《數(shù)據(jù)安全法》解讀｜數(shù)據(jù)安全合規(guī)，穩(wěn)了！

發(fā)布時間：2021-06-21

著名的《經(jīng)濟學(xué)人》雜志斷言：“數(shù)據(jù)是新時代的石油?！?/span>

2020年4月，國務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》中，數(shù)據(jù)被正式列為“新型生產(chǎn)要素”。作為一種新型的關(guān)鍵生產(chǎn)要素，數(shù)據(jù)已成為推動經(jīng)濟高質(zhì)量發(fā)展的新動能。

一方面是數(shù)據(jù)的指數(shù)級增長，根據(jù)國際權(quán)威機構(gòu)Statista數(shù)據(jù)的統(tǒng)計和預(yù)測，2020年全球數(shù)據(jù)產(chǎn)生量預(yù)計達到47ZB，到2035年這一數(shù)字將達到2142ZB，年復(fù)合增速近30%。

另一方面，數(shù)據(jù)又面臨著日益加劇的泄露、篡改及訪問控制等安全風(fēng)險。根據(jù)Radware公司發(fā)布的《2018-2019年全球應(yīng)用及網(wǎng)絡(luò)安全報告》數(shù)據(jù)顯示，35%的受訪企業(yè)所遭遇的網(wǎng)絡(luò)攻擊的主要目標(biāo)是數(shù)據(jù)竊取。據(jù)統(tǒng)計，2020年全球公開范圍內(nèi)報告了3932起安全泄露事件，泄露的數(shù)據(jù)達到370億條。而2019年這一數(shù)字是151億條。

數(shù)據(jù)泄露或丟失給企業(yè)造成了巨大的經(jīng)濟損失。IBM發(fā)布的《2020年數(shù)據(jù)泄露成本報告》顯示，2020年數(shù)據(jù)泄露事件給企業(yè)造成的平均損失達386萬美元。據(jù)不完全統(tǒng)計，全球每年有近百萬的企業(yè)因數(shù)據(jù)丟失而倒閉。

數(shù)據(jù)安全問題給全球各國敲響了警鐘，截止目前有100多個國家對此進行立法。以大家耳熟能詳?shù)臍W盟GDPR《通用數(shù)據(jù)保護條例》——被譽為歐盟史上最嚴(yán)的數(shù)據(jù)保護法——為例。根據(jù)這項法規(guī)，企業(yè)在數(shù)據(jù)方面的違規(guī)，可能會面臨高達2000萬歐元（約合人民幣1.53億元）或占企業(yè)全球年收入4%的罰款。在GDPR推出之后，Google和Facebook就分別收到了39億歐元和37億歐元罰款的訴訟。

另外，美國CCPA《加州消費者隱私保護法》、英國DPA2018《數(shù)據(jù)保護法》、瑞士DPA《聯(lián)邦資料保護法》、巴西《通用數(shù)據(jù)保護法》、印度《2018年個人數(shù)據(jù)保護法案（草案）》等，均提出了數(shù)據(jù)安全合規(guī)方面的強制要求，從數(shù)據(jù)全生命周期、數(shù)據(jù)應(yīng)用場景、數(shù)據(jù)技術(shù)等各個方面規(guī)劃了完整的數(shù)據(jù)安全保護體系。

數(shù)據(jù)安全基本要素視圖

來源：《全球數(shù)字經(jīng)濟浪潮下數(shù)據(jù)安全保護體系》，信息安全與通信保密雜志社

日前，我國也正式發(fā)布了數(shù)據(jù)領(lǐng)域的基礎(chǔ)法律《數(shù)據(jù)安全法》，開始從國家立法層面，為數(shù)據(jù)的全生命周期安全保護提供法律依據(jù)，推動數(shù)據(jù)在安全合規(guī)的前提下實現(xiàn)價值利用。

第一，數(shù)據(jù)是企業(yè)的核心資產(chǎn)，但數(shù)據(jù)究竟包含哪些范疇？早前的《網(wǎng)絡(luò)安全法》第十八條規(guī)定，國家鼓勵開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護和利用技術(shù)，促進公共數(shù)據(jù)資源開放，推動技術(shù)創(chuàng)新和經(jīng)濟社會發(fā)展?？梢钥吹?，在《網(wǎng)絡(luò)安全法》范疇內(nèi)，強調(diào)的是“網(wǎng)絡(luò)數(shù)據(jù)”的概念。

