胡律师:13306647218

如何加强数据安全意识{解决数据安全保护问题}

时间:2021-07-25 15:49:48

技术和管理“双管齐下”,解决数据安全保护问题

图片来源: pixabay

6月10日,第十三届全国人大常委会第二十九次会议表决自《中华人民共和国数据安全法》 (以下简称《数据安全法》 )、2021年9月1日起施行。

为此,最近,新京智库举办了“如何在大数据时代确保数据安全”研讨会,邀请专家和企业代表参加,讨论了我国数据安全的现状和面临的课题,以及《数据安全法》发表了什么?

专家和企业代表:

李新社 工业和信息化部网络安全产业发展中心副主任

马 洁 清华大学数据治理研究中心科研总监、博士

刘哲理 南开大学计算机学院副院长、教授、博导

许 可 对外经济贸易大学数字经济与法律创新研究中心执行主任

朱克力 国研新经济研究院创始院长、CiNE首席研究员

孙 轩 南开大学周恩来政府管理学院副教授,数字城市治理实验室主任

郭 亮 蚂蚁集团数据安全总监、蚂蚁安全天堑实验室负责人

《数据安全法》 是数据安全基本法

新京智库:我们已经进入大数据时代,当前在数据安全方面的现状是怎样的?有哪些突出问题?

李新社: 《数据安全法》出来之前,一个是数据管理呈现多头管理的状态,没有统一的标准、机构、法规。 二是建立的数据系统非常分散。 三是没有统一的数据标准和数据系统。 第四,数据质量不同。 五、数据管理不充分。

虽然现在人们越来越重视数据安全性,但重视的程度因企业和组织而异。 使用时,这个差距可能更大。 特别是涉及跨境数据流时,哪些数据在什么样的安全保护措施下可以流动,如何在数据流中避免发生安全问题,这些都是目前存在的问题。

目前已发布《数据安全法》,规定了责任、要求和保护的范围。 从某种意义上说,《数据安全法》可被视为数据安全大法或数据安全基本法。 《数据安全法》的上市对相关产业有很大的促进作用。

马洁(目前全球数据安全形势不容乐观,国外经常发生涉及个人、机构、民生事务的恶性数据安全事件。 例如,美国东海岸的管道运营商受到威胁、水务公司被黑客攻击、个人数据大规模泄露。 国内也有类似的情况。 这些数据安全问题已经涉及到国家安全问题。 我国《数据安全法》的公布,将考虑这方面的因素。

关于个人数据安全问题,必须让目前拥有大量数据的大企业机构承担相应的责任,同时发展新的技术,把与个人相关的数据掌握在个人手中。 数据是人产生的,最好由个人来保护自己的数据。

许可:数据安全在这几年里,从对传统狭义数据本身的可用性、完整性,演化成了非常广泛的国家安全保障,甚至是与国家主权相关的安全问题。

2018年2月美国《云法案》(cloudact )提出了数据跨境传输、跨境传输的主权问题。 2018年3月,美国脸书发生8700万人数据泄露事件,这些数据后来被用于美国大选。 2018年5月25日,欧盟EUgdpr(《通用数据保护条例》 )提出了基于个人信息保护理由的数据跨境监管。

我国的草案《数据安全法》有这些国际背景因素。

可见数据的产业安全、政治安全甚至主权安全远远超出了传统狭义的数据安全。 在这种背景下,为了有效解决数据安全问题,必须从更广泛的数据安全角度,从数据安全向数据治理扩展。

朱克力:目前,一些地方政府对数据管理感到不安,不太愿意共享数据。 其原因主要有四个方面。 一是由数据链的特征决定的。 数据的收集、保存、清洗、分析和处理,再到最后应用的链条非常长,需要大量人员参与,管理成本高,技术水平也不够,容易发生安全问题。 二是数据保护和使用边界模糊。 三是数据来源多样,数据权利不同。 如果地方政府试图开放和共享数据,就会面临决策过程漫长的现实问题。 四是数据安全人才匮乏。 这是当前数据安全的瓶颈。

出台 《数据安全法》 是对野蛮生长市场的规范

新京智库: 《数据安全法》 出台,以及各地相关法规的出台实施,将对数字经济和相关行业、企业产生怎样的影响?

