上一期回顾:数据安全双法时代,中安威士博士专家团开启了系列学法行动,在第一期介绍了学法行动的系列解读计划以及专家团成员,本期是中安威士系列解读之二,专家团将深入分析数据安全法对数据安全领域各个方面的深远影响。
摘要:《数据安全法》的发布使得我国第一次从法律层面系统化地完善了数据安全要求,数据安全法的发布与实施会对包括数据安全市场、监管单位、开展数据处理活动的组织和个人、数据安全专业能力供应、人才供应、服务供应和投资机构等整个领域产生深远的影响。
《数据安全法》的发布势必会对整个数据安全领域产生深远的影响,这是第一次国家从法律层面系统化的进一步完善数据安全要求,《数据安全法》首次将数据安全与大数据的关系提到了国家法律的层面进行从形式到实体的调整,如下图所示,这些势必会促进数据安全市场快速发展,吸引众多数据运营的企业积极主动向市场提供数据安全技术能力,数据安全的服务以及数据安全相关人才。
图1 数据安全影响范围及主体
在企业参与数据安全市场活动中监管单位必须按照法律规定履行其监管的责任和义务,对数据安全市场活动进行有效的监督管理,规范数据安全市场化运作。投资机构在数据安全市场健康发展的过程中通过资金支持的方式推动产业发展,并从中获取投资的收益。《数据安全法》的颁布会让以上各个方面都会有新的战略部署和安排。
1、对市场的影响
《数据安全法》第七条规定“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
《数据安全法》第十四条规定“国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。”
《数据安全法》保障数据安全的前提下促进以数据为关键要素的数字经济发展无疑给数据安全市场打了一针强心剂,提出对数据全生命周期各环节的安全保护义务和责任。参与数据安全市场活动的组织和个人应该加强风险监测与身份核验,结合业务需求,从数据分级分类到风险评估、身份鉴权到访问控制、行为预测到追踪溯源、应急响应到事件处置,从管理和技术层面全面建设数据安全的有效防护机制,保障数字产业蓬勃健康发展,为数据安全市场创造了巨大的发展空间。
2、对监管单位的影响
《数据安全法》第六条规定“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”
《数据安全法》第十条规定“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。”
数据安全法以优异别法律的形式规定了各行业和各领域主管部门,公安机关,国家安全机关以及国家网信部门等监管单位依照《数据安全法》和有关法律、行政法规统筹协调网络数据安全相关监管职责。
监管单位为了有效履行其监管职责,在《数据安全法》的框架下,应结合自身实际情况制定本行业、本领域、本地区、本部门的数据安全管理制度规范和相关指南,指导其辖管单位的数据安全能力建设和监督检查工作。尤其是工业、电信、交通、金融、自然资源、卫生健康、教育、科技等数据密集行业主管部门承担本行业、本领域数据安全监管职责,应依法制定数据安全行为规范和团体标准,指导会员加强数据安全保护。
图2 典型数据密集型行业
3、对开展数据处理活动的组织和个人的影响
《数据安全法》第七条规定“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
《数据安全法》第四十四条规定“有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。”
《数据安全法》第四十五条规定“开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”
《数据安全法》的颁布,给开展数据处理活动的组织和个人带来了机遇的同时也带来了挑战。《数据安全法》以优异别的法律的形式保障了以数据为关键要素的数字经济发展,开展数据处理活动的组织和个人参与数据经济发展过程中积极建设自身数据安全防护能力,并接受主管部门的监管,对发现的问题及时整改,消除隐患。对未能有效履行数据安全保护义务的组织进行罚款,行政处罚,吊销相关业务的许可证和营业执照等处罚,严重的追究其刑事责任。数据安全法加大了对于数据安全未履行有效保护责任的组织和个人的惩罚力度,促使相关组织和个人必须在进行数字利用和共享的过程中高度重视数据安全能力建设,保证其责任范围内的数据安全。
4、数据安全专业能力供应欠缺
数据安全作为一个新兴的主战场,《数据安全法》的发布将推动经过验证的传统数据安全技术和产品包括数据加密、数据脱敏、数据防泄露、数据追踪溯源以及数据安全态势感知等能力的广泛推广使用,这将会显著提高数据安全保障能力。进一步,对数据安全防护能力也会提出新的更高要求,为应对未来未知威胁和风险,弥补市场供应能力欠缺,进一步提高数据安全防护的准确性和高适应性,需要研发新一代数据安全技术,新的数据安全技术包括下表所示的内容。
