引言

數(shù)據(jù)安全法（草案）

隨著全球數(shù)字經(jīng)濟的快速展，當(dāng)前對數(shù)據(jù)掌控和利用能力，已成為衡量國家之間競爭力的核心要素。今年4月份，中央首次明確了將數(shù)據(jù)作為五大生產(chǎn)要素之一，加快對數(shù)據(jù)要素市場的培養(yǎng)，并通過新基建等一系列措施進行政策的落地。面對數(shù)字經(jīng)濟迎來新的發(fā)展機遇同時，國內(nèi)外數(shù)據(jù)安全的形勢不容樂觀，根據(jù)公開報道，2019年數(shù)據(jù)泄露事件達到7098起，涉及151億條數(shù)據(jù)記錄，比2018年增幅284%。數(shù)據(jù)泄漏事件影響大、損失重。

?

數(shù)據(jù)安全是數(shù)字經(jīng)濟的零因子，零乘以億萬等于零。2020年6月28日，第十三屆全國人大常委會第二十次會議初次審議了《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱“數(shù)安法”）。7月3日在中國人大網(wǎng)公布，向社會征求意見，通過立法實現(xiàn)數(shù)據(jù)安全與共享的平衡發(fā)展。

?

外力驅(qū)動和內(nèi)部需求，促使數(shù)安法快速落地

外力驅(qū)動

2018年3月23日，美國總統(tǒng)特朗普正式簽署了《澄清域外合法使用數(shù)據(jù)法》，法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件，無論服務(wù)提供者的通信、記錄或其他信息是否存儲在美國境內(nèi)，要求服務(wù)商根據(jù)該法案進行調(diào)取并提供相關(guān)證據(jù)。

?

2018年5月25日，歐盟《一般數(shù)據(jù)保護條例》（GDPR）正式實施。GDPR法案要求不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外，只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)，均適用此法案，對數(shù)據(jù)實施長臂管理。

?

面對歐美國家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界，將會直接影響到第三方國家的主權(quán)，在數(shù)據(jù)跨境流動愈加頻繁的今天，必須盡快完善我國相關(guān)法律法規(guī)，保護我國國家利益、跨國公司以及公民個人利益。

?

內(nèi)部需求

當(dāng)前全球經(jīng)濟傳統(tǒng)經(jīng)濟增長緩慢，尤其上半年全球“新冠疫情”給經(jīng)濟帶來了沉重的打擊。迫切需要通過新的經(jīng)濟增長點拉動內(nèi)需，增加就業(yè)，而數(shù)字經(jīng)濟正是切入點和發(fā)動機。國家將發(fā)展數(shù)字經(jīng)濟提升到國戰(zhàn)略高度則水到渠成。

?

通過近年來數(shù)字經(jīng)濟增速也證明數(shù)字經(jīng)濟發(fā)展空間巨大，通過信息院的調(diào)研報告，發(fā)現(xiàn)數(shù)字經(jīng)濟增長顯著高于同期的GDP，是帶動國民經(jīng)濟發(fā)展的關(guān)鍵力量。2019年我國數(shù)字經(jīng)濟規(guī)模已經(jīng)達到35.8萬億元，占GDP比重達到36.2%。

圖：我國數(shù)字產(chǎn)業(yè)規(guī)模

?

在2020年初，各省根據(jù)中央要求，印發(fā)“關(guān)于支持數(shù)字經(jīng)濟發(fā)展若干政策實施細則”等相關(guān)通知，全面推進數(shù)字設(shè)施化、設(shè)施數(shù)字化的進程，全力打造數(shù)字經(jīng)濟。因此，亟需一部國家的基本法，為中國數(shù)字經(jīng)濟的安全發(fā)展保駕護航。

?

上述背景下數(shù)安法誕生，恰逢其時，維護了我國的數(shù)據(jù)主權(quán)，保障了國家的安全、促進了經(jīng)濟健康發(fā)展。

?

數(shù)安法要點解讀和提煉

?

