2021年1月,巴西的一个数据库30TB数据被破坏,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿;
2021年3月,印度800万核酸检测结果泄露,含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息;
2021年3月,美国保险巨头CNA公司的IT系统被勒索软件锁定,攻击者还窃取了数据,公司支付了4000万美元勒索赎金;
...
有研究机构统计,2020年全球数据泄露的数量超过过去15年的总和,这些数据安全的风险影响范围已经从个人、企业逐步辐射到产业甚至是国家。
当前,全球数字化转型正在以爆发式速度快速发展,数据作为数字化的核心,已经成为新时代的核心生产要素之一。如果数据发生泄露,那么企业乃至国民经济运行,公共卫生、农业生产、运输物流等受到冲击,并可能引发各领域严重后果。
伴随着9月1日《中华人民共和国数据安全法》的正式实施,对于如何依法做好数据安全建设成为当前各行业负责人最为关心、关注的问题。今天小亿就来为大家说说如何从法律角度看数据安全建设,以及企业该如何做好数据安全治理。
一、数据安全的定义
根据《数据安全法》第三条,“数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
数据安全并不仅仅局限于数据本身的安全,而是一个综合概念。在数据从客户端到服务端传输过程中,涉及很多风险因素,比如客户端访问主体的身份是否真实可靠,数据在传输过程中是否完整、防篡改,到达服务端后以明文件存储还是加密存储,以及哪些用户使用等等。
从整体来看,在数据生命周期的每个环节,包括数据收集、存储、使用、加工、传输、提供、公开等,都存在三个重要概念:数据处理主题、数据本身、数据处理行为。
从数据源头上,要确保数据采集主题身份真实、可信;对于数据本身,在传输中要确保其真实性(数据来源真实可信)、完整性(数据未被非授权篡改)、机密性(数据未被非授权者获得)、可用性(数据可被授权者正常使用)等;对于数据处理行为,要确保其发送或接收行为、时间点的不可否认性。
二、《数据安全法》与企业数字化运营息息相关
在配套法规建设方面,围绕大数据的生产与再生产,贸易与流通,中国形成了以《国家安全法》为总纲,《网络安全法》、《数据安全法》和《个人信息保护法》三部法律为基础的法律监管体系,并以一些部门规章以及政策性文件等作为补充。
具体来看,《网络安全法》从设施、运营、数据以及内容安全四个维度对于未来的网络安全进行法规约束,并通过部门分工或者协作的方式制定和颁布进一步的安全细则,如《网络安全审查办法》、《关键基础设施信息保护条例》以及《网络信息内容生态治理规定》等。
《数据安全法》则围绕“收集、存储、使用、加工、传输、提供、公开”这样的数据处理流程,对于大数据的各参与方进行法规约束,违反相关安全措施的行为方将受到严厉惩罚。刚刚公布的《个人信息保护法》,主要从个人信息保护应遵循的原则和信息处理规则等方面进行约束,法规明确个人信息处理活动中的权利义务边界,以增强个人在数字经济时代的安全感。
除此以外,还伴随细分的行业配套法案陆续落地,比如《信息安全技术网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》、《网络安全产业高质量发展三年行动计划(2021-2023年)》,以及最近刚刚征求意见的《关于加强智能网联汽车生产企业及产品准入管理的意见》等。
总括来看,从数据安全的技术角度出发,目前已经建立起围绕大数据的隐私、数据安全以及平台运营三个层面的立体监管框架。他们构成中国大数据产业安全发展的压舱石。
三、企业如何做到“合规用数”?4类要求
对于企业而言,数据安全合规工作是题中之义,但实操层面也可能的确存在一些现实困难,例如如何能快速、准确的排查当前的合规差距?如何能最小成本、最小影响的完成合规工作?这里可以从以下4个方面来开展工作:
1.技术建设类
技术建设类可分为技术措施建设和风险监测能力建设,技术措施根据实际数据活动情况,采取相应的技术措施即可,比较常用的技术措施有动态脱敏技术、访问控制、电子认证技术、数据加密存储技术和敏感数据发现技术。
传统的建设方式是直接采购相应的数据安全产品,数据场景不复杂的情况下比较适用,反之,则会造成功能冗余、产品堆砌、运维工作加重等附加工作。因此,在开展数据安全技术建设时建议采用平台化的方式,灵活、简捷,扩充能力强,在新法律法规不断颁布的同时,可以通过配置调整予以应对。
数据安全技术的运用,应做到精准化管控,“一杆子”的方式不利于数据活动的发展和数据价值发挥,精准化管控可基于分类分级进行设计。
2.排查与整改类
排查与整改类主要包括合理性、业务完善、数据跨境三个方面。该类的工作主要是排查自身业务是否存在违法违规的情况,主要应对手段是业务的整改和应用功能的整改。
通过数据资产自动发现技术能够快速、准确的辅助排查出合规风险点,节省大量的人力投入。整改工作完成后,还可以通过数据资产发现技术对数据的使用和变化情况进行实时监控,及时发现违规情况,降低违规风险。
合理性主要是指数据的采集应遵循最小够用原则,并在国家或行业规定的范围内开展数据活动,在开展数据活动前应当告知数据主体,并得到其授权,并严格按照约定管理数据,保障数据主体的合法权益。
3.管理完善类
切实可行的管理制度是保障数据安全的基础和依据,《数安法》中所提到的管理要求可归纳为管理制度、数据交易管理、数据认责、重要数据目录和分类分级五项。
管理制度可以基于数据活动进行制定,考虑事前、事中、事后三个维度,明确角色和义务,落实到人。
数据认责可以通过数据的拥有量、访问量、新增量、更新量等维度作为依据进行划分,认责的同时还要建设相应的自动化管理工具,辅助数据责任人管理数据。
