《数据安全法》今天正式实施,企业应该「恐慌」还是「拥抱」?
共 5503字,需浏览 12分钟
·
2021-09-05 08:25
作者 | 李宗仁
编辑 | 王亚峰
从6月10日公布,到今天9月1日正式实施,《数据安全法》作为我国第一部有关数据安全的基础性法律,给很多企业和个人的初步印象,其一是颁布到正式实施,时间紧迫,推动迅速;其二是此法是由中央国家安全领导机构颁布的,站位很高;最后是要面对的问题颇为棘手,包括企业数据管理混乱、平台数据保护能力弱、监测预警能力不足、未经授权大规模数据泄漏、人员数据安全意识薄弱、跨境泄漏风险……
企业本身每一样的数据安全沉疴都不容易治理,但一旦违反数据安全法将受到最高1000W的重罚:
(据数据安全法)第四十五条 ……违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
作为一个海内外相关立法实施年限都不算悠久的领域,不管是互联网大公司、中小公司、行业创新公司治理都不算熟门熟路的陌生面孔。数据安全以及其治理,短期内因为高度复杂性和不确定性带给企业许多不安和具体疑问,其阵痛不亚于野蛮生长的黄牛要敲碎之前的骨骼重塑一个新骨骼,那么其实施过程前后,会给企业带来哪些反应,企业们对此态度如何?
1
企业们最近都在干什么
数据安全法颁布后,除了从事老本行的网络安全厂商、新型的隐私计算公司、个别未雨绸缪的数据处理企业,为自身终于等来风口而兴奋不已,其他企业多数都不约而同地选择了“暂时性低调”,他们选择进入静默期的原因,是因为遇到了安全问题。
「花钱和外包解决不了」
“在很快做完管理制度和人员的调整后,一开始企业觉得这些东西是可以通过花钱和外包解决的,但是有的环节其实你花了钱雇了有经验的人来之后还是解决不了。”在深圳做网络安全赋能一线的深信服专家訾然博士向雷锋网介绍道。
比如说的很多的数据分类,分类分级这个事情极耗人工,但怎么做它需要有一个标准和规范,现在国家层面是没有标准和规范的。
“像政务数据应该怎么做分类分级,医疗数据怎么做分类分级?金融数据怎么做分类分级?金融数据倒是有一个标准,但它的一些执行情况也没有说有非常好的最佳实践出来。国家层面的重要数据保护目录现在也没有出来,所以说从国家层面,各个行业层面现在缺乏一个非常认可的分类分级的一些规范和要求,导致一些地方在做分类分级的时候,都是自己来“造”规则。然后真正“造”的规则,比如说深圳造的规则广州认不认,这个不好说。”
而在满足合规这点上,“一些简单的问题,原则上大家都知道怎么做,知道数据在它们的某些系统中,它们应该要怎么来满足合规,但在具体技术上其实很复杂,它们要在浩如烟海的一些数据里面,定位出个人信息,然后在比较快的时间内定位出个人信息后,再把个人信息从一个地方挪到另外一个地方,这在技术上就很难。”
至于大家最近都很关心的个人信息采集。“针对我们采集的一些个人信息,个人信息企业处理商可能把它放在各种系统里面,但如果用户要求删除这一部分个人信息,然后只能在两天之内删除,这对一些C端海量数据企业来说就很难满足。但这就是个人信息保护和个人信息安全规范里面所要求的,当然勒令期限不一定是两天,但会是其它期限内删除,企业说即使管理上我都知道,监管上我也知道,但是删除我真做不到!因为技术上不知道这些信息到底是什么,我把这些信息给找全了,可能都要半个月。”
而在北京的网络安全赋能厂商一线的绿盟科技专家,解决方案经理施岭,则观察到:
“基本厂商都会从全局出发关注数据整个生命周期中的每一个过程。但近期优先处理的,是对数据跨境和交易进行风险评估。目标是先通过自我评估探索依法依规的数据安全防护管理方式,评估之后再根据法律要求进行申报。目前《数据安全法》已经颁布并于9月1日正式施行,要求企业对数据有严格的审批制度,闭环的取证环节,数据做任何处置的时候都要进行相关的风险评估,所有数据使用过程都要有所记录。”
