《數(shù)據(jù)安全法》深度解讀 | 企業(yè)應(yīng)如何開展數(shù)據(jù)保護(hù)工作？

2021年6月10日，十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議，表決通過(guò)了《數(shù)據(jù)安全法》，且將從2021年9月1日起施行。

互聯(lián)網(wǎng)+時(shí)代，數(shù)智科技帶來(lái)了萬(wàn)物互聯(lián)，各類網(wǎng)絡(luò)攻擊引發(fā)的數(shù)據(jù)泄露事件接踵而至，據(jù)不完全統(tǒng)計(jì)，每年因數(shù)據(jù)泄露造成的損失高達(dá)上千億，數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與社會(huì)經(jīng)濟(jì)發(fā)展的重大問(wèn)題。

《數(shù)據(jù)安全法》的頒布絕不僅僅只意味著我國(guó)有了對(duì)數(shù)據(jù)安全保護(hù)的專項(xiàng)法律，也體現(xiàn)出國(guó)家對(duì)數(shù)據(jù)安全的重視，這意味著從此數(shù)據(jù)活動(dòng)在我國(guó)將步入正規(guī)化，數(shù)據(jù)安全必將迎來(lái)新一輪的發(fā)展。要知道，數(shù)據(jù)作為信息安全的核心要素，一直以來(lái)都是網(wǎng)絡(luò)機(jī)密信息的載體，數(shù)據(jù)安全影響的不僅僅是個(gè)人、企業(yè)，甚至直接決定了國(guó)家安全。

作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，《數(shù)據(jù)安全法》立足數(shù)據(jù)安全工作的實(shí)際，聚焦數(shù)據(jù)安全領(lǐng)域的突出問(wèn)題，確立了數(shù)據(jù)分類分級(jí)管理，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置，數(shù)據(jù)安全審查等基本制度，并明確相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)。

應(yīng)對(duì)《數(shù)據(jù)安全法》的頒布，企業(yè)該如何開展數(shù)據(jù)安保工作？

《數(shù)據(jù)安全法》的出臺(tái)把數(shù)據(jù)安全上升到了國(guó)家安全層面，基于總體國(guó)家安全觀，將數(shù)據(jù)要素的發(fā)展與安全統(tǒng)籌起來(lái)，為我國(guó)的數(shù)字化轉(zhuǎn)型提供法治保障。在條例中，數(shù)據(jù)安全保護(hù)責(zé)任和業(yè)務(wù)涉及數(shù)據(jù)活動(dòng)的全流程，數(shù)據(jù)伴隨著業(yè)務(wù)和應(yīng)用，在不同載體間流動(dòng)和留存，貫穿信息化和業(yè)務(wù)系統(tǒng)的各層面、各環(huán)節(jié)，因此《數(shù)據(jù)安全法》第三條明確指出，要確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。 

條款中指出的“持續(xù)安全狀態(tài)能力”符合中國(guó)信通院在“數(shù)字化時(shí)代零信任安全藍(lán)皮報(bào)告中”所提出的零信任安全理念：永不信任，持續(xù)驗(yàn)證，這是傳統(tǒng)的基于邊界的安全防護(hù)做不到，而零信任是企業(yè)建立持續(xù)安全狀態(tài)能力的解決方案。

《數(shù)據(jù)安全法》十四條指出，國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用。省級(jí)以上人民政府應(yīng)當(dāng)將數(shù)字經(jīng)濟(jì)發(fā)展納入本級(jí)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展規(guī)劃，并根據(jù)需要制定數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃。

數(shù)字化轉(zhuǎn)型是企業(yè)發(fā)展的重要基礎(chǔ)建設(shè)環(huán)節(jié)，也是“互聯(lián)網(wǎng)+”背景下企業(yè)的必經(jīng)之路，新技術(shù)、新生態(tài)都將讓經(jīng)濟(jì)環(huán)境發(fā)生巨變，而數(shù)字化轉(zhuǎn)型的成功有利于提高企業(yè)的核心競(jìng)爭(zhēng)力，如何快速落實(shí)企業(yè)數(shù)字化的成功轉(zhuǎn)型，滿足企業(yè)對(duì)數(shù)據(jù)安全和監(jiān)管的要求是推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)的關(guān)鍵。

加強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)管、并對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理和保護(hù)，可以在保證數(shù)據(jù)安全、個(gè)人隱私的前提下，使數(shù)據(jù)價(jià)值最大化。

《數(shù)據(jù)安全法》第二十一條明確了國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，確定了數(shù)據(jù)分類分級(jí)的基本原則，要求制定重要數(shù)據(jù)目錄，并明確了核心數(shù)據(jù)的定義與管理要求；同時(shí)在第二十二和二十三條明確了國(guó)家建立集中統(tǒng)一數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制和建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。

對(duì)于重要數(shù)據(jù)的保護(hù)，要滿足從事前到事后的全方位保護(hù)，從事前對(duì)身份的統(tǒng)一集中管理，并賦予相對(duì)應(yīng)的權(quán)限來(lái)滿足數(shù)據(jù)的安全需求，做到持續(xù)動(dòng)態(tài)的身份認(rèn)證滿足對(duì)數(shù)據(jù)的實(shí)時(shí)控制，同時(shí)集中審計(jì)可以記錄用戶訪問(wèn)行為，滿足數(shù)據(jù)全程處于防護(hù)狀態(tài)下。

基于數(shù)據(jù)安全違規(guī)場(chǎng)景，法律更加細(xì)化了違規(guī)法律責(zé)任，在《數(shù)據(jù)安全法》第二十七、二十九、三十、三十三條中對(duì)違法的數(shù)據(jù)活動(dòng)制定了一系列的法律措施，促使數(shù)據(jù)活動(dòng)更加正規(guī)正當(dāng)，從而維護(hù)公民的個(gè)人隱私以及數(shù)據(jù)安全。對(duì)于違反國(guó)家核心數(shù)據(jù)管理制度，危害國(guó)家主權(quán)、安全和發(fā)展利益的，將被依法處罰，情節(jié)嚴(yán)重的甚至?xí)肪啃淌仑?zé)任。