數(shù)安法的發(fā)布標(biāo)志著我國將數(shù)據(jù)治理的政策要求，通過法律文本的形式進行了明確和強化。本法一共七章五十一條，其中 “總則”、“法律責(zé)任”及“附則”三章屬于常規(guī)章節(jié)，另外四個章節(jié)圍繞著“數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)安全與開放”來提出要求。

圖：數(shù)安法七個章節(jié)

?

我們對數(shù)安法進行深入解讀后，為大家提煉出30個要點。

總則的要點

1) 適用范圍：在中國境內(nèi)開展數(shù)據(jù)活動的組織和個人。

2) 保護要求：釆取必要措施，對數(shù)據(jù)進行有效保護和合法利用，并持續(xù)保持其安全能力。

3) 責(zé)任任務(wù)：工業(yè)、電信、教育等行業(yè)和地方各部門承擔(dān)本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全監(jiān)、管職責(zé)。網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)管。

?

數(shù)據(jù)安全與發(fā)展要點

4) 發(fā)展原則：維護數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)并重發(fā)展。

5) 戰(zhàn)略要求：省級以上人民政府應(yīng)制定數(shù)字經(jīng)濟發(fā)展規(guī)劃。

6) 標(biāo)準(zhǔn)體系：國家主管部門負責(zé)相關(guān)標(biāo)準(zhǔn)和體系的制定。

7) 評估認證：國家促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展，支持專業(yè)機構(gòu)依法開展服務(wù)。

8) 人才培養(yǎng)：要釆取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才。

?

數(shù)據(jù)安全制度要點

9) 分級分類：數(shù)據(jù)要求實行分級分類，形成數(shù)據(jù)保護目錄。

10) 風(fēng)險評估：要建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制。

11) 應(yīng)急處置：要建立數(shù)據(jù)安全應(yīng)急處置機制。

12) 安全審查：要建立數(shù)據(jù)安全審查制度。

13) 出口管制：對屬于管制物項的數(shù)據(jù)依法實施出口管制。

?

數(shù)據(jù)安全保護義務(wù)要點

14) 管理制度:建立健全全流程數(shù)據(jù)安全管理制度，組織開展教育培訓(xùn)。

15) 風(fēng)險監(jiān)測：對出現(xiàn)缺陷、漏洞等風(fēng)險，要釆取補救措施；發(fā)生數(shù)據(jù)安全事件要按規(guī)定上報。

16) 風(fēng)險評估：定期開展風(fēng)險評估并上報風(fēng)評報告。

17) 數(shù)據(jù)收集：任何組織、個人收集數(shù)據(jù)必須釆取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他

非法方式獲取數(shù)據(jù)。

18) 數(shù)據(jù)交易：數(shù)據(jù)服務(wù)商或交易機構(gòu)，要提供并說明數(shù)據(jù)來源證據(jù)，要審核相關(guān)人員身份并留存記錄。

19) 經(jīng)營備案：數(shù)據(jù)服務(wù)經(jīng)營者取得經(jīng)營業(yè)務(wù)許可或備案。

20) 配合調(diào)查：要求依法配合公安、安全等部門進行犯罪調(diào)查。境外執(zhí)法機構(gòu)要調(diào)取存儲在中國的數(shù)據(jù)，須先審核。

?

政務(wù)數(shù)據(jù)安全與開放要點

21) 管理制度:建立健全全流程數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責(zé)任。

22) 存儲加工：委托他人存儲、加工或提供政務(wù)數(shù)據(jù)，要先審批，并做好監(jiān)督。

23) 數(shù)據(jù)開放：構(gòu)建統(tǒng)一政務(wù)數(shù)據(jù)開放平臺，發(fā)布數(shù)據(jù)開放目錄，推動政務(wù)數(shù)據(jù)開放利用。

?

