《數(shù)據(jù)安全法》解讀｜數(shù)據(jù)安全合規(guī)，穩(wěn)了！

發(fā)布時(shí)間：2021-06-21

著名的《經(jīng)濟(jì)學(xué)人》雜志斷言：“數(shù)據(jù)是新時(shí)代的石油。”

2020年4月，國(guó)務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》中，數(shù)據(jù)被正式列為“新型生產(chǎn)要素”。作為一種新型的關(guān)鍵生產(chǎn)要素，數(shù)據(jù)已成為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的新動(dòng)能。

一方面是數(shù)據(jù)的指數(shù)級(jí)增長(zhǎng)，根據(jù)國(guó)際權(quán)威機(jī)構(gòu)Statista數(shù)據(jù)的統(tǒng)計(jì)和預(yù)測(cè)，2020年全球數(shù)據(jù)產(chǎn)生量預(yù)計(jì)達(dá)到47ZB，到2035年這一數(shù)字將達(dá)到2142ZB，年復(fù)合增速近30%。

另一方面，數(shù)據(jù)又面臨著日益加劇的泄露、篡改及訪問(wèn)控制等安全風(fēng)險(xiǎn)。根據(jù)Radware公司發(fā)布的《2018-2019年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告》數(shù)據(jù)顯示，35%的受訪企業(yè)所遭遇的網(wǎng)絡(luò)攻擊的主要目標(biāo)是數(shù)據(jù)竊取。據(jù)統(tǒng)計(jì)，2020年全球公開(kāi)范圍內(nèi)報(bào)告了3932起安全泄露事件，泄露的數(shù)據(jù)達(dá)到370億條。而2019年這一數(shù)字是151億條。

數(shù)據(jù)泄露或丟失給企業(yè)造成了巨大的經(jīng)濟(jì)損失。IBM發(fā)布的《2020年數(shù)據(jù)泄露成本報(bào)告》顯示，2020年數(shù)據(jù)泄露事件給企業(yè)造成的平均損失達(dá)386萬(wàn)美元。據(jù)不完全統(tǒng)計(jì)，全球每年有近百萬(wàn)的企業(yè)因數(shù)據(jù)丟失而倒閉。

數(shù)據(jù)安全問(wèn)題給全球各國(guó)敲響了警鐘，截止目前有100多個(gè)國(guó)家對(duì)此進(jìn)行立法。以大家耳熟能詳?shù)臍W盟GDPR《通用數(shù)據(jù)保護(hù)條例》——被譽(yù)為歐盟史上最嚴(yán)的數(shù)據(jù)保護(hù)法——為例。根據(jù)這項(xiàng)法規(guī)，企業(yè)在數(shù)據(jù)方面的違規(guī)，可能會(huì)面臨高達(dá)2000萬(wàn)歐元（約合人民幣1.53億元）或占企業(yè)全球年收入4%的罰款。在GDPR推出之后，Google和Facebook就分別收到了39億歐元和37億歐元罰款的訴訟。

另外，美國(guó)CCPA《加州消費(fèi)者隱私保護(hù)法》、英國(guó)DPA2018《數(shù)據(jù)保護(hù)法》、瑞士DPA《聯(lián)邦資料保護(hù)法》、巴西《通用數(shù)據(jù)保護(hù)法》、印度《2018年個(gè)人數(shù)據(jù)保護(hù)法案（草案）》等，均提出了數(shù)據(jù)安全合規(guī)方面的強(qiáng)制要求，從數(shù)據(jù)全生命周期、數(shù)據(jù)應(yīng)用場(chǎng)景、數(shù)據(jù)技術(shù)等各個(gè)方面規(guī)劃了完整的數(shù)據(jù)安全保護(hù)體系。

數(shù)據(jù)安全基本要素視圖

來(lái)源：《全球數(shù)字經(jīng)濟(jì)浪潮下數(shù)據(jù)安全保護(hù)體系》，信息安全與通信保密雜志社

日前，我國(guó)也正式發(fā)布了數(shù)據(jù)領(lǐng)域的基礎(chǔ)法律《數(shù)據(jù)安全法》，開(kāi)始從國(guó)家立法層面，為數(shù)據(jù)的全生命周期安全保護(hù)提供法律依據(jù)，推動(dòng)數(shù)據(jù)在安全合規(guī)的前提下實(shí)現(xiàn)價(jià)值利用。

第一，數(shù)據(jù)是企業(yè)的核心資產(chǎn)，但數(shù)據(jù)究竟包含哪些范疇？早前的《網(wǎng)絡(luò)安全法》第十八條規(guī)定，國(guó)家鼓勵(lì)開(kāi)發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)和利用技術(shù)，促進(jìn)公共數(shù)據(jù)資源開(kāi)放，推動(dòng)技術(shù)創(chuàng)新和經(jīng)濟(jì)社會(huì)發(fā)展?？梢钥吹剑凇毒W(wǎng)絡(luò)安全法》范疇內(nèi)，強(qiáng)調(diào)的是“網(wǎng)絡(luò)數(shù)據(jù)”的概念。

