《數據安全法》指導下的數據安全發展
作為我國數據安全領域的基礎性法律、 國家安全領域的重要法律,《數據安全法》的出臺體現了當前數字經濟發展對安全的關鍵需求,為我國數據安全的發展之路提供了指引。在數字經濟發展的場景下,跨系統、跨域和跨境的數據流通共享以及多方的數據聯合計算將成為常態,數據安全將不再是一個組織內部的事情,需要構建一個科學的數據安全治理體系,才能有效地保障數據安全,管控數據安全風險。而且,數字經濟創新發展的關鍵在于數據的安全開發利用,需要數據安全和數據開發利用兩者的協調發展。
一、建立健全數據安全治理體系
治理不同于自上而下的管理,而是基于關鍵抓手的、能夠充分激發各相關方內驅力的多方協同共治的方式方法。數據已經成為新的生產要素,如果一種數據安全治理體系能夠建立起數據與數據處理方之間的正向驅動關系,那么這種體系無疑是非常具有生命力的。
(一)構建基于 DSMM 的數據安全治理體系
《數據安全法》第四條提出:“維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。”治理體系的構建對系統性提高國家的數據安全保障能力非常關鍵,需要找到關鍵抓手和基本邏輯,來調動多方力量和資源,發揮各自優勢形成良性生態,建立適應當今數字時代的協同治理模式,共同提升全社會的數據安全水平。
國家標準《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)是我國有關數據安全治理的首個技術標準,提出了數據安全能力成熟模型(DSMM)。建立基于 DSMM 的數據安全治理體系,以數據為中心,能夠系統性提高我國數據安全整體水平。DSMM 在數據分類分級的基礎上,從組織建設、制度流程、技術工具和人員能力四個方面,對組織的數據安全能力成熟度進行測評和等級劃分,從而在數據和組織間建立正向驅動的關系。根據組織的數據安全能力成熟度等級,可以決定其是否具有處理特定類型、特定等級數據的資質,以實現對數據安全風險的科學管控。這意味著,一個具有更高數據安全能力成熟度等級的組織,能獲得處理更多數據資源的機會。該體系將改變過去“合規 + 處罰”的做法,使組織的數據安全水平成為發展的競爭力,從而激發組織主動提升其數據安全能力。
(二)數據側以數據分類分級為基礎和前提
《數據安全法》第二十一條明確提出“國家建立數據分類分級保護制度”,并在此基礎上專門規定了對重要數據的保護,要求各地區、各部門、各行業制定各自范圍內的“重要數據目錄”,并進一步指出“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度”。
數據分類分級保護制度作為數據安全治理的基礎與前提,將為國家開展“自上而下”的監管提供依據,推動建立重要數據與國家核心數據的統一認定標準;同時,也直接決定了組織對不同類別與等級的數據在安全上應承擔的保護義務,并對組織自身的數據安全能力提出了相應的要求。
目前,各地區、各部門正根據《數據安全法》制定地方或行業領域的數據分類分級規范,積極推進數據分類分級保護工作。例如,貴州省率先制定發布了《政府數據 數據分類分級指南》,在全國先試先行;工業和信息化部辦公廳發布了《工業數據分類分級指南(試行)》,提出對工業數據的分類和分級標準;金融行業發布了行業標準《金融數據 安全數據安全分級指南》(JR/T 0197—2020)和《證券期貨業數據分類分級指引》(JR/T 0158-2018)。數據分類分級已從探索走向實踐,各數據安全廠商紛紛發布創新的數據分類分級產品,敏感數據發現和分類分級管理的自動化工具正在被開發使用,極大地提升了數據安全治理的效率。
(三)處理側以對組織的數據安全能力成熟度測評為抓手
在對數據進行分類分級之后,對組織的數據安全能力成熟度進行測評成為構建治理體系的關鍵抓手。《數據安全法》第十八條指出“國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動”。這是對數據安全相關測評特別是 DSMM 測評認證最好的支持,在法律層面充分肯定了測評認證專業機構在帶動數據安全合規建設和服務發展方面的積極作用。目前,我國已發展形成了多個從事 DSMM 測評認證的專業機構。其中,首個獲得國家認監委授權的DSMM認證機構貴州大數據安全工程研究中心,正在全國范圍內推廣實施 DSMM 測評認證,并且,已有超過百家組織通過了測評。
通過 DSMM 測評認證的組織能夠獲得全方位的數據安全建設指導性綱要,使其對自身的數據安全建設充滿信心。對企業來說,能夠對自身數據安全整體狀況做到心中有數,并可將“數據安全能力水平”作為宣傳自身品牌的差異化標簽。對政府機關、事業單位來說,除了能及時發現數據安全短板、查漏補缺之外,還可掌握地方相關組織、部門的數據安全整體水平。與此同時,各地政府也逐步認識到DSMM 測評認證的重要性,紛紛出臺激勵政策鼓勵企業或組織參加 DSMM 測評認證,對獲得證書的企業或組織進行補貼,并在一些重要數據安全項目招標中加入 DSMM 測評認證的控標要求。