李新社: 《数据安全法》的上市,可以说规范了野蛮生长、管理不善的市场。 其结果是,企业和政府等相关机构在保存数据、提供数据、使用数据或从数据中重新生成数据进行决策时,对有基本标准和法律依据、不依法办事的企业和机构有执法依据。

朱克力(我国数字产业发展迅速,已经形成了较为完整的产业链,涉及数据的收集、保存、加工、使用、交付、流通等整个环节和全过程。 因此,《数据安全法》的推出有助于解决法律法规相对落后的问题。 《数据安全法》相当于为整个行业(包括使数据移动和整合更有序,使实体经济更有效地运行)制定了一个红线,并可以遵循数据活动的大纲。 这对大数据和产业整体的安全来说,将会带来非常明显的利益。

《数据安全法》限制了数据的滥用和非法收集,无论是数据的供给侧还是大众,都可以说提供了双向保护和可持续的尺度。 因此,实现数据价值的更大化,使数据成为数字经济真正意义上的重要生产要素,是最基础的法治保障。

许可: 《数据安全法》的发布对于整个数据安全领域来说将起到基础性的作用。 《数据安全法》是数据安全领域的基本法,是数据安全领域的基础性制度,因此做好数据安全保护工作依赖于监管机构的严格执行。

孙轩: 《数据安全法》在数字城市、数字运营、数字管理中起着约束作用,同时也起到了一定的促进作用。 未来,包括数字社会、数字政府的发展在内,随着智能城市的进一步发展,数据将自动流通。 此时,数据流通的标准、尺度是什么? 这些需要《数据安全法》来明确。

马洁(不仅仅是人产生的数据,还有传感器产生的数据,例如工业大数据使用的数据、物联网使用的数据、监测河流、湖泊、海洋的传感器收集的数据,这些数据的安全性也非常重要, 《数据安全法》明确规则后,有助于使这些数据充分发挥促进我国经济发展的作用。

许可: 《数据安全法》对企业的影响并不容易增加企业的合规成本和运营成本。 《数据安全法》重要的一点是,数据安全不仅需要政府,还需要企业、行业组织共同参与、共同完成。

《数据安全法》也给从事数据相关业务的企业带来了新的机会。 例如,数据安全技术的开发和应用将是巨大的商机。 也给不从事数据业务的企业带来了新的商机。 数据技术的提高对数据安全的实施至关重要,基础设施建设等方面也将创造新的商机。

朱克力: 《数据安全法》对从事数据处理服务类型的企业提出了非常硬性的门槛,规定提供在线数据处理的经营者必须取得相关的经营业务许可和备案。 数据交易中介服务机构在提供相关中介服务时也有明确规定。 从数据交易的体系和制度来说,这比以前更为严格。

从行业的角度来看,《数据安全法》的上市根据行业的不同,影响度也不同。 其中受影响最大的行业之一可能是金融业。 短期内,金融业会出现被处罚的情况。 从长期来看,这有助于保护公众的金融数据安全,有可能降低金融机构因数据安全而带来的潜在风险和损失。 当然,也不排除会引起金融业局部洗牌的可能性。

李新社:这将成为产业、企业开展创新的非常好的契机。 例如,政府开放数据共享后,谁使用数据,谁共享数据进行二次开发、三次开发等,可以创造更大的价值,《数据安全法》提供了法律层面的保护依据。

郭亮:对企业来说,短期内数据使用合规性的压力将会加大,企业需要投入更多的资金、人才等成本,包括技术能力建设。 从长远来看,《数据安全法》将引导中国数据安全体系在未来有较为清晰的演化路线,帮助企业合规,在合法使用大数据的同时,保护用户的个人利益。

数据安全保护更需要在技术方面的突破

新京智库:如何强化数据安全保护,避免出现相关企业滥用、泄露数据等问题?