其次比较常见的,企业近期主要在聚焦于内部梳理及职位职责确认,确立专业数据安全岗位,明确责任划分,让责任人更明确自己对于数据安全应尽的责任。
而在行业领域,《数据安全法》颁布前,某些行业已经进行了积极的探索,并制定了关于数据安全的相关标准:
“运营商行业关注的点是打造一个比较完善的数据安全体系,包括管理、技术、运营三大层面。并且运营商行业具备自己的检查要求,从集团层面主导下发,各层级集中规范,在数据安全管理方面相对成熟。
金融行业,主要发力点在于数据梳理及服务项目。更专注于数据管理制度的建设,专注于数据的梳理,应用哪些工具去解决实际安全问题。
政府行业,目前全国各地都在建设数据中心、大数据平台,在政务环节上,以便民为目标,省市县各级积极建设大数据共享交换平台。在建设过程中同时考虑数据安全及网络安全,提出了很多必须的安全要求。
医疗行业,疫情带来了前所未有的安全市场驱动效应,但也同时面临着严峻的安全挑战。因为疫情原因大量个人信息进入医疗系统,但是,医疗行业目前数据安全管理相对分散,仍需从上到下的整体统筹方案,依照《数据安全法》的要求指导进行数据安全体系建设,依法依规管理个人信息安全。”
「遇到的最大难题 」
除掉可以通过花钱和雇人能解决的问题,深信服专家訾然博士认为是场景的复杂性和数据安全生命周期核心环节需要的新技术。
“最大的难点,在于场景和技术。”
訾然博士谈到,各种场景的落地难易度差别比较大,这些场景到底能做到什么样的程度?难说。
“数据安全厂商其实已经存在很久了,大家公认容易做的环节是存储和传输安全,尤其是存储安全。但数据安全剩下的采集、使用、交换、销毁环节,相关安全产品都做的比较鸡肋。所以说数据安全最核心、最难做的痛点,才是市场回报最大的地方,这些其实都还没解决。”
分析完现状后,訾然博士随后对当下热门的隐私计算技术发表了自己的看法。
“上面谈到的痛点和不足之处,或许以后能够一步步完善,但现在的隐私计算技术,仅仅解决了特定场景中特定环节的问题。未来隐私计算是不是能够爆发以及解决一些问题,或者其它的一些技术路径能不能能够解决很多这些问题,都是未知的。另外在各个行业都比较认可这种一个存在——静态数据的安全防护大家做的都差不太多,但动态的时候会出很多问题,也不知道怎么解决,这个是我觉得比较难的地方。”
绿盟科技数据安全专家施岭则认为,难题在业务和标准层面都有体现:
“目前普遍面临的难题,就是数据安全必须要紧密结合业务。一旦跟业务脱离,数据安全将无法落到实处。在以前的传统安全管理层面,基本上IT部门或者安全部门主要负责基础设施,业务部门管控业务,本身就是脱离开的。现在安全部门要看数据,但数据往往是业务部门在进行管理。”
施岭观察到,在企业内部必须要安全部门和业务部门通力合作才能落实数据安全管理,融合过程是非常大的难点。目前企业内部比较可行的数据安全管理办法大部分是由高层牵头来统筹协调的。
“此外另一个难点在于,业务层面数据的重要程度如何去判定?虽然法律中要求对重要数据进行保护,那到底什么数据属于重要数据?并没有给出特别明确的说法。数据应该如何去做分类分级也是一个难点。在这点上目前运营商和金融走在行业前列,其他行业也在积极探索数据分类分级的行业标准,依靠经验并根据企业实际业务场景逐步推进相关判定。”
根据雷锋网对其它企业遇到问题的了解挖掘,一些厂商刚刚成立专门的数据安全小组或者伦理安全中心,正在小心翼翼地摸索研究;一些厂商准备着手做数据分级的时候才发现清算自己的数据资产这一步还没完善;一些厂商干脆在找第三方厂商做第一步的评估;一些厂商看完律法解读和调整完人事架构后,貌似说的有章可循但具体实施时却无从下手。
2
当下应该恐慌还是拥抱?
