《數(shù)據(jù)安全法》深度解讀 | 企業(yè)應(yīng)如何開展數(shù)據(jù)保護(hù)工作？

2021年6月10日，十三屆全國人大常委會第二十九次會議，表決通過了《數(shù)據(jù)安全法》，且將從2021年9月1日起施行。

互聯(lián)網(wǎng)+時代，數(shù)智科技帶來了萬物互聯(lián)，各類網(wǎng)絡(luò)攻擊引發(fā)的數(shù)據(jù)泄露事件接踵而至，據(jù)不完全統(tǒng)計，每年因數(shù)據(jù)泄露造成的損失高達(dá)上千億，數(shù)據(jù)安全已成為事關(guān)國家安全與社會經(jīng)濟(jì)發(fā)展的重大問題。

《數(shù)據(jù)安全法》的頒布絕不僅僅只意味著我國有了對數(shù)據(jù)安全保護(hù)的專項法律，也體現(xiàn)出國家對數(shù)據(jù)安全的重視，這意味著從此數(shù)據(jù)活動在我國將步入正規(guī)化，數(shù)據(jù)安全必將迎來新一輪的發(fā)展。要知道，數(shù)據(jù)作為信息安全的核心要素，一直以來都是網(wǎng)絡(luò)機(jī)密信息的載體，數(shù)據(jù)安全影響的不僅僅是個人、企業(yè)，甚至直接決定了國家安全。

作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，《數(shù)據(jù)安全法》立足數(shù)據(jù)安全工作的實(shí)際，聚焦數(shù)據(jù)安全領(lǐng)域的突出問題，確立了數(shù)據(jù)分類分級管理，數(shù)據(jù)安全風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置，數(shù)據(jù)安全審查等基本制度，并明確相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)。

應(yīng)對《數(shù)據(jù)安全法》的頒布，企業(yè)該如何開展數(shù)據(jù)安保工作？

《數(shù)據(jù)安全法》的出臺把數(shù)據(jù)安全上升到了國家安全層面，基于總體國家安全觀，將數(shù)據(jù)要素的發(fā)展與安全統(tǒng)籌起來，為我國的數(shù)字化轉(zhuǎn)型提供法治保障。在條例中，數(shù)據(jù)安全保護(hù)責(zé)任和業(yè)務(wù)涉及數(shù)據(jù)活動的全流程，數(shù)據(jù)伴隨著業(yè)務(wù)和應(yīng)用，在不同載體間流動和留存，貫穿信息化和業(yè)務(wù)系統(tǒng)的各層面、各環(huán)節(jié)，因此《數(shù)據(jù)安全法》第三條明確指出，要確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。 

條款中指出的“持續(xù)安全狀態(tài)能力”符合中國信通院在“數(shù)字化時代零信任安全藍(lán)皮報告中”所提出的零信任安全理念：永不信任，持續(xù)驗證，這是傳統(tǒng)的基于邊界的安全防護(hù)做不到，而零信任是企業(yè)建立持續(xù)安全狀態(tài)能力的解決方案。

《數(shù)據(jù)安全法》十四條指出，國家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用。省級以上人民政府應(yīng)當(dāng)將數(shù)字經(jīng)濟(jì)發(fā)展納入本級國民經(jīng)濟(jì)和社會發(fā)展規(guī)劃，并根據(jù)需要制定數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃。

數(shù)字化轉(zhuǎn)型是企業(yè)發(fā)展的重要基礎(chǔ)建設(shè)環(huán)節(jié)，也是“互聯(lián)網(wǎng)+”背景下企業(yè)的必經(jīng)之路，新技術(shù)、新生態(tài)都將讓經(jīng)濟(jì)環(huán)境發(fā)生巨變，而數(shù)字化轉(zhuǎn)型的成功有利于提高企業(yè)的核心競爭力，如何快速落實(shí)企業(yè)數(shù)字化的成功轉(zhuǎn)型，滿足企業(yè)對數(shù)據(jù)安全和監(jiān)管的要求是推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)的關(guān)鍵。

加強(qiáng)數(shù)據(jù)風(fēng)險監(jiān)管、并對數(shù)據(jù)進(jìn)行分級分類管理和保護(hù)，可以在保證數(shù)據(jù)安全、個人隱私的前提下，使數(shù)據(jù)價值最大化。

《數(shù)據(jù)安全法》第二十一條明確了國家建立數(shù)據(jù)分類分級保護(hù)制度，確定了數(shù)據(jù)分類分級的基本原則，要求制定重要數(shù)據(jù)目錄，并明確了核心數(shù)據(jù)的定義與管理要求；同時在第二十二和二十三條明確了國家建立集中統(tǒng)一數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機(jī)制和建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。

對于重要數(shù)據(jù)的保護(hù)，要滿足從事前到事后的全方位保護(hù)，從事前對身份的統(tǒng)一集中管理，并賦予相對應(yīng)的權(quán)限來滿足數(shù)據(jù)的安全需求，做到持續(xù)動態(tài)的身份認(rèn)證滿足對數(shù)據(jù)的實(shí)時控制，同時集中審計可以記錄用戶訪問行為，滿足數(shù)據(jù)全程處于防護(hù)狀態(tài)下。

基于數(shù)據(jù)安全違規(guī)場景，法律更加細(xì)化了違規(guī)法律責(zé)任，在《數(shù)據(jù)安全法》第二十七、二十九、三十、三十三條中對違法的數(shù)據(jù)活動制定了一系列的法律措施，促使數(shù)據(jù)活動更加正規(guī)正當(dāng)，從而維護(hù)公民的個人隱私以及數(shù)據(jù)安全。對于違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，將被依法處罰，情節(jié)嚴(yán)重的甚至?xí)肪啃淌仑?zé)任。