侵权投诉
订阅
纠错
加入自媒体

《数据安全法》出台,政企机构如何保障数据安全?

2021-06-23 10:01
美创科技
关注

我国正处于数字基础设施与传统产业加速融合发展的新阶段,数据体量呈现爆发增长态势,数据成为关键生产要素和战略资源。数字经济作为新的经济增长点,发展空间巨大,但与之相伴的一系列安全问题正影响着数字经济长远健康发展。

在这样的背景下,2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)经十三届全国人大常委会第二十九次会议表决通过,并将于2021年9月1日起正式施行。

《数据安全法》出台,标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化,为数据作为新的生产要素推动创新和经济发展提供了法律依据,将为下一阶段数字经济的安全发展保驾护航。

01《数据安全法》中的重要信息

《数据安全法》经历三次审议与修改。「为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。」《数据安全法》总则第一条开宗明义,表明立法目的。

重点一:我国首部以数据为保护对象的法律

作为数据领域的基础性法律,《数据安全法》中首次对“数据”本身进行了界定:数据,指任何以电子或者其他方式对信息的记录。这在一定程度上区分了数据与信息,即信息是数据表达的内容,数据则为信息的载体和外在表现形式。

重点二:数据安全保护责任范围扩展

《数据安全法》不但对数据安全主管机构的监管职责进行了明确,而且提出建立国家数据安全协同治理体系,有关部门、行业组织、企业、个人应共同维护数据安全,促进数据经济发展。

重点三:违法处罚力度加强

较之草案,终版《数据安全法》加大了对违法行为的处罚力度。法律后果包括责令改正、警告、没收违法所得、取缔以及吊销业务许可证或营业执照等在内的处罚,且或将同时承担其他适用的刑事、行政及民事责任。

重点四:数据全生命周期安全保护成义务

《数据安全法》提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类、风险评估、身份鉴权,到访问控制、行为预测、追踪溯源,再到应急响应及事件处置,全面建设有效防护机制。

重点五:完善了数据安全法规制度

《数据安全法》分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定,确立了数据分类分级管理,数据安全审查,数据安全风险评估、监测预警和应急处置等基本制度。

02三方面推进数据安全建设

《数据安全法》的推出,为国内数据行业提供了新的行为准则。数据采集、存储、传输、交换、处理和销毁等环节都应当依法建立健全管理制度,采取相应技术措施,按步骤、分阶段完成数据安全体系建设,保障数据安全。

对此,美创科技建议政企根据法律、法规要求,从以下三个方面推进数据安全能力建设:

落地落实分类分级保护

数据分类分级保护制度是整个数据安全制度的基础。《数据安全法》提出了重要数据、核心数据等概念,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

对政企机构来说,数据分类分级工作主要面临以下难题:

数据在哪里,如何分布?

在很多大型组织与机构中往往存在着数据库数量不清,数据库中敏感数据分布及流向不明,敏感数据访问权限不详等情况。

有哪些数据,含义是什么?

弄清数据含义是进行数据分类分级的前提,比如正确区分哪些数据表示姓名,哪些数据表示身份证号,哪些数据表示地址。

如何制定数据的分类分级策略?

数据分级分类是长期、复杂的工程,需要结合国家政策、行业标准、机构业务情况和数据特征制定具体方案。

针对以上数据资产盘点和数据分类分级难题,美创为政企客户提供从咨询到策略规划到项目落地的完整解决方案(参考:美创数据分级分类方法论与实战总结),既能满足国家所提出的数据分类分级要求,保证分类分级的规范性,又能基于产品自动完成数据源发现,输出数据分类分级结果,有效提升准确性和效率,缩短项目周期、减少人力成本,最终扩大数据资产规模。

美创数据发现与分类分级-交付成果

利用数据目录更好的管理数据

数据目录是数据标准规范体系的具体落地和体现,也是实现数据信息资源共享交换、数据整合和大数据应用的桥梁和基础设施。

《数据安全法》中规定国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

美创【数据资产管理平台】能够在统一数据标准、完成数据质量检查和清洗后,采用统一的业务定义进行数据信息标识,向外开放数据资产目录提供资产搜索、展示、下载和共享功能,并支持全局视角的数据地图、数据血缘/影响分析,帮助组织分类创建和维护组织中所有的数据资产。

数据资产管理平台-数据资产目录

加强数据流动安全防护

当前国家正在推动数据的开放共享,加上“数据要素”概念推行,面向数据交易和数据合作的数据治理将成为新的趋势。

《数据安全法》对数据交易行业做了初步规范,规定在基于数据来源合法、数据安全保护到位的前提下,国家允许数据交易行为,培育数据交易市场。

随着各行业对数据共享与交易的需求量增大,机构内部或者跨组织、地区之间的数据流转将愈发频繁,存在巨大的数据泄露风险,并且泄露之后无法很好溯源。因此对于不同的数据流动方向应采取不同的数据保护措施。美创提供包括静态脱敏、动态脱敏、数据水印、数据加密等技术手段防护各类数据,同时可对于所有的流动事件应进行审计和日志记录。

同时,对于数据安全能力建设较为薄弱的政企机构,美创建议考虑零信任模式作为一种安全策略。在技术层面,我们帮助机构从人员身份的动态鉴别、数据资产精细化动态化授权、用户异常行为预警阻断、威胁风险的持续检测和响应等方面构建数据安全防护体系,在业务层面,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的纵深防护。

数据安全和数据利用是一体之两翼,驱动之两轮。当前,美创已形成了完备、成熟和产品化的数据安全和数据治理产品链。未来,美创将以《数据安全法》为指引,发挥自身优势,加强大数据领域的技术创新和产品落地,为推动国家数字经济发展提供安全、可靠的产品和服务。

声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号