表1 数据安全技术方向
随着人工智能技术的成熟与发展,人工智能技术已经应用到了各个领域,在数据安全领域,人工智能也会有很大的应用前景,应用人工智能技术解决数据安全问题,必将推进数据安全技术智能化发展。
人工智能技术助推数据安全技术发展可以首先从以下几个方面:数据安全治理精准化、数据安全治理自动化、数据安全智能化和数据安全高效化等:
(1)人工智能技术促进数据安全治理精准化。数据库审计系统提供的丰富数据为人工智能提供特征广泛的训练数据集,使人工智能模型更加精确。
(2)人工智能技术可取代数据安全人员及相关部门人员的枯燥、重复性的大量劳动,实现数据安全治理自动化、高效率。
(3)人工智能技术直击数据安全痛点,提高数据安全智能化水平,实现对数据资产的精准分级分类、自动梳理,对数据异常进行实时检测分析、确定事件根源,对数据安全风险进行量化和预测,制定更合理的安全管理策略。
(4)人工智能技术可提升系统效率,促进数据安全高效化。人工智能综合利用自然语言处理、图像识别、语音识别、视频处理等技术提升非结构化数据安全管理的效率。
《数据安全法》支持全国各省、市推动高校、科研机构和企业选择处于不同成熟期的数据安全新方向、新技术和新产品开展研发、试点和推广工作,企业作为主体研发单位应该积极行动起来,主动采用人工智能技术,努力开创数据安全技术的新时代。
5、对人才供应的影响
《数据安全法》第二十条“规定国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。”
数据安全需求的加强需要有数据安全高端技术研发人员和数据安全相关工程从业人员的参与,很多高校成立了网络安全学院进行网络安全和数据安全的科学研究和人才培养工作。企业也可以按照市场需求开展数据开发利用技术和数据安全实战能力的教育培训来弥补市场对数据安全各个层次的人才的需求的缺口,为数据安全行业发展输出人才。
6、对数据安全服务供应的影响
数据安全防护能力相关服务供应包括数据安全能力咨询服务,数据安全检测评估服务、数据安全能力认证服务,数据安全技术标准规范建设服务,数据安全人才培训服务等方面的服务供应。这些数据安全服务与数据安全技术能力建设相结合才能更好的建设企业的数据安全防护能力。
图3 数据安全服务范围
7、对投资机构的影响
双法时代的到来,法律法规等政策方面的大力推动下以及人们的持续关注下,数据安全建设已然成为了各路资本中的风口。虽然目前行业市场尚未完善,技术还不够成熟、领域也尚未细分,但是在云计算、大数据和人工智能等新兴技术高速发展的带动下,数据安全市场前景非常光明。在这个以数据为关键要素的数字经济时代,数据安全必将成为下一个投资蓝海。
总结:本篇探讨了《数据安全法》的发布对领域各方产生的重大影响,将推动整个领域按照法律要求和业务需求快速发展,各方应积极做好准备迎接数据安全新时代的到来。
参考资料
1.《数据安全法》
2.《网络安全法》
3.《个人信息保护法》草案
4.等级保护2.0有关系列标准、指南
5.数据安全技术能力发展现状及挑战解析
https://netsecurity.51cto.com/art/202104/657228.htm
6.透过隐私合规,看数据安全技术发展趋势
https://www.freebuf.com/fevents/255985.html
7.人工智能数据安全分析报告
https://wenku.baidu.com/view/10875032cc2f0066f5335a8102d276a20129603e.html
下期预告:
中安威士专家团数据安全法解读系列之三:数据安全法来了,数据企业怎么办
中安威士(北京)科技有限公司是数据安全领域的引领者,核心团队专注数据安全17年。公司的主要目标是数据库、大数据、文件等数据对象的存管用(存储、管理、使用)全生命周期场景实现全面的安全防护。公司成熟产品根据防护能力分为基础防护类、访问控制类以及检查监测和溯源类。基础防护类产品包括数据库/大数据审计、数据梳理和分类分级。访问控制类产品包括数据库/大数据防火墙、数据库/大数据加密、数据脱敏、以及文档加密。检查监测和溯源类包括数据安全检查工具箱、数据安全态势感知、数据水印、数据安全流量监测。公司还将持续推出数据安全新产品。得益于深厚的技术积累,公司系列产品的功能和性能在业内首屈一指。近年来承担了多个优异,几十个省部级单位的数据安全保障体系的建设任务。2018年引入中电科网络安全(中国网安)基金近亿元投资,正式成为网络安全国家队成员。
转载请注明出处。