2018年5月,欧盟出台了GDPR,美国、新加坡、日本、印度等国家也快速跟进,在全球范围内,数据安全立法工作一下子进入了快车道。
2018年9月,我国正式启动《数据安全法》立法工作。
2020年6月,《数据安全法(草案)》完成审议。
2020年7月,《数据安全法(草案)》发布。
2021年6月,《数据安全法》正式发布。
2021年9月1日,《数据安全法》开始施行。
三年时间,我们共同见证了《数据安全法》的落地。9月1日,数据安全法正式实施,标志着数据安全和数据利用正式纳入国家治理体系。全新的法律法规会对企业安全防护工作产生重大影响,企业应该如何深化自身数据安全方面的进阶建设,匹配法律法规的新要求?进而又该如何将数据安全体系打造成企业的基因,成为其参与市场竞争的优势?
本期产业安全观智库访谈,我们以2021年北京工业互联网数据安全发展论坛为背景,邀请到国家工业信息安全发展研究中心保障技术所副所长王墨、北京航空航天大学副研究员李博、腾讯安全副总裁黎巍、天融信科技集团股份有限公司副总裁唐宁、中国铁道科学研究院集团有限公司评测中心等保测评部主任周泽岩、腾讯安全数据安全产线负责人崔卓,就《数据安全法》落地与应用、数据安全技术与产业发展等进行深度讨论,为大家详解《数据安全法》的立法背景及长远影响。
Q:《数据安全法》出台的背景及核心目的是什么?
李博:我认为背景可以从三个方面来讲:
第一、数据已经成为新的生产要素,数据资源也是一种战略资源,它在国民经济中发挥的作用也越来越大。相应的安全风险和挑战肯定也会越来越多,这是一个大的背景。
第二、从法律角度来讲,我们更多关注数据作为一种战略资源,在国际竞争中也处在各国争夺的焦点。
第三、《数据安全法》的出台也是出于我国自身的实际需求,从中国互联网发展来看,尤其是数据在这里起到了至关重要的作用,但相应也产生了一些副作用,比如一些隐私泄露、大数据杀熟等,也迫切需要通过立法来做相应的保证。
对于《数据安全法》出台的目的,从国家层面,因为有《国家安全法》这样一个上位法体系,《数据安全法》其实是针对数据安全领域的一个补充法律。从企业层面,行业内都制定了各自的数据安全规范,但缺了一层国家基本法律,相当于补充了一个口子。
Q:数据安全专委会如何开展《数据安全法》相关工作?
数据安全专委会由北京工业互联网技术创新和产业发展联盟发起,旨在充分发挥各单位的行业优势、技术优势、资源优势和人才优势,搭建产学研用一体化的数据安全交流合作平台,加快促进数据安全技术和产业高质量发展。
王墨:今天在会上我们发起设立数据安全专委会,希望用整体化的优势资源聚拢产学研,一体化推动数据安全技术和产业发展。后续我们将开展四个方面的工作:
政策标准方面的研究,我们会跟踪国内外一些比较先进的政策、制度、法律法规的研究,参与一些我们国家顶层的政策文件、指导性文件的编制、及时跟踪整个行业的态势进行相关分析,形成数据安全领域的刊物编辑和出版;
技术方面的研究,我们会围绕数据安全,对提供监测、防护、共享、交易的应用,以及提供数据安全服务的工作,联合企业力量,一起开展技术研究的工作。也会聚焦工业安全、工业互联网安全、车联网安全等这些领域的特点,开展标准的研制;
开展评估评测工作,比如聚焦DSMM、DCMM、数据安全防护能力评估、数据跨境的防护能力评估,做好整个评估工作的对接。同时,我们也会培育专业的评估队伍,在整个评估过程中贯穿评估规范、测试验证;
整个数据安全产业的宣传与推广,包括数据安全技术与产品的体系建设,还有产业图谱、产业研究的工作,会遴选一些优秀的解决方案,开展试点示范。后续的过程中还会开展产品的推介,学术沙龙,高端论坛。
我们也希望借这个机会联合各方力量,共同把整个工作做好。后续还会筹备政策、工业互联网的工作组,希望大家都能积极投入进来,为数据安全事业发展添砖加瓦
Q:数据安全产业是否将迎来“春天”?