李新社:首先要做好数据的分类管理,使每个数据都能采用不同的安全防护技术。 例如,对比较重要和敏感的数据,可以采取特别措施进行更好的保护。 其次,必须在数据的整个生命周期中确保数据的安全性。 从管理的角度看,必须梳理数据管理的风险点从技术的角度看,从数据的收集、使用、保存到运输的各个阶段都必须采取针对性的保护方式。

此外,要完全建立数据安全保护技术规范,必须同时进行过度保护和缺失保护。

最后,从保护推进数据安全的角度看,为了加强数据安全保护技术的创新,政府必须给数据安全企业以更大的鼓励和支持,共同推动数据安全产业的发展。

郭亮:当前企业的数据安全问题,主要表现在数据滥用、内部人员无意数据泄露、外部黑客攻击等方面,对国家安全保障、公共利益、消费者个人权益都有很大的影响。

另一方面,数据安全系统缺乏定量的评估机制,后续的优化、迭代缺乏一定的目标和方向。

对此,蚂蚁金服成立了专属的数据安全团队,将数据安全视为企业的核心战略,并在数据安全领域投入了大量的资源和人才。

这个数据安全小组为蚂蚁的黄金软件构建了更先进的数据安全系统。 另一方面,为了进行相关的数据安全培训,要加强相关监管政策和法律法规的解读和宣传指导,提高员工的数据安全意识。

另一方面,在实践过程中建立数据安全的测量体系,通过数据化让员工了解自己从事的数据相关工作是否符合要求。 另外,通过相关的战略和模型,参考相关的安全基线,可以帮助企业快速发现异常风险。

马洁:其实,我国在信息安全、网络安全方面制定了一系列法律法规。 因此,要加强数据安全,就必须与执法合作。 特别是对于违规较多的企业、没有保护数据安全意识的企业,更需要严惩。 只有这样,整个社会才能形成良好的数据保护气氛。

刘哲理:关于如何加强数据安全保护,除了《数据安全法》等相关法律法规的约束外,还需要在技术方面取得突破。 目前,数据安全问题还存在于技术层面,无法完全满足解决数据隐私的各种需求。 因此,为了有效解决数据安全相关问题,必须不断完善相关标准,推动技术的发展。

许可:可以从几个方面考虑解决数据安全问题的路径。 一是赋予企业对数据的权利。 第二,传统的数据安全问题是静态的,当前数据的最大价值是数据的共享和整合。 因此,在未来的数据安全保护机制设计中,必须通过共享数据来促进数据的安全,并在数据流中保护数据的安全。

朱克力:要加强数据安全,一是要加强数据安全人才的培养。 数据安全领域特别需要复合型人才,要求在安全、信息、技术方面进行涉猎和掌握。

二是目前正在制定数据安全相关法律,但必须进一步完善数据安全相关法律法规和相关配套政策。 例如,进一步明确数据分类可靠性的监管思路、政府的责任边界、数据安全保护的标准等。

第三,需要进一步加强数据安全管理系统。 例如,完善分级监管方式,探索不同等级的数据安全监管机构,明确它们的责任划分。

第四,从技术上看,需要寻求相关数据安全的技术突破。 包括区块链、隐私计算等相关技术,提高企业的数据安全能力。

孙轩:要加强数据安全保护,主要从技术和管理两个层面入手。 从管理层面看,目前出台了《数据安全法》,完善了数据安全保护体系的相关法律法规和规章制度,整体上进一步提高了我国的数据安全保护能力。

在技术层面,需要通过使用加密、认证等技术,从最底层的网络安全,到数据传输安全、平台安全,最终到APP安全,来确保数据的安全。

国外有哪些做法值得借鉴

新京智库:对数据安全的立法和保护,是当前一个全球性议题。欧盟等地区在数据安全方面有哪些经验教训值得我们借鉴?