法律責(zé)任要點

24) 未釆取必要的安全措施: 責(zé)令改正和警告，給予單位1萬至10萬元罰款，給予負責(zé)人5000至5萬元罰款；拒不改正或造成大量數(shù)據(jù)泄漏等嚴重后果的，給予單位10萬至100萬元罰款，給予負責(zé)人1萬至10萬元罰款。

25) 交易來源不明的數(shù)據(jù)：沒收違法所得，對違法所得一至十倍罰款。沒有違法所得的給予10萬至100萬元罰款，或吊銷營業(yè)執(zhí)照；對主管和直接責(zé)任人1萬至10萬元罰款。

26) 無證照經(jīng)營：取締，對違法所得進行一至十倍的罰款。沒有違法所得，給予10萬至100萬元罰款，對主管和直接責(zé)任人處1萬至10萬元罰款。

27) 國家機關(guān)不履行安全保護義務(wù)：對負責(zé)人和直接責(zé)任人員依法處分。

28) 國家工作人員違法：因玩忽職守、濫用職權(quán)、徇私舞弊，未構(gòu)成犯罪的給予處分。

29) 給他人造成損害：依法承擔(dān)民事責(zé)任。

30) 涉及國家秘密和軍事秘密數(shù)據(jù)，依據(jù)《中華人民共和國保守國家秘密法》以及相關(guān)法律法規(guī)執(zhí)行。

?

數(shù)安法是繼《網(wǎng)絡(luò)安全法》提出數(shù)據(jù)的概念后，國家在數(shù)據(jù)安全立法層面的一個重大里程碑，注定了是中國數(shù)字經(jīng)濟高速發(fā)展的壓艙石和定海神針。

?

企業(yè)數(shù)據(jù)安全治理的幾點建議

?

數(shù)安法作為數(shù)據(jù)安全管理的基本大法，給我們指明了方向和提供法律保障。隨著產(chǎn)業(yè)的擴大和數(shù)據(jù)種類的日益豐富，當(dāng)前各行各業(yè)都在探索如何安全、高效的做好本行業(yè)數(shù)據(jù)安全的治理，由于數(shù)據(jù)類型的復(fù)雜性和應(yīng)用場景的多樣性，目前為止，還沒有行業(yè)通用的數(shù)據(jù)安全治理標(biāo)準(zhǔn)和模型。

?

我們通過各類數(shù)據(jù)泄密事件分析，發(fā)現(xiàn)大部分數(shù)據(jù)安全事件是由于內(nèi)部管理不到位，由內(nèi)部人員引發(fā)。

圖：數(shù)據(jù)泄漏事件分布圖

?

如何建立一個以預(yù)防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全管理體系？我們建議從組織架構(gòu)、規(guī)章制度、技術(shù)防護、監(jiān)督檢查、教育培訓(xùn)、運行維護六個方面入手，將數(shù)據(jù)安全管理和技術(shù)防護滲透到業(yè)務(wù)流程的各個環(huán)節(jié)，一旦發(fā)生泄漏情況，以責(zé)任人為點，以業(yè)務(wù)流程為線，做到在最短時間內(nèi)找到風(fēng)險點并加以補救。

?

由于數(shù)據(jù)安全治理是一個長期的、系統(tǒng)化工程，本著三分技術(shù)、七分管理的原則，建議企業(yè)從六個方面進行規(guī)劃和建設(shè)。

圖：數(shù)據(jù)安全管理架構(gòu)圖

?

建立健全管理組織機構(gòu)

企業(yè)數(shù)據(jù)安全管理的成敗，主要取決主要領(lǐng)導(dǎo)是否重視，是否建立了一套完善數(shù)據(jù)安全管理組織，這是數(shù)據(jù)安全的重要保障。要形成“管理層重視、一把手負責(zé)、全員參與”的管理模式。

圖：安全組織架構(gòu)搭建建議

?

同時，建議明確部門和相關(guān)人員職責(zé)，要責(zé)任到人。

圖：部門職責(zé)示例

?

制定落實安全制度體系

建立健全完善的企業(yè)安全規(guī)章制度，保障數(shù)據(jù)安全管理體系的有效運行，制度包括策略、標(biāo)準(zhǔn)、基線、流程和操作指南等，分級別進行管理。制度中的要求和標(biāo)準(zhǔn)或流程，可以通過培訓(xùn)，讓每位員工知悉，并自覺遵守。

各業(yè)務(wù)部門在業(yè)務(wù)推進時，根據(jù)風(fēng)險和業(yè)務(wù)需求，自行制定和發(fā)布四級文件，促進業(yè)務(wù)的安全開展。

圖：制度文件示例

?