《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄，即包括了電子數(shù)據(jù)和非電子形式的數(shù)據(jù)，而《網(wǎng)絡(luò)安全法》不包含非電子形式的數(shù)據(jù)。也就是說，這次納入數(shù)據(jù)保護的范圍擴大了。

第二，數(shù)據(jù)只有在流動、共享以及使用中才能發(fā)揮其最大價值，但前提在于保證數(shù)據(jù)安全可控。以企業(yè)為例，為了滿足開發(fā)、測試等工作負載的需求，一份生產(chǎn)數(shù)據(jù)往往會帶來7-8份數(shù)據(jù)副本，而任意一份副本都存在數(shù)據(jù)泄露的風(fēng)險。因此，必須有相應(yīng)的數(shù)據(jù)使用和數(shù)據(jù)安全技術(shù)作為支撐。

《數(shù)據(jù)安全法》第十六條指出，國家支持?jǐn)?shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新，培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系。這條規(guī)定對于我國發(fā)展自主可控的數(shù)據(jù)使用和數(shù)據(jù)安全管控技術(shù)，如數(shù)據(jù)副本管理CDM技術(shù)等，具有重要的指導(dǎo)意義。

金融和運營商作為對數(shù)據(jù)安全合規(guī)性要求極高的行業(yè)，實際上已經(jīng)開始在測試環(huán)境、準(zhǔn)生產(chǎn)環(huán)境乃至核心生產(chǎn)環(huán)境部署CDM技術(shù)，滿足數(shù)據(jù)敏捷使用和數(shù)據(jù)安全管控的需求。而在這些行業(yè)實踐和《數(shù)據(jù)安全法》的引領(lǐng)下，相信國內(nèi)CDM技術(shù)即將迎來更大的發(fā)展空間，Gartner也預(yù)測CDM技術(shù)將在未來5-10年內(nèi)進入“實質(zhì)生產(chǎn)的高峰期”（Plateau of Productivity）。

第三，《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。這意味著數(shù)據(jù)安全保護責(zé)任覆蓋了數(shù)據(jù)活動的全流程。

對于現(xiàn)代企業(yè)組織來說，復(fù)雜的數(shù)據(jù)保護遠不是“一招鮮吃遍天下”那么簡單，需要從數(shù)據(jù)獲取、數(shù)據(jù)存儲、數(shù)據(jù)構(gòu)建、數(shù)據(jù)使用、數(shù)據(jù)歸檔到數(shù)據(jù)銷毀的數(shù)據(jù)全生命周期全面部署，這當(dāng)中涉及多種數(shù)據(jù)保護技術(shù)組合拳的靈活運用。

上訊信息ADM敏捷數(shù)據(jù)管理平臺以CDM技術(shù)為核心，在保證數(shù)據(jù)敏捷使用的前提下，融合了數(shù)據(jù)備份、快速備份校驗、數(shù)據(jù)脫敏、數(shù)據(jù)快速交付與管理、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)庫審計等多種數(shù)據(jù)保護策略。一方面當(dāng)遭遇災(zāi)難時候能夠幫助企業(yè)及時恢復(fù)數(shù)據(jù)，保證企業(yè)業(yè)務(wù)的連續(xù)性運行；另一方面利用涵蓋數(shù)據(jù)全生命周期的統(tǒng)一集中管控，消除數(shù)據(jù)使用過程中的敏感數(shù)據(jù)泄露和高危操作的風(fēng)險，極大提升了企業(yè)數(shù)據(jù)資產(chǎn)的安全強度。

總之，對于CIO來說，數(shù)據(jù)是企業(yè)的命脈，必須謹(jǐn)慎地保護企業(yè)數(shù)據(jù)。《數(shù)據(jù)安全法》的頒布，讓CIO們更加迫切地意識到，必須完善數(shù)據(jù)管理體系，通過諸如CDM等可靠的數(shù)據(jù)管理技術(shù)手段，實現(xiàn)數(shù)據(jù)安全與合規(guī)的落地，繼而在此基礎(chǔ)上達成“業(yè)務(wù)數(shù)據(jù)化、數(shù)據(jù)資產(chǎn)化”的目標(biāo)。