2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议,通过了《中华人民共和国数据安全法》(后续简称《数据安全法》)。《数据安全法》共55条,分七章,依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则,将对在中华人民共和国境内开展数据活动的组织、个人进行行为约束和指导。
为更好的阐述《数据安全法》可能会对数据活动参与者产生的深刻影响,本文将从数据全生命周期流转各环节深度剖析《数据安全法》内容,并对《数据安全法》建立的国家数据安全治理体系以及企业数据安全治理提出了全知科技的一些看法。
由于深度解读的篇幅较长,全知科技将分为“上、中、下”三篇文章进行阐述:
数据安全深度解读 (上) :国家对数据安全治理的要求
数据安全深度解读 (中) :监管落地及企业数据安全发展之道
数据安全深度解读 (下) :全知科技一体化数据安全解决方案
请大家持续关注全知科技的栏目更新。
首先,《数据安全法》首次在法律上对数据、数据活动和数据安全给出了明确定义,明确了企业数据安全治理对象,确立了国家数据安全监管和执法范围,为我国数据安全长久发展提供了度量依据和标准。
其次,《数据安全法》强调数据经济的重要性,以及其与数据安全之间的动态平衡。《数据安全法》第七条中明确肯定了数据流动的重要特性,肯定数据有序自由流动的价值,通过对国家总体大数据战略的实施、数据基础设施的建设、数据在各行各业的创新应用发展、数据开发利用新技术的大力支持,以及数据经济发展规划的政策支持等方式,树立了数据经济在国民经济中的核心地位,促进数据作为重要生产要素在生产活动中的不可替代性,是数据安全需要进行保护的对象。
在大数据时代,任何企业或者开展业务经营都需要借助数据这个媒介来传递信息,满足业务需求,实现业务功能。
而数据作为生产要素,需要具备三个特质:
(1)数据参与生产过程,并创造价值。数据会参与到价值增值的过程中,且无法被取消(可以被替代,但相对替代方案有经济成本优势);而为了参与生产过程,该事物可能需要提前被采集和初步的加工(消耗一定的成本)使其能更好地参与生产和使用,必要时需要建立储备体系。
(2)数据具有权属属性。即数据具有一定的获取成本。同土地、劳动力、技术和资本这些生产要素一样,数据越稀缺,其获取成本越高。
(3)数据具备流转特性。数据本身不具有价值,只有通过数据流转,参与到社会生产过程中,才能产生价值。
作为企业来说,数据同样是维持企业生产运营的最重要生产要素之一。因此,《数据安全法》对企业需要满足提出了一些基本要求,只有在满足这些要求前提下,数据才能发挥最大作用。为更好地阐述《数据安全法》对企业的要求,本文将按照数据流转全生命周期进行解读。
在《数据安全法》中,数据安全参与方,从上到下可以分为:
1.国家安全领导机构(最高决策机构);
2.公安机关、国家安全机关、网信部门(数据安全监管部门);
3.数据活动参与者。
图 | 企事业单位、国家机关、各参与方的关系图
在《数据安全法》中,对不同数据活动参与者若未履行数据安全保护义务可能承担的法律责任进行了明确,不同场景下不同主体对应的法律责任,如下表统计:
图 | 数安法关于不同场景下不同主体对应的法律责任
3.1 厘清数据安全现状,加强数据安全体系建设
《数据安全法》的发布,对企业的数据安全建设提出了很多数据安全方面的基本要求,例如建立健全数据安全管理制度、数据分类分级等级、数据安全应急及溯源响应机制,因此,企业应提前按照数据安全法的基本要求对自身数据安全现状进行自查评估,包括数据安全资产,数据资产的脆弱性、威胁和风险,以及企业目前已经采取的数据安全措施,对本企业数据安全现状进行全面自查,在自查能力范围外的,还可借助第三方评估机构进行数据安全他评,全面掌握企业数据资产及相关风险,满足法律法规要求,减少因监管处罚而给业务发展带来的负面影响。
3.2 加强数据开发业务和数据安全并重发展
《数据安全法》中反复提及数据生产要素的合理开发、有效利用,促进以数据为关键要素的数字经济发展,建立健全数据安全协同治理体系,大力培养数据开发和数据安全专业人才,大力支持数据开发和利用,维护数据安全和促进数据开发利用并重,两者之间相辅相成,互为助益,数据经济的发展是数据安全的重要目标之一,并且将通过法律形式落实到各省市的经济规划中,企业应抓住数据时代的发展机遇,在积极开发数据经济潜能的基础上,有效利用数据安全技术和人才,业务为安全助力,安全为业务赋能,实现业务和安全的生态平衡。
3.3 动态平衡数据安全价值和成本控制
数据作为生产要素的数据安全,既关注当前的风险,也关注因为安全措施导致的对数据生产过程的影响,因此需要权衡风险和价值之间的关系。不会为了完全消灭风险而导致业务的较大影响,而采用分层风险化解手段,用一些对生产价值影响较轻的手段把风险降低到可接受的程度,再用一些风险对冲的手段去对抗残余风险,最后整体达到风险可控,业务顺畅的理想状态。
《数据安全法》体现了国家对数据安全的高度重视,构建强有力的数据安全监管体系,势在必行。《数据安全法》对于完善监管机制、明确监管原则和目标、明确监管主体及其职责等,具有重要指导意义,并且创新性地提出了很多国家层面的新管理制度、安全机制和政策指向。
《数据安全法》对企业的数据安全建设提出了很多数据安全方面的基本要求。企业数据安全的发展,首先要厘清数据安全现状,加强数据安全体系建设,提前按照数据安全法的基本要求进行自查评估或借助第三方评估机构进行他评;其次要加强数据开发业务和数据安全并重发展;动态平衡数据安全价值和成本控制。
下篇文章,全知科技将为您解读全知科技一体化数据安全解决方案。
- END -
如有侵权,请联系删除