《数据安全法》自2021年6月10日起正式颁布,并于当年9月1日开始施行。这部法律对安全行业带来了显著影响,对数据处理活动相关的企业经营带来模式上的改变。
以往一些未经充分考虑的数据共享和合作方式,以及原始数据的无序流通,在新法律框架下,需要进行更为谨慎和合规的调整,以确保数据合法性和数据安全保护。
2021年,我有幸参加了《数据安全法》的重要解读会议,形成了一份关于该法律初步的解读材料。时至今日,这份材料的核心内容和分析框架依然适用,显示了《数据安全法》条文和原则的持久性与稳定性。
2024年,再看《数据安全法》,切身感受到了这一法律对企业数据安全实务工作的深远影响。基于体会,希望通过此文分析哪些数据安全要求已在企业广泛落地,探讨未来数据安全工作的重心,并尝试提炼从安全工作角度解读法律的思路。
图1:2021年6月10日《数据安全法》正式颁布
《数据安全法》全文共七章,五十五条,前43条为规定与要求,第44-52条为罚则,53-55条为附则。通过明确适用范围、监管机构、关键安全制度、保护义务、开发利用以及法律责任等方面,构建形成我国数据安全保护基本框架要求。
图2:《数据安全法》内容框架图
《数据安全法》是我国首部有关数据安全的专门法律,作为网络空间全领域重要法律,在国际、国家及行业三个层面都具有重要意义。《数据安全法》通过设立一系列管理体系、制度体系和安全机制,为我国数据安全保护奠定了坚实的基础。以下是其核心内容概述:
(1)管理体系
- 明确数据安全的监管机构及职责,落实监管责任。
国家构建立体式的数据安全领导、监管、管理机构,从国家安全领导机构、各地方政府、各行业主管单位、网信部门、公安以及安全机关等进行全方面的数据安全管理,统筹数据开发利用和安全保护监管,管理职责见下图:
图3:数据安全监管机构
- 明确企业安全负责人和管理机构,落实数据安全保护责任。
- 建立健全数据安全治理体系。各行业主管到企业落地,建立配套的安全治理体系,从治理的视角,推进数据安全管理。
(2)配套制度体系
- 建立数据分类分级保护制度
- 完善数据安全审查制度,组织开展数据处理活动安全审查
- 建立问责制度,对违反各项规定的单位与个人进行相应问责与处罚
- 建立健全数据交易管理制度
- 健全全流程数据安全管理制度
- 建立数据出入境的安全管理制度
(3)配套安全机制
- 建立数据安全工作协调机制
- 建立数据安全风险评估、报告
- 建立数据安全信息共享、监测预警机制
- 建立数据安全应急处置机制
- 建立投诉举报处理机制
- 建立数据安全问责和处罚机制
(4)能力手段
- 数据安全风险监测能力
- 网络安全等级保护制度上增加数据处理活动保护能力
(5)重要数据保护
- 特别强调重要数据的保护,提出国家制定重要数据目录,并开展重要数据识别,需要开展数据安全风险评估。
- 落实重要数据的出境安全管理规定。
Smart理解:
《数据安全法》是国家层面的法律,普适性要强,概括性指出数据安全工作方向,即从国家、行业主管、安全监管、企业等层面需要关注哪些方面,比如重要数据目录、数据分类分级、数据安全出入境管理、数据风险监测、数据安全风险评估、投诉举报体系等。
安全工作有时需要咬文嚼字以精确把握术语,比如“制度”“机制”的区别是什么?搞清楚这些有利于开展工作。
制度是偏向文字性内容,是一种规范和约束,共同遵守的准则,强调安全规则和规范,整体是相对稳定,更新频率不高,出现问题或者争执时按照制度约定来进行判定,维持安全秩序和稳定。
机制强调组织运行的规律,强调内在联系和运作原理,机制相对灵活和动态性,有较强的适应性,具备一定可操作性,是一种行为方式和方法,实现目标的手段和路径。
比如建立风险评估机制、监测预警机制,这些是整体框架,需要配套建设风险评估制度、评估管理规范,评估流程及参与评估过程的人员和组织,都属于机制的一部分。
又比如我们工作中建立沟通机制,涉及沟通的方法、方式,沟通的流程等内容,机制是整体性的框架。
观察到一个现象,企业在IT项目中将《数据安全法》的要求落实到位,通常需要大约两年时间。这一观察揭示了企业从初步理解到合规遵守这些规定的过渡期。
《数据安全法》于2019年正式颁布,初期时,许多关键概念如‘数据分类分级’、‘重要数据目录’、‘安全评估’、‘数据出境’和‘数据交易’等相对抽象,并且存在多种解释。几年过去,这些术语和概念已逐渐为业界所熟悉,并得到了更深入的理解。