加快技術(shù)智能化推進落實

技術(shù)不是萬能的，但是沒有技術(shù)卻是萬萬不能的。我們已經(jīng)進入了大數(shù)據(jù)時代，在云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全、智慧城市安全等新安全的需求下，傳統(tǒng)的網(wǎng)絡(luò)邊界被打破，現(xiàn)有的技術(shù)和管理已無法滿足其業(yè)務(wù)的安全需求，面臨安全的新態(tài)勢、新要求，在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上，通過智能化管理平臺，實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。

圖：數(shù)據(jù)安全生命周期管理架構(gòu)

?

抓好常態(tài)化的教育培訓(xùn)

俗話說：“成功的奧秘第一靠人，第二靠人，第三還是靠人”，人在數(shù)據(jù)安全管理中是關(guān)鍵因素，也是最不可控的因素。企業(yè)可以通過例行化、常態(tài)化、系統(tǒng)化的安全意識教育來提升全體員工的安全意識，使員工對安全要求牢記在心，并形成良好的人員操作習(xí)慣。

?

我們可以通過多種形式的教育培訓(xùn)：一是借助企業(yè)各類平臺，如郵件系統(tǒng)、墻面海報、電視等進行宣傳，二是組織專題信息安全意識培訓(xùn)，如新員工培訓(xùn)、專題討論會等。三是借助外力組織全公司的安全宣傳周活動等形式，全面提升員工安全意識。

圖：培訓(xùn)內(nèi)容示例

?

加強數(shù)據(jù)安全的監(jiān)督檢查

監(jiān)督檢查是驗證企業(yè)數(shù)據(jù)安全管理工作成果的重要抓手，通過安全檢查，一是可了解安全和業(yè)務(wù)是否匹配，是否阻礙業(yè)務(wù)開展，是否形同虛設(shè)。二是可及時發(fā)現(xiàn)業(yè)務(wù)的風(fēng)險和隱患，提出改進要求。三是以查代訓(xùn)，提升員工對數(shù)據(jù)安全的重視程度。

?

在技術(shù)方面，安全部門也可以主動發(fā)起模擬釣魚郵件攻擊，通過實戰(zhàn)來驗證員工安全意識狀態(tài)，檢查結(jié)果全員公布，警鐘長鳴。

圖：監(jiān)督檢查內(nèi)容示例

?

優(yōu)化安全運營的防控體系

安全運營不可一蹴而成，要和企業(yè)的各階段的安全建設(shè)相匹配，分階段實施：

? 第一階段是安全基礎(chǔ)設(shè)施建設(shè)，具備基本檢測和防御能力，管理以補齊安全能力為主。

? 第二階段通過搭建安全團隊，完善安全系統(tǒng)建設(shè)，具備掌握系統(tǒng)或工具的使用方法，實現(xiàn)被動防御的能力，形成初步安全運營能力。

? 第三階段對專職人員進行技能培訓(xùn)、攻防演練等高階訓(xùn)練，不斷提升安全團隊的能力。通過建設(shè)大數(shù)據(jù)態(tài)勢感知平臺，對攻擊行為進行自學(xué)習(xí)和自識別，實現(xiàn)主動防御，并具備安全威懾和反制能力。

?

在整體安全運營中，可參照PDCA模型循序漸進，通過對安全組織、制度、技術(shù)、培訓(xùn)、檢查等各子模塊的不斷研究、建設(shè)、服務(wù)和優(yōu)化，形成一個完整的PDCA循環(huán)體系，以全面提升企業(yè)數(shù)據(jù)安全管理能力。

圖：安全運營示例

?

作為新安全領(lǐng)域的安恒信息，以“助力安全中國、助推數(shù)字經(jīng)濟”為使命，為客戶提供專業(yè)安全產(chǎn)品和安全服務(wù)，13年以來深耕網(wǎng)絡(luò)和信息安全領(lǐng)域。在本輪的數(shù)字經(jīng)濟大潮中，我們將和行業(yè)同仁一道為中國數(shù)字經(jīng)濟發(fā)展賦能，共同筑起信息安全的新“長城”。