中国信息通信研究院
2021年6月《中華人民共和国数据安全法》(以下简称“《数据安全法》”)正式颁布,标志着我国数据安全进入有法可依、依法建设的新发展阶段。《数据安全法》明确提出在坚持总体国家安全观基础上,建立健全数据安全治理体系,提高数据安全保障能力。
由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性,数据安全风险在数字经济时代被不断放大,因此,对数据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等多元主体,形成协同共治机制?如何平衡数据开发利用和数据安全保护,实现发展与安全的齐头并进?这些都是当前数据安全治理面临的重要问题。
随着数据作为生产要素的重要性凸显,数据安全的地位不断提升,尤其随着《数据安全法》的正式颁布,数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。
为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,中国互联网协会发布团体标准T/ISC-0011-2021《数据安全治理能力评估方法》,为不断提升数据安全治理能力提供标准依据。以上述标准为基础,梳理数据安全治理概念内涵,应该从广义和狭义两个角度进行理解。
广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全和促进发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设与实施标准体系,研发并应用关键技术,培养专业人才等。
狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合。包括建立组织数据安全治理团队,制定数据安全相关制度规范,构建数据安全技术体系,建设数据安全人才梯队等。它以保障数据安全、促进开发利用为原则,围绕数据全生命周期构建相应安全体系,需要组织内部多利益相关方统一共识,协同工作,平衡数据安全与发展。
无论是广义还是狭义的数据安全治理,都可以从三个方面进行阐释。首先,以数据为中心。数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,由于不同环节的特性不同,面临的数据安全威胁与风险也大相径庭。因此,必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
其次,多元化主体共同参与。无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与《数据安全法》中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等各相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及多元化主体共同参与的工作。
最后,兼顾发展与安全。随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证的看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全,同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。
参考框架是组织数据安全治理所需的体系化结构,依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》,其包括数据安全战略、数据全生命周期安全、基础安全三部分。
数据安全战略。在组织启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标和具体任务,匹配对应的资源,使得治理工作能够有条不紊地展开。数据安全战略可以从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。数据安全规划是指结合组织业务发展需要,对当前面临的数据安全风险现状进行梳理,并制定组织整体的发展规划。机构人员管理是指建立负责组织数据安全治理的团队及人员,并通过在人员入职、转岗、离职等环节设置安全控制措施,防范由人员本身带来的数据安全风险。
数据全生命周期安全。数据安全治理应围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,设置相应的管控点和管理流程,以便于在不同的业务场景中进行组合复用。数据全生命周期安全包括数据采集安全、数据传输安全等九项内容。数据采集安全是指为确保在组织系统中生成新数据,或者从外部收集数据过程的合法、合规及安全性,而采取的一系列措施。数据传输安全是指为防止传输过程中的数据泄漏,而采取的一系列数据加密保护策略和安全防护措施。存储安全是指为确保存储介质上的数据安全性,而采取的一系列措施。数据备份与恢复是指通过规范数据存储的冗余管理工作机制,保障数据的高可用性。使用安全是指为保障在组织内部对数据进行计算、分析、可视化等操作过程的安全性,而采取的一些列措施。数据处理环境安全是指为确保组织的数据处理系统、终端、平台等环境的安全性,而采取的一系列措施。数据内部共享安全是指为确保组织内部之间的数据交互过程安全,而采取的一系列措施。数据外部共享安全是指为确保不同组织之间的数据交互过程安全,而采取的一系列措施。数据销毁安全是指通过对数据及其存储介质实施相应的操作手段,使得数据彻底消除且无法通过任何手段恢复。
基础安全。基础安全能力作为数据全生命周期安全能力建设的基本支撑,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。基础安全能力包括数据分类分级在内的七项内容。数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。合规管理是指根据组织内部的業务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄漏等安全风险。鉴别与访问,顾名思义,即用户身份鉴别与访问控制管理,是组织实现数据安全保障的关键环节。
数据应用场景和参与主体的日益多样化,使得数据安全的外延不断扩展。未来数据安全治理将走向何方?
国家层面,《数据安全法》作为数据安全领域的上位法,将数据安全上升到了国家安全层面。作为纲领性法律,《数据安全法》明确了数据、数据权力、数据安全的范畴,厘清了数据安全防护主体责任,规范了国家行政主管部门、企业、个人的职责与权力。后续各部门、各行业、各领域将推进《数据安全法》配套制度、措施、规范和标准的构建,推动《数据安全法》的全面落地。行业层面,通过持续跟进技术及行业应用研究,加速构建更加完善的数据安全治理标准体系;并依据相关标准,面向企业推出权威、专业的第三方咨询及评估评测服务,大力推广数据安全治理最佳实践,提升行业数据安全治理水平。同时,推动建立健全数据安全人才培养机制,储备人才资源。企业层面,积极探索数据溯源、隐私计算等技术的发展动态,夯实数据安全治理能力底座,推动数据安全治理落地实践。同时,积极参与标准编写,贡献优秀实践,并结合第三方咨询与评估评测工作,完善企业内部数据安全治理体系建设。
考虑到数据安全治理在以上三个层面的发展,未来一段时间内,数据安全治理将围绕以下两个核心展开。一是促进数据安全治理实践的“行业化”和“场景化”。二是探索数据安全治理从“离散”到“体系”的演进路线。
编辑:张程 3567672799@qq.com