来自律师的指点迷津
根据中伦律师事务所合伙人陈际红的“实操”回顾:在数据安全法6月10号颁布的时候,考虑到从颁布到实操不到三个月的准备期,而企业们又需要尽快理解此法规定的义务,他们一般在法律颁布当天就尽量出台帮助企业理解未来合规重点的解读。具体地可以概括为企业七大合规重点和六大应对策略:
数据安全法明确了七大合规业务
数据分类分级保护
重要数据和核心数据保护
数据跨境流动的合规业务
针对数据活动的国家安全审查
数据安全保护业务
数据处理服务的资质和合规经营
维护数据市场秩序,禁止非法获取数据及实施反竞争行为
六大应对策略
落实网络安全等级保护测评备案
建立数据分类分级制度
建立重要数据及核心数据保护制度
针对特定数据处理场景建立相关管理制度
建立并完善数据安全管理制度
建立健全平台竞争策略
其中要特别注意的是,第三条应对策略里的,建立重要数据及核心数据保护制度,具体的建议应该细化到企业应该尽快(设立数据安全负责人和管理机构),以及尽快(展开重要数据处理活动的风险评估)。
据雷锋网观察,数据安全法从6月10颁布到9月1号正式实施期间,很多数据安全领域专业的律师机构都有结合行业的需求做特别解读,一些律所甚至具体到金融行业、政务行业、电信行业更具体的领域在做结合行业需求的解读,基于这一次的特殊情况,建议企业人士花10分钟把数据安全法全文看一遍,再把律所结合行业的解读沉下心来读几遍,这样自家后头数据治理工作中的具体执行要求,就会知道起源在哪,策略框架是否完整,省去后头来回折腾。
相关指导机构的“定心丸”
对于数据安全治理中企业的各种担忧,信通院云计算与大数据研究所副所长魏凯对雷锋网表示:“整个数字经济还有数据驱动的发展模式,从蛮荒走向文明这个过程中可能要调整,前一段时间我们尝试把一些不好的做法,通过改革有所改变,在这个尝试过程中也发现了很多问题,最近的数据安全法、个人信息保护法还有一系列的法律法规都在纠正偏差,企业我觉得应该理解这个背景——理解数据数字经济从相对无序的蛮荒状态走向文明、走向高质量发展,是需要经历的过程,是为了更高的层面的发展做准备,整个我觉得都是良性的,这个是没办法改变的,也是已经不能开倒车的。”
魏凯认为,企业要做的事情就是尽快的去学习法律,调整自身的行为,建立数据安全治理的体系来适应潮流,谁适应的快、谁的经营风险就低、未来竞争力就更高。现在没有什么讨价还价的余地。
“但是具体实施的过程,大家也不要‘慌’,数据安全法的贯彻落实,不仅仅是监管部门的事情,也不仅仅是立法者的事;责任也不是政府一方面的单一责任,是整个社会我们需要去形成一个‘氛围’。包括社会的监督、媒体的宣传教育、公众意识的培养,以及行政部门的执法,司法部门的这些,我觉得是一个多元共治的机制建立,才能让法律真正的做到律师们口中所说的良法有善治。”
数据安全法里强调坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。“促进数据的合理利用其实初衷是非常正面的,开放数据开放政府数据也是非常正面的。所以数据安全法其实不光是安全,它实际上是要体充分体现以发展促进安全,不发展才是最大的不安全。”
“作为企业来说,它应该密切关注的,一个是学习国家的总的基础法和其它数据安全的几个法律,另外就是密切关注各个部门,是因为他安排要求各个部门出,就管他具体行业或者是地方的数据安全,个人信息保护这些方面的职责,密切关注他们出台的一些细则。像刚刚律师说的(雷锋网注:此处指《汽车数据安全管理若干规定(试行)》,它是由网信办、国家发改委、工信部、公安部、交通运输部五部门联合发布的),未来可能还有金融领域的,有医疗领域的,有比如教育领域的可能都会有,因为在在每个行业领域,行业监管部门都有各自的监管职权和责任。” 魏凯总结道。
3
雷锋网总结
《数据安全法》是基础性法律。基础性立法的功能,其重点不是直接解决问题,更多是为解决问题,提供具体的指导思路。问题的解决要依靠网信办统筹协调之外,具体的有关部门、行业组织、科研机构、企业、个人等共同参与,循序渐进地贯彻落实。
这个过程中,它的很多实施步调其实是有迹可循的:
其一,数据安全的全生命周期(收集、存储、使用、加工、传输、提供、公开等)治理,是一个相对冗长的事情,一个企业完全做好可能需要4-5年不等,但是当下先从企业自身出发,解决迫切度最高之事,如本文受访专家所提及的一些企业先对数据的跨境和交易做风险评估。
其二,数据安全在政务、金融、电信等数据敏感度高的领域,法律或者规章相对成熟,相关企业有一定的应对经验。而其它缺少安全和合规经验的行业,若一头雾水,无从下手,无需过于慌张,跟着本行业有关部门和机构的大步调走,保证不掉队便是最稳健的处理方式。
其三,数据安全治理这次多方参与者提到,它不是一个简单的合规问题,也不仅仅是产品、技术问题,更会涉及到组织管理和管理制度等维度,企业内部在升级组织架构外,可持续组织相关的培训,来降低各个部门间执行、沟通、运转成本,通过主动学习巧妙缓解“恐惧”或者焦虑。
其四,牢记安全法的本质还是兼顾数据安全和产业发展,深刻理解这个法律实施的兼顾背景,跟着法律走,拥抱合规,遵法守法就是最好的治理和发展之道。
小米 OV 集体自研 ISP 芯片的背后,真相并不简单
AI 商业模式的脱靶、崩塌、救赎
留给教育SaaS思考的时间不多了