二、保障數據安全與數據開發利用的協調發展
數字經濟已成為支撐我國經濟發展的重要引擎,數據開發利用則是數字經濟創新發展的關鍵,需將保障數據安全貫穿于數據開發利用的全過程,防范和化解影響我國數字經濟發展過程中的安全風險,同步提升數據安全和數據開發利用水平。
(一)在數據安全與發展之間取得平衡
《數據安全法》第二章的主題是數據安全與發展,其第十三條提出:“國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展”。該條款的目的是取得數據安全與發展之間的平衡,保障數據安全與促進數據開發利用和產業發展是相輔相成的,既不能以發展之名忽略安全,也不能以安全之名阻礙發展。數字經濟需要充分挖掘數據的價值,將數據作為生產要素進行開發利用,同時,在數據開發利用的過程中,又需要充分保障數據的安全。
數據的開發利用為數據安全提供了技術支持和概念革新,數據安全為數據的開發利用提供了基礎的保障和穩固的底盤。數字經濟時代與過去不同,在很多場景下會先有數據再有應用,基于數據的數字創新應用開發將成為常態。數據安全影響國家發展與安全,關系公眾利益和公民個人權益,應建立數據全生命周期安全的概念,關注數據的流通共享,確保以安全為前提進行數據的開發利用。
(二)推進政務數據安全開發利用
《數據安全法》第五章聚焦的政務數據安全與開放,是數據安全開發利用的一個特定應用場景。它在保障政務數據安全方面,對國家機關收集、使用數據的行為和能力提出了要求,嚴格監督可能涉及的第三方;在推動政務數據開發利用方面,明確了以及時、準確公開為原則,要求“國家制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺”,這為政府各部門安全開放數據提供了法律支持和行動指導,為我國數字政府和智慧城市建設鋪平了道路。
國家在“十四五”規劃進程中將大力推進電子政務建設,政務數據開放將進一步提升政府工作效能。政務數據在采集、存儲、加工過程中的安全非常關鍵,需要被合理、合法、安全地使用。在智慧城市應用場景下,跨域數據的流通共享與聯合計算需求日益增多,政務數據開放平臺和基于隱私計算技術的數據協同應用平臺將得到廣泛應用。利用可信執行環境、聯邦學習、安全多方計算、同態加密和差分隱私等技術搭建隱私計算平臺,可實現多方數據的協同安全計算,它與政務數據開放平臺一起,能夠打破數據孤島,聯通政務數據和各行業領域數據,從而促進政務數據的安全開發利用,充分挖掘政務數據的價值。
(三)為數據安全開發利用培養足夠的專業人才
數據安全開發利用離不開相關專業人才的支撐,《數據安全法》第二十條明確提出“國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓,采取多種方式培養數據開發利用技術和數據安全專業人才,促進人才交流。”這體現了國家對培養數據安全專業人才的重視,鼓勵企業與高等院校聯合,從多個渠道培養數據開發利用和安全人才。企業也能夠從教育培訓等領域尋找自身商業機會,帶動數字產業的發展與創新。通過專業的培訓,能夠提高組織人員的數據安全技能,為數據安全產業發展和數字經濟發展注入強大的人才動力。
經過多年的發展,我國在網絡安全領域已建立起較為完善的人才培養體系,網絡安全也成為一級學科。在數據安全領域,人才的培養還沒有上升到數字經濟所要求的高度,相關的培訓內容還不夠完善。對于數據安全,既需要擁有了解組織數據安全戰略規劃的數據安全管理專家,也需要懂具體業務場景,掌握相關數據安全技術的數據安全工程師。
三、對數據跨境流動進行嚴格安全審查
《數據安全法》第二十四條明確提出:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查”,包含對數據跨境流動的安全審查。該法第三十一條規定了關鍵信息基礎設施運營者重要數據的出境安全管理,適用《網絡安全法》的規定,其他主體重要數據的出境則適用于國家網信部門會同國務院制定的管理辦法。通過區分主體的監管思路,進一步明確補充了對重要數據出境的規定,也使數據分類分級保護制度能夠更好地與關鍵信息基礎設施保護要求相協調。此外,法案第三十六條針對外國司法或執法機構調取我國數據的情況進行了規定,即非經主管機關批準,境內組織、個人不得擅自提供境內的數據,此舉是依法應對域外“長臂管轄”所作出的防御性措施。
在當前全球尚未形成共識的數據安全治理體系框架條件下,數據的跨境流動帶來了敏感數據泄露、授權管理、數據權屬、流向追蹤和法律風險等系列問題,并難以對數據接收方的數據處理活動進行監控和審計。因此,對于涉及國家、公民的敏感數據,要嚴格遵守“非必要不出境”原則,盡量做到數據在本地存儲、分析和利用。確需出境的數據,需經過匿名化、去標識化和脫敏處理,并對跨境數據進行嚴格的安全審查,杜絕敏感信息外泄。對于關系國家安全、國民經濟命脈、重要民生、重大公共利益的國家核心數據,應嚴禁跨境流動并防范潛在數據跨境風險,防止中國擁有大量核心數據企業赴美國上市類似事件的發生。