《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)是指任何以電子或者其他方式對(duì)信息的記錄，即包括了電子數(shù)據(jù)和非電子形式的數(shù)據(jù)，而《網(wǎng)絡(luò)安全法》不包含非電子形式的數(shù)據(jù)。也就是說(shuō)，這次納入數(shù)據(jù)保護(hù)的范圍擴(kuò)大了。

第二，數(shù)據(jù)只有在流動(dòng)、共享以及使用中才能發(fā)揮其最大價(jià)值，但前提在于保證數(shù)據(jù)安全可控。以企業(yè)為例，為了滿足開(kāi)發(fā)、測(cè)試等工作負(fù)載的需求，一份生產(chǎn)數(shù)據(jù)往往會(huì)帶來(lái)7-8份數(shù)據(jù)副本，而任意一份副本都存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因此，必須有相應(yīng)的數(shù)據(jù)使用和數(shù)據(jù)安全技術(shù)作為支撐。

《數(shù)據(jù)安全法》第十六條指出，國(guó)家支持?jǐn)?shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全技術(shù)研究，鼓勵(lì)數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新，培育、發(fā)展數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系。這條規(guī)定對(duì)于我國(guó)發(fā)展自主可控的數(shù)據(jù)使用和數(shù)據(jù)安全管控技術(shù)，如數(shù)據(jù)副本管理CDM技術(shù)等，具有重要的指導(dǎo)意義。

金融和運(yùn)營(yíng)商作為對(duì)數(shù)據(jù)安全合規(guī)性要求極高的行業(yè)，實(shí)際上已經(jīng)開(kāi)始在測(cè)試環(huán)境、準(zhǔn)生產(chǎn)環(huán)境乃至核心生產(chǎn)環(huán)境部署CDM技術(shù)，滿足數(shù)據(jù)敏捷使用和數(shù)據(jù)安全管控的需求。而在這些行業(yè)實(shí)踐和《數(shù)據(jù)安全法》的引領(lǐng)下，相信國(guó)內(nèi)CDM技術(shù)即將迎來(lái)更大的發(fā)展空間，Gartner也預(yù)測(cè)CDM技術(shù)將在未來(lái)5-10年內(nèi)進(jìn)入“實(shí)質(zhì)生產(chǎn)的高峰期”（Plateau of Productivity）。

第三，《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。這意味著數(shù)據(jù)安全保護(hù)責(zé)任覆蓋了數(shù)據(jù)活動(dòng)的全流程。

對(duì)于現(xiàn)代企業(yè)組織來(lái)說(shuō)，復(fù)雜的數(shù)據(jù)保護(hù)遠(yuǎn)不是“一招鮮吃遍天下”那么簡(jiǎn)單，需要從數(shù)據(jù)獲取、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)構(gòu)建、數(shù)據(jù)使用、數(shù)據(jù)歸檔到數(shù)據(jù)銷(xiāo)毀的數(shù)據(jù)全生命周期全面部署，這當(dāng)中涉及多種數(shù)據(jù)保護(hù)技術(shù)組合拳的靈活運(yùn)用。

上訊信息ADM敏捷數(shù)據(jù)管理平臺(tái)以CDM技術(shù)為核心，在保證數(shù)據(jù)敏捷使用的前提下，融合了數(shù)據(jù)備份、快速備份校驗(yàn)、數(shù)據(jù)脫敏、數(shù)據(jù)快速交付與管理、數(shù)據(jù)訪問(wèn)權(quán)限管理、數(shù)據(jù)庫(kù)審計(jì)等多種數(shù)據(jù)保護(hù)策略。一方面當(dāng)遭遇災(zāi)難時(shí)候能夠幫助企業(yè)及時(shí)恢復(fù)數(shù)據(jù)，保證企業(yè)業(yè)務(wù)的連續(xù)性運(yùn)行；另一方面利用涵蓋數(shù)據(jù)全生命周期的統(tǒng)一集中管控，消除數(shù)據(jù)使用過(guò)程中的敏感數(shù)據(jù)泄露和高危操作的風(fēng)險(xiǎn)，極大提升了企業(yè)數(shù)據(jù)資產(chǎn)的安全強(qiáng)度。

總之，對(duì)于CIO來(lái)說(shuō)，數(shù)據(jù)是企業(yè)的命脈，必須謹(jǐn)慎地保護(hù)企業(yè)數(shù)據(jù)?！稊?shù)據(jù)安全法》的頒布，讓CIO們更加迫切地意識(shí)到，必須完善數(shù)據(jù)管理體系，通過(guò)諸如CDM等可靠的數(shù)據(jù)管理技術(shù)手段，實(shí)現(xiàn)數(shù)據(jù)安全與合規(guī)的落地，繼而在此基礎(chǔ)上達(dá)成“業(yè)務(wù)數(shù)據(jù)化、數(shù)據(jù)資產(chǎn)化”的目標(biāo)。