雅虎证实至少5亿用户账户信息在2014年遭人窃取,内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。2016年12月14日,雅虎再次发布声明,宣布在2013年8月,未经授权的第三方盗取了超过10亿用户的账户信息。2013年和2014年这两起黑客袭击事件有着相似之处,即黑客攻破了雅虎用户账户保密算法,窃得用户密码。2017年3月,美国检方以参与窃取雅虎用户受到影响的网络攻击活动为由,对俄罗斯情报官员提起刑事诉讼。
除了黑客攻击,内部员工作案更是防不胜防。以内部员工窃取用户数据进行地下交易为例,贩卖用户信息的暴利以及企业内部管理的失序诱使企业内部人员铤而走险、监守自盗,盗取贩卖用户数据的案例屡见不鲜。2016年,埃森哲等发布的一项调查研究结果显示,其调查的208家企业中,69%的企业曾在过去一年内“遭公司内部人员窃取或试图盗取数据”。未采取有效的数据访问权限管理,身份认证管理、数据利用控制等措施是大多数企业数据内部人员数据盗窃的主要原因。
近年来国内外重大数据安全事件频频发生,全面提升并完善数据信息安全是国家经济发展的核心任务,也是一场有着深远意义的国家战役。
我国提出的网络安全的基本制度——《网络安全等级保护制度》,随着信息技术的发展和网络安全形势的变化,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
“等保2.0”的主要标准文件
“等保2.0”影响的范围不只是普通企业,还包括各个事业单位、机构组织、政府机关,根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,网络运营者成为等级保护的责任主体,对所有组织单位的系统网络进行安全保障能力的要求,“等保2.0”与数据安全紧密呼应,这也成为了加速《数据安全法》出台的内因之一。
因此,国家亟需《数据安全法》来为国家战略目标、国家主权、公民利益和数字经济发展全方位的进行保驾护航。
数据安全治理框架
我国现行的网络安全法律的整体保障和监督不仅对各单位提出严格的安全要求,也对IT从业人员提出了提升保障数据信息安全能力的要求。单位和个人在收集、存储、使用、加工、传输、提供、公开数据资源,都必须建立合法合规的数据安全管理制度,采取必要的技术措施确保数据安全。从《数据安全法》具体内容看,保障数据信息安全应当聚焦在安全管理体系和安全技术体系两个方向。
建立健全的安全管理体系。国家建立数据的分类分级保护制度,对数据进行实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。各地区、各单位需要遵循“等保2.0”来确保所运营的系统符合国家标准,并且建立全流程数据信息安全管理制度,对重要数据的处理者明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。
建立完善的安全技术体系。随着信息化、智能化的发展,数据信息在环境、网络、应用系统等方面面临着多种多样的威胁,如果没有完善的安全技术体系,数据信息就显得格外脆弱。从身份识别、到访问控制、到安全审计、再到数据件防护等,每一项之间相辅相成,并且又对应着物理、网络、系统、应用、数据层的不同的安全项目。
从管理制度到安全技术体系,是决策层到技术层,自上而下贯穿组织架构的一个完整链条,符合 Gartner 对数据安全治理的定义。在2019年数据安全治理专业委员会发布的《数据安全治理白皮书2.0》中,提出了数据安全治理是要以“让数据使用更安全”为目的,在中国易于落地的数据安全建设体系方法论,并且给出了数据安全治理理念框架:
数据安全治理理念框架
在现行的一系列法律法规和国家标准的保护和要求下,数据安全治理框架主要基于“策略、技术、人员”三个核心能力领域而设计,结合实际的数据安全防护情况,通过专业的数据安全治理团队,明确数据安全治理策略和流程,以技术手段为支撑,围绕数据使用的业务场景和活动分析安全需求,在数据安全管理体系、数据业务活动以及数据安全技术等方面综合指导数据安全顶层设计,提升数据的体系化保障能力。
合规性最薄弱的基础场景
在法律法规的要求下,各个企业单位都有保护数据安全的责任,且处理数据过程中都要充分满足合规性要求。要满足数据安全的“合规性”,需要从三个基础场景出发去思考。尽管以下这三个基础场景并不能覆盖所有的应用场景,但却是从数据处理过程中“合规性”最薄弱的三个基础场景。
场景一:敏感信息采集
违规采集:违规收集用户敏感信息或强制、过度索取法规范围之外的个人权限。
越权采集:未经同意收集使用个人信息,违反必要性原则收集与其提供的服务无关的个人信息,或采集范围与其声明范围不一致。
《数据安全法》规定,在“等保2.0”的基础上履行数据安全保护的义务,数据收集和处理需要得到许可。在 APP 应用中,违规采集和越权采集个人信息的现象比较猖獗,国内对敏感信息的监管力度逐渐增强,违规采集和越权采集的都已经成为国家打击的重点。场景问题一:如何防止违规的数据采集行为?
场景二:数据防泄漏
欧美国家在数据泄漏方面的监管和处罚力度非常大,例如:2018年和2020年,万达旗下的喜达屋酒店发生的两起客户信息泄漏事件,第一次泄漏了近4亿的客户信息泄漏,被罚1.24亿美金;第二次又泄露了520万客户信息,被英国政府处罚了1840万英镑。
数据泄漏是一个非常综合的场景,在数据的存储、处理、分享的过程中既有人物因素造成的数据窃取,也有系统因素造成泄漏。场景问题二:如何有效的防止数据泄漏?
场景三:数据出境保护
各国各地区对数据流动的监管诉求均有相关立法,而业务形式和业务种类的多样性增加了传输场景的复杂性,使国内企业和跨国企业难以满足本国合规要求。
《数据安全法》规定,在国内收集产生的数据,其的出境安全管理适用《网络安全法》规定:要求在国境内收集生产的数据,必须存储于境内。需要向境外提供的,要向有关部门进行评估。
因业务需要向境外提供重要数据的,一般情况下由国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的则从其规定。
今年上半年多个互联网公司赴美上市,根据美国的《外国公司问责法案》要求,赴美上市公司需要审查会计底稿,且需要“自证不被外国政府所拥有控制”,此法案不但泛政治化严重同时也涉及到上市公司的数据出境和数据跨境流动问题,严重侵犯了国家和公民的数据安全。场景问题三:如何对数据做出境保护?
从理论上看,数据处理的五个环节,从采集到传输到存储到处理到分享再到销毁,更像是一个数据流水线,如果单纯从流水线上考虑数据安全治理问题,往往会忽略很多现实中的细节。
所以,制定一个数据安全解决方案,不应只从数据处理环节中制定理论上的方案,也不应单独的从某个问题为其做单一的解决方案而是需要从基础场景出发,在解决综合数据治理问题中确保合规性的技术体现,来制定合适的解决方案。
开源网安将与昂楷科技强强联合,共同推出数据安全新规的解决方案,合力解决“合规性”中最薄弱的三个基础场景产生的数据安全问题。
开源网安凭借自主研发的敏感数据检测系统,打破行业内安全技术壁垒,解决了应用内流转数据无法被检测的问题,并针对敏感信息和数据进行全生命周期的监控。
在解决方案上,开源网安以自身强大实力结合昂楷科技在数据库安全和数据治理方面多年积累的能力,将两家公司的技术优势高度融合,加强应用的数据防护综合水平,规避数据泄露风险,避免安全事故发生,在法律法规日益严格的要求下保障国家、企业、个人的数据安全。
《数据安全法》的发布是我国数字经济发展下的一个里程碑事件,各行各业在收集处理海量数据的同时,创造出更具价值的信息,也面临更加复杂的安全风险。而数据安全治理是个系统性工程,需要国家立法部门、政策制定部门、监管部门引导并组织数据安全相关厂商、技术和咨询服务企业相互协作,合力应对更高难度的数据安全风险和挑战。
随着信息技术的飞速发展,科技和人类活动的高度融合,全世界的数据信息将呈现爆发式增长,从各国关于数据安全的法律法规的制定和发布来看,首要任务是保护国家安全和公民权益,而未来,各国又面临更发达的技术和更复杂的数据,全球化的数据安全问题也终将不是一个国家所能完成的,也许在不久的将来,围绕全球化的数据安全问题而建立的世界性组织或将成型,打造面向全球化的数据安全管理体系和安全技术体系将成为世界性的挑战。
但从大众和用户角度看数据安全,我们不必说敏感数据如何处理,如何对信息进行脱敏,法律如何严格管控;也不必说应用做了哪些保护,数据库和代码做了什么审计,如何对 App 违规的识别;单是仅仅一个骚扰电话打到用户手机上,也意味着我们之前所做的一切努力都付之一炬。