唐宁:其实《网络安全法》、《数据安全法》之间是姊妹法的概念,不是上位法下位法。所以现阶段,我认为可以把数据安全市场和网络安全市场看成一体。
目前法律层面已经落实,未来会有更多的下位法或相关的标准规范支撑。现在可以看到《数据安全法》要做的是数据分类分级的防护。无论是工业相关分类分级,还是教育、卫生,金融、运营商等数据分类分级,相关的防护性工作都已经动起来了。这将大大地促进整个网络安全、数据安全市场的前景。
现在大家都在讲数据全生命周期的安全防护,这些工作需要做,但还不够。一方面环境的安全要做,一方面数据治理或安全治理要做。再者,数据全生命周期安全防护的伴随保障、伴随赋能、相关数据应用的安全防护也要做,只有这些东西做到了,数据安全的目标才能够达到,这实际上就是《数据安全法》的连环影响。
工信部也发布了3年高质量产业发展规划,2023年网络安全整个市场是2500个亿,《数据安全法》从数据安全角度,给整个网络安全市场做了一次很好的加持,有等保2.0,又有《数据安全法》,不久的将来会有分保2.0出来,市场规模我觉得肯定是没有问题的。
Q:典型行业和大型企业如何渡过数据安全关?
王墨:针对工业互联网数据安全的三个思路
近年来,工信安全中心也高度重视数据安全的工作。在贴近工业企业,进行比较细致的梳理和检查过程中,我们发现了很多问题。
我们围绕着数据安全的监测、防护、共享和交易等开展能力建设,现在已经形成了一系列的平台和工具,都投入到了国家在数据安全支撑的能力建设以及检查工作中。围绕着“双安法”的落实,我们也在积极研究针对工业行业数据如何开展这种数据安全的工作,简单来说有几个思路。
首先,一定要明确工业行业数据和工业数据的处理者概念的范畴,才能更好更准确地开展后续工作。包括主体责任的落实、具体提出的安全要求。比如,工业数据界定为在工业领域,产品和服务全生命周期中产生和应用的数据。工业数据处理者可以理解为在收集、存储、加工工业数据过程中,工业行业或是工业数据服务的提供者。
第二,工业企业有自身特色,衍生出来工业数据的分类分级。分类分级安全防护和整个工作机制落实也有自己的特色,比如分类分级方面,工业行业种类很多,因此工业数据种类很多,分类分级跟其他工作就会有不同的重点。另外在安全防护方面,工业企业的数据实时性比较强,而且工业数据稳定性要求也会比较高,包括多关联、闭环反馈,所以做防护解决方案的时候会更有针对性,需要根据行业特色和数据特点来制定。
第三,工作机制方面,“数安法”也提到了,现在工业数据的监管主要通过地方的工信主管部门和通信主管部门进行。工业企业产生的工业数据由地方的工信主管部门来指导。工业互联网平台的企业产生的数据由地方的通信主管部门来指导。
简单来说,我们国家数据安全产业事业刚刚起步,工信安全中心希望同众多企业、科研院所交流研讨,一起建立健全整个数据安全产业的发展体系。
周泽岩:国铁集团长期布局数据安全建设
目前我们国铁集团在数据安全领域一直从事研究工作,去年跟前年,国铁集团都立了数据安全治理方面的国铁集团重大课题。
不光是铁路上研究机构参与,社会各界,比如清华大学、华北电力大学都有参与到研究工作当中。所以在这方面工作的软科学研究,我们铁路一直在做。
落实在具体工作中,比如说12306,其实很早就采用了相关的密码技术,对数据分级分类做了相关处理,并且也出过一些具体方案。