李新社: 2018年,欧盟发布了gdpr(《通用数据保护条例》 )。 经过两三年的运营,欧盟已经在这方面积累了经验。

从其运营的角度来说,首先执法要严格,再大的公司也应该处罚。 加强监督管理,采取更有力的手段进行监督管理,严格执行,是我们应该借鉴和吸收的重要内容。

关于数据保护,还包括参考欧盟在执行过程中采用了什么样的方法,采用了什么样的手段,固定了什么样的数据和证据,来检测使用了什么样的技术。

其次,欧盟推进了地区立法。 这样小范围的数据安全立法和条例值得借鉴。

这些也需要注意数据安全方面的下一步。

马洁:美国以各州立法为中心,这种做法值得借鉴。 我们国家很多地方都有自己的立法权,所以这些地方可以先试一试,形成良好的数据安全环境,然后鼓励相应的产业繁荣,为我国在这方面的需求提供更好的供给。

许可:欧盟的一些做法值得我们学习。 GPR之所以能够出现,重要的理由之一是统一欧盟各地的、各国的个人信息保护基准。 数据本身不是本地化的,从一开始就是全国性的,无论是国际还是全球的,只要每个地方都有自己的数据保护规则,就会出现执法冲突的问题。 欧盟在数据安全方面的一个重要贡献是避免不同国家的执法冲突。 针对这个问题,我国有关地方在制定数据条例时,必须引起高度重视。

欧盟没有叫做数据安全条例的规定,我们看到的GDPR实际上是个人数据保护。 欧盟通过不同的法律解决了数据引起的一系列问题。 例如,与个人有关的东西通过GDPR解决,与个人无关的数据通过非个人数据条例解决。 欧盟通过了一些法律来处理数据安全问题。 这值得认真考虑。

郭亮:我们这几年也对海外,特别是欧美一些国家领先的公司进行了数据安全调查。 在欧美国家,这些公司非常重视数据安全,有专门的团队和相关技术储备。 这其实值得中国许多企业学习,阿里几年前就开始大规模扩大这方面的团队建设,也是其中的一个因素。

此外,还有进行技术创新以解决数据安全问题,从而平衡业务发展和安全合规性要求的技术创新。 在这方面应该也有很多经验。

现在,在一些新技术、一些新的大数据场景等方面,其实中国和美国的公司已经可以齐头并进了。 在数据安全、隐私计算等相关领域,也有机会在世界上处于领先地位。

孙轩:我以前访问英国学习过一段时间,我发现欧洲特别重视隐私数据的保护。 当时,我们要做研究,要做社会调查,不参与大数据收集,哪怕只是问卷调查,也要面对多方面的审查,包括伦理审查,手续特别严格,要求很多。

整个欧洲都特别重视数据,包括权利、义务和相关的敏感数据可能会带来一系列问题。 这在GDPR上也有明显体现。

但同时,许多欧洲公司、企业投诉颇多。 由于法律条文过于严格,各方面的制约特别多,需要尽量维护隐私主体的相应权益,尤其是有严格的程序。

也就是说,欧盟对整体数据的权利义务规定比较明确,这确实值得我们参考。

李新社:具体而言,在数据安全方面,我国必须:

第一,必须加强监管和执法力度。 《数据安全法》已经发布,相关机构应当承担数据安全保护、数据采集APP等方面的责任,加强监管和执法。 同时,无论是企业还是政府部门,都要提高数据管理的水平和能力。 因为我们面对的是新事物。

第二,企业必须加强自律。 企业合规的成本支出不是强加的,而是必要的。 因为野蛮生长的时代已经结束了。

第三,全社会必须提高对数据安全的认识。 目前,不同的人、企业、机构、组织对数据安全的认识差距很大。

第四,加强对新技术的研究,既有利于产业发展,又有利于数据保护。 当然,也可以鼓励相关的城市、地区,制定适合自己的安全保护条例和管理方法。

马洁:我国关于数据安全的法律法规相对完善,其次是真正的执法,以避免选择性执法。

孙轩:我国的《数据安全法》建立了一个框架。 这个框架可能不太细致,但很多地方可以进一步细分明确。 现在很多地方都制定了数据管理规范,我觉得这很好。 但是,需要统一的协调。

当然,关于数据,也不能控制得特别死。 否则,会影响创新,影响价值挖掘。 值得反省的是,在确保数据安全的过程中,如何给予充分的自由度来挖掘价值、分析、创新。 这不仅是技术问题,也是管理问题。

为了在安全可控的环境中实现高效的数据流,必须考虑这一点。

新京智库采访员郑伟彬柯锐肖隆平王春蕊校正贾宁