《数据安全法》的规定本身较为概括,为了确保其在实践中的有效实施,需要进一步通过详细的管理办法和标准规范来进行补充和具体化。因此,行业内部分先锋企业被选作标准规范的试点(俗称贯标),收集试点成果,然后全面进行全面推广。
在响应《数据安全法》的过程中,大型企业往往采取主动策略,将法律要求整合为内部的合规标准和关键议题,以使这些标准和议题在组织内得到有效执行。这一实践通常通过关键的IT项目来展现,在项目的实施阶段,IT技术人员能够直接感受到《数据安全法》的影响力。
图4:《数据安全法》从颁布到企业实施的细化流程示意
Smart理解:
例如:上海网信办在2022年组织开展了数据分类分级、制定重要数据目录试点,2023年开展数据安全风险评估创新试点,通过评选试点优秀案例,总结经验及扩大影响力,然后再全面整体推动。
也是遵循“法律法规”--“标准规范”--“创新试点”--“全面推广”--“企业落地”--“项目执行”这条路径。
整个过程大部分企业在其中很难感知这些背后的细节,但这对于指导企业构建更加健全的数据安全和合规体系具有指引和启示价值,借助试点经验,企业能够在数据安全和技术能力建设方面持续进步,为应对未来的合规挑战做好准备。
安全领域新法律法规出台后,安全部门应如何解读这些条款?企业当前工作开展和法律合规要求的匹配程度如何?这里提供一个简要思路,比较简洁实用,总结成五个步骤,供大家参考:
(1)基础准备
新法律颁布后,肯定有很多法律专家、律师实务工作者、安全厂商等进行解读,可以进行配套收集学习。尝试了解法律出台背景、与其他法律的关系、法律影响层面等角度进行收集。
(2)法律条文的理解
初步理解:
✅a.对法律条文的“原文阅读”,理解法律中的关键名字定义和术语;
✅b.从法律条文的章节及其核心内容,这些内容上下文联系,尝试画出整体框架图,梳理条纹背后的章节关系;
✅c.针对每一个条文,转成Excel,逐条摘出来进行关联理解。
深入理解:
a.跳出原文深入梳理条文的“目的、范围、职责、原则”等内容;
b.条文涉及哪些主体对象,各自职责分工,管理单位、监管、监督、行业主管部门、责任主体等维度;
c.从管理、制度、体系、机制等维度梳理条文内容;
d.Excel版本条文的每一项进行扩展资料搜索和批注上个人理解;
e.对法律有一定积累和个人理解后,与外部交流获取更多的信息和观点。
(3)法律条文翻译成工作要求
从企业落地角度看,把条文内容翻译成可能的合规要求,转化成企业可能要开展的工作,比如管理部门、组织团队、制度建设、技术能力建设、责任义务等方面进行整理,初步形成可能要开展的工作。
把梳理出来的合规工作项,参照两个维度分类:
a.合规必须开展或对企业有促进推荐开展;
b.结合企业的业务特点,按时间紧迫分类,明确时间点优先开展。
图5:《数据安全法》参考解读维度
(4)企业现状和合规要求差距匹配
根据梳理出来的法律合规要求和企业已开展的工作对比,进行差距分析,哪些工作从未开展,哪些工作已开展需要进一步加强,逐步转化成企业需要接应的工作。
这里需要注意,法律颁布后配套的规范和标准、实践指南未形成,有些工作可能是探索性的,从企业层面看这些都是未来趋势,可以提前考虑和谋划。
(5)形成工作考核和计划,推进满足合规
根据差距匹配情况,重点推进时间紧迫的工作,设定长期计划进行有序推进。比如把重要工作通过年度考核,配套建设相应的管理规范,专项工作推进。
这里可以按照管理类和技术能力类进行分类,逐步推进。
图6:解读安全领域法律法规五步法
根据解读思路,整理出企业14项必须开展的工作,对企业有促进推荐开展工作8项,如下图:
图7:针对数据安全梳理的企业落地工作项
(1)数据安全现在状态
从最近数据安全落地情况来看,行业基本按照上述梳理的工作方向推进。从最初关注数据分类分级和重要数据识别,随后到数据安全风险评估以及备受关注的的数据出境业务等。在技术方面,数据脱敏、加密、水印、分类分级等技术已较为成熟。
(2)未来热门方向
未来比较热门方向:数据交易流通设计和平台建设、数据安全风险监测能力建设、数据安全风险评估整体推广、数据开发利用配套环境和权限管控设计、AI场景下数据安全管控,这些领域将成为未来数据安全的重点。
(3)不同行业数据安全推进程度不尽相同
能明显感受不同行业推进程度是不一样的,像金融、互联网和通信等行业在管理体系、风险评估和能力建设方面取得了较好的进展,并制定了一些可供其他行业参考学习的实践指南。
可以预见,其他行业也将跟随数据安全的发展浪潮,逐步推进相关工作,只是时间先后的问题。
热门跟贴