从国铁集团整体来讲,因为在天津武清建了一个主数据中心,目前比较重要的是全路统一使用的信息系统,很多数据我们也按照国家的要求进行上移,《数据安全法》和去年公安部发布的1966号文件当中也提到了重点数据上移的问题。
下一步《数据安全法》颁布后,包括落实数据的分级管理制度,除了12306里涉及到的个人信息,铁路上重要的地理标识信息,客运、货运、以及一些经营管理相关的重要信息,下一步都需要做数据相关的归类、划分,按照《数据安全法》相关要求,推进预警机制、应急处置机制、相关培训等。以及《数据安全法》中谈到的作为企业应该提供的义务,都是下一步我们需要重点关注的。
国铁集团多年以来持续跟国家的法律法规、中央政策保持一致,我们也会在这个道路上持续前进、砥砺前行。
黎巍:打造数据安全体系是腾讯安全的战略核心
数据安全问题,对于每个企业来说都非常重要,早在10年前,腾讯内部对数据的安全就做了非常系统的治理。那时候还没有GDPR,没有各种安全法规。因为腾讯很清楚地知道,我们肩负着海量的高价值数据,关系到国计民生。
首先,腾讯内部有一套十多年来在对抗中逐渐形成完备的体系。同时,几年前腾讯开始给企业提供服务以后,发现对于数据安全面临的问题,不仅是腾讯,各行各业都会遇到这样的问题。尤其是这两年,各种法律法规的促进,各种重大事件的驱动,企业对数据安全越发重视。
所以在腾讯的整个安全体系里,数据安全无论是在内部还是对外提供,都处于非常重要的战略核心位置。从腾讯安全的角度来看,有了云平台之后,也是一个机会,可以帮助企业围绕数据安全的治理,形成一个数据安全中心承载数据安全的能力,让企业面对数据安全问题的时候,可管可控,能够及时发现,及时预警、及时处理。
对于腾讯来说,打造整个数据安全体系,是腾讯安全的战略核心,非常重要又极具挑战的。
Q:云平台、云计算能为数据安全、以及整个安全行业带来哪些增益?
黎巍:云的场景跟传统的IDC网络存储环境有非常大的区别。传统IDC里面,所有东西都在自己的可控下,那时候很多东西没有完全联网,不和外界发生联系,也就没有安全问题产生。但随着产业的发展,任何一家企业,即便是传统餐饮企业,它都会产生互联网数据。所谓产业互联网,就是各行各业都会最终实现联网。
所以在云的场景下,做安全肯定要和外界发生联系。必然要发生联系的常态下,怎样去做安全?如果每个企业都要去建一个很复杂的体系,对大部分企业来说是不现实的,因为要把安全体系搭建起来,需要企业团队、技术、产品各种各样资源的投入。
而作为云服务商来说,本身是从底层来为企业构建一个基础设施。基础设施安不安全,是作为任何一个云厂商首先要考虑的问题。所以对于传统企业来说,云的底座和基础设施就是弥补企业在数字安全层面的短板。传统的企业上云以后,会发现起码有了一个最基本的底座。
长期来看,云是非常好的生态,可以帮助企业节约投资成本,又能比较好的获得安全防护能力。而作为云厂商,因为有云的打通,可以提供云的SaaS服务或者弹性服务,让企业数据很快接入,通过数据安全中心管控起来,具备所需的安全能力。所以云对于中小企业来讲,是更加低成本、更高效的解决方案。
写在最后
总的来说,数据安全是万物互联背景下各个行业面临的长期课题。《数据安全法》的颁布既是挑战、更是机遇,未来需要产学研用多方协同,共建可持续发展的数据安全体系,挖掘并释放数据安全市场的更多潜能。
「产业安全观智库访谈」
是腾讯安全依托中国产业互联网发展联盟及安全专业委员会,策划的一档聚焦于产业安全、安全生态、安全产业发展、安全与各产业融合等战略宏观维度的高端访谈栏目。
专栏文章: