每部法规都有法律等级,从宪法到法律,到行政法规,再到地方性的条例和部门规章制度。那么,网络安全相关的法律法规分别对应什么法律等级?了解不同法律法规的等级层次,可以帮助我们更好的理解国家在立法过程中的目的。
一、网络和数据安全相关法律法规的研读
从2013年发布的《征信管理条例》,到2015年的《中华人民共和国国家安全法》,再到与网络安全相关的《网络安全法》《密码法》《网络安全审查办法》等,与数据业务相关的《数据安全法》《个人信息保护法》等,甚至对一些生物信息(如人脸识别)的约束,从时间顺序来看,我们国家在整体国家安全的高度已经逐步完成基本的法律制度布局,而网络安全和数据安全则是整体安全空间的一个细分维度,在理解这一系列法律法规制度时,可以从这个国家安全核心纲领的角度去思考,就可以更容易的理解和体会。
虽然现在《数安法》和《个保法》强调要促进数据交易流通,但是数据确权问题作为数据交易核心的要件目前仍未有定论,数据确权制度尚未建立。随着各个行业的不断发展,分工合作不断的细化,任何一个企业要想充分利用数据,使得数据产生更高的价值,就不能仅使用自己单一的数据,但想要融合使用更多数据,又会涉及到个人数据安全的问题,特别是《个保法》出台之后,对于个人信息数据的安全已经上升到了法律层面。如果不能解决数据确权问题,将会限制数据的交易。
2021年10月24日,复旦大学特聘教授、重庆市原市长黄奇帆在由中国金融四十人论坛主办的第三届外滩金融峰会上发表演讲,对数据确权如何做给出了建议,覆盖了所有权、使用权、所有权、交易权以及管辖权。根据该建议,包括处理能力、数据处理方案等等一系列数据建设,都将可以进行交易。也说明了目前国家正在加紧制定相关法规标准,推动并建立数据资源的确权、开放、流通以及交易的相关制度。
对于技术管理者自身的几点建议
随着国家在网络和数据方面的法律法规不断的健全,而且国家在法律法规中也明确要求公司需要保障网络安全和建立数据治理体系,作为技术管理者来讲,需要不断的学习,持续提升自己,推动公司在网络和数据方面进一步满足国家的各方面要求。以下是对于技术管理者的几点建议:
1.技术管理者个人需要提升 “法商”
对于技术管理者而言,很多时候关注的是技术体系、架构以及对于业务的支撑等方面,但是既然法律层面对于公司有了诸多要求,那么作为技术管理者必须要在这方面有更多的学习和思考,学法懂法用法,这也是未来大势所趋。
在不远的将来,具备 “法商” 是对技术管理者的基本要求。
2. 将网络安全和数据安全作为生命线
企业负责人是安全的第一负责人,而技术管理者则是安全的直接负责人,一旦出了事,企业负责人和技术管理者首当其冲,但是企业负责人往往还要考虑到经营的其他方面因素,可能会对网络安全和数据安全重视程度不足,因此,技术管理者有义务要让企业负责人充分认识到网络安全和数据安全的重要性。
在持续考虑网络安全和安全体系建设的基础上,持续综合思考产品的设计,平衡产品的多方面因素和利弊权衡,尽可能将网络安全和数据安全纳入到产品的内生要求中去。而且不同部门有不同业务指标,当业务指标有冲突时,应该以公司利益最大化和风险可控化为原则。
另外,还需要全方位的培训并坚决要求执行到位。这点看起来容易但执行起来却很难。哪怕是看似简单的一个小点,执行起来也会出现诸多问题,而一旦出现安全问题,首先要承担责任的就是技术管理者以及企业负责人。
三、对于网络和数据安全体系建设的重点建议
理清网络情况、系统资产、数据资产等
理清网络情况、系统资产、数据资产,是做好安全体系建设的基础,并且在建设和运营过程中也需要持续进行。这些梳理工作说起来简单但实施起来十分困难,可以认为是一家公司IT综合治理能力的侧面体现。而且初步梳理完成之后,还需要制定相关的整改和梳理措施,推动资产的治理更加有序,在处置的过程往往同时需要具备耐心和细心,并且避免犯错引起事故。
尽可能穷举所有的应对并且制定执行计划
事实上,我们是无法穷举所有的应对的,但是要尽快能把所想到的问题和应对都思考出来,根据轻重缓急来制定具体的执行计划。对于危害性高、漏洞严重的尽快补洞。简单先做,复杂后做,做的过程中可以分步做或者以迭代的方式做,边做边收割。
系统性、全局性的思考数据安全体系建设
数据安全体系建设必要具备全局性和系统性思维。以行业内从事数据生产和运营的类似公司为例,从数据流向来看,可以初步分为“输入”、“加工处理” 和“输出”三个阶段。
在数据 “输入” 阶段,数据主要来自于两大块,第一个是自有的业务数据,第二个是第三方的数据,不论是来自哪方的数据,都要保证合法合规。
数据 “加工处理” 阶段是公司运营和生产的重点。数据加工处理从下到上需要考虑四个层面的问题:合规保障、安全保障、效率保障和生产运营。每个层面其中,都包括很系统很复杂的体系设计。
最后一个阶段是数据 “输出”,有些公司即使没有商业输出,也可能会出现数据交换的需求,也可以认为是广义的 “输出”。数据除了遵守国家对应的法律法规之外,还需要遵守行业规范。如果是涉及金融数据的话,需要遵守人行的要求规范,目前个人征信机构是在金融领域个人数据输出的标准通道。
营销类平台一般有三类,第一个就是建一个自己的营销平台,并且对接媒体方和广告主,在目前的阶段也需要通过确保个人授权链条的完整;第二个是使用外部的大平台做投放运营,比如抖音,这时候需要特别注意的是,尽可能通过平台的人员标签进行运营投放。第三个就是隐私计算,目前这个是广告营销领域的一个方向。
如果是报告类和企业类的输出,则可以通过各地的数交所和企业征信,它们都是国家认证的通道。
必须围绕结合实际业务
任何公司最后还是要依赖主营业务来持续经营下去,因此在做安全的同时,也必须要考虑实际业务情况,确保业务平稳有序推进。
考虑供应链安全问题
Ø 采购网络产品和服务的考量
网络产品和服务是否满足《网络安全审查办法的要求》,这些网络产品和服务包括但不限于:云服务、CDN、安全服务、安全设备等。
Ø 采购外部软件服务的考量
◆考虑软件国产化(信创)◆考虑安全维护的费用◆考虑外包和内部服务之间的数据安全◆考虑外部公司的维护账号的管理◆合同中对于法律权责的要求
Ø 采购外部数据服务的考量
◆考虑合作方的数据是否合规合法◆考虑合作方是否能够提供《数安法》和《个保法》的相关要求。