数据交易管理首先要明确当前业务下所有数据的来源是否合法,大体可分为自采集和外购两类。外购类则应留存来源的相关证明材料。如果是从事数据交易的机构,则需要对买卖双方的身份进行验证,并在协议中说明数据用途、使用时长、使用形式等内容。
重要数据目录和分类分级是实现数据安全精准防护的基础和目标,因此,需要在数据安全技术建设前开展。为达到数据安全防护的最佳效果,重要数据目录的建立和分类分级应遵循全面性、合理性、明确性原则。
4.机制建设类
常态化数据安全管控需要相关的机制作为保障,包括安全培训机制、安全补救机制、应急处置机制和风险评估机制四类。
数据安全培训的目的是加强企业内部人员的意识,提升技术人员的技能水平,从而实现整体的数据安全防护水平提升。培训工作要有计划、有目的、有考核的开展,方可保证培训效果。
安全补救和应急处置是应对安全漏洞和安全事件的预案,应定期开展演练工作,确保真正发生时能快速应对,必要时可以聘请相关机构和专家共同开展。
对于重要数据的处理,应定期开展风险评估工作,确保数据处理是在可信、可靠的环境下开展,对于潜在的风险能够尽早发现、尽早防范。
四、企业数据安全治理的5个步骤
1.数据安全治理评估
首先从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系 、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。
其次,集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作,形成《数据资产清单》,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。
最后,基于业务场景梳理数据操作过程中的主体(人、用户、账号)、客户(数据)、过程(操作的时域、地域、权限、结果等)属性;以角色控制为视角,明确被审计用户(账号)的类型、角色,包括应用程序所有者(业务账号)、应用程序终端用户(业务终端)、数据管理账号(数据库管理员)等;建立符合业务最小够用的安全策略模型。
2.数据安全组织架构建设
数据安全管理是一项需要多方联动型的复合型工作,在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。同时,需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。
3.数据安全管理制度建设
数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
一般情况下,数据安全管理规体系文件可分为四个层面:
(1)一级文件是由决策层确定管理要求、目标及基本原则;
(2)二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求,应具备科学性、合理性、完善性及普遍的适用性;
(3)三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范;
(4)四级文件属于辅助文件,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
4.数据安全技术保护体系建设
不同安全级别的数据,可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施,可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。
5.数据安全运营管控建设
数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容:
(1)数据安全运维:主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等;
(2)应急预案与演练:按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练;
(3)监测预警:围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等;
(4)应急处置:相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善;
(5)灾难恢复:在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。
五、注意事项
1.数据安全法里强调坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展,核心是发展,不发展才是最大的不安全;
2.在数据安全建设过程中,数据存储和传输安全是容易做的,但剩下的数据采集、使用、交换、销毁环节却是数据安全最核心、最难做的痛点;
3.数据安全必须要紧密结合业务,一旦跟业务脱离,数据安全将无法落到实处。除此以外,业务层面数据的重要程度如何去判定,如何去做分类分级也是一个难点;
4.企业要尽快去学习法律,调整自身的行为,建立数据安全治理的体系来适应潮流,谁适应的快、谁的经营风险就低、未来竞争力就更高。
六、小结
当前,数据安全已成为数字经济时代最紧迫和最基础的安全问题,加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。
近几年来,数据安全保护相关法律框架的落地或颁布,为数据安全保障提供了制度和法律支撑。
企业通过有效的数据安全能力的建设,不仅可以对自身的敏感数据进行有效的防护,同时促进企业数据的共享,扩大数据资源的交互能力,从而存进企业的数据的进一步的分析与挖掘,大大的增加其在市场洪流中的竞争优势。