前言
7月2日,中國人大網公布了《數據安全法(草案)》(以下簡稱「草案」)並進行徵求意見,引起廣泛關注,本文將採用圖表的方式進行草案解讀與分析。
圖文解讀
數據是什麼?
對數據的定義,《民法典》、《網絡安全法》及《數據安全法(草案)》中並不完全相同,如下:
除上述外,還有《個人信息保護法》值得期待,將逐步完善中國數據安全的法律法規體系,各部法律各有側重、互相補充,為數字經濟發展提供良好環境。
域外效力與「長臂管轄」
與《網絡安全法》「在中華人民共和國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理,適用本法」相比,草案帶來了驚喜,除境內外對境外的組織、個人開展數據活動,損害國家安全、公共利益或者公民、組織合法權益的,也會依法追究法律責任。
網絡打破地域,雲計算平臺和技術的廣泛應用,使得數據收集和存儲突破了國界的限制,不論是歐盟的GDPR還是美國的CLOUD法案都極大的擴張了其域外數據安全管轄權範圍。GDPR確立了以屬地原則為主、效果原則為輔的管轄原則,根據效果原則,只要在客觀效果上構成對本國或本地區自然人個人數據的處理,就受GDPR管轄。CLOUD法案不再局限於數據存儲地在美國的原則,從數據控制者提供服務角度出發,對其執法機構下達調取數據命令的適用範圍進行了域外擴展,旨在實現從全世界獲取數據的意圖。
中國作為全球網際網路發展和水平最高的地區之一,域外效力與執法將是未來非常值得關注的領域,尤其是國際化的網際網路公司更應關注。
數據安全制度
草案第三章關於數據安全制度,核心如下圖:
相關條款中的主體是國家或公機關為主,但數據安全要落地就會深入到社會大眾之中,尤其是企業。
數據安全保護義務
草案第四章關於數據安全保護義務,核心如下圖:
除上圖基礎規定外,針對如下事項有進一步規定:
數據收集必須採取合法、正當方式,不得剽竊或者以其他非法方式獲取;法律、行政法規對收集、使用數據的目的、範圍有規定的應按規定,不得超過必要的限度;
數據交易中介服務機構提供交易中介服務時,應要求數據提供方說明數據來源,審核交易雙方的身份,並留存審核、交易記錄;
提供在線數據處理服務的,應當取得經營業務許可或備案;
公安機關、國家安全機關因依法維護國家安全或偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當給予配合;
境外執法機構要求調取存儲於中國境內的數據的,有關組織、個人應當向有關主管機構報告,獲得批准後方可提供;有特殊規定的按照相關規定;
政務數據安全與開放
草案第五章關於政務數據安全與開放,核心如下圖:
上圖主要概括了政務數據的全生命周期管理的內容,除此之外,還需關注政務數據的科學性、準確性、時效性等。
草案中的其他條款,在此不贅述。
深度分析
4月10日,工信部發布了《網絡數據安全標準體系建設指南(徵求意見稿)》(以下簡稱「徵求意見稿」),可謂是草案相關規定的落地指引。
從採集、傳輸、存儲、處理、交換、銷毀等全生命周期出發,對網絡數據安全的關鍵技術進行規範,如下圖:
在各環節中存在不同的風險,如在數據採集過程中沒有得到用戶授權的非法數據採集,採集後沒有按照特定的標準進行脫敏、加密的處理,沒有嚴格按照數據的分類分級標準進行分類和存儲,用戶對自身數據進行請求和操作時企業無法給出相應的數據反饋以及內外部原因造成的數據洩露等。常見的數據安全風險及應對措施,概括如下:
非用戶授權採集—數據授權採集分類分級不當—合規分類分級篡改或操作不當—脫敏與加密管理非法訪問—資料庫防火牆脫庫—加密脫敏存儲數據遺失—容災備份內部授權不當—授權管理與審計內部數據濫用—數據使用授權管理合作夥伴數據授權不當—授權管理API非法訪問—API安全……上述各類風險及應對措施僅供參考,不論從風險監測還是應對策略上,都需建立動態的全生命周期風險識別與監測機制,數據監控的全方位、無死角是識別的全面性與響應決策的前提,在出現問題時也更便於定位溯源,及時解決風險。
從網絡數據安全框架的管理視角出發,對安全管理標準子體系進行規範,如下圖:
上圖中對安全管理標準從制度規範、系統能力、人員能力及外部認證等多方面提供了落地指引,其中「監測預警與處置」明確了數據安全監測預警與處置系統及其技術要求,結合數據的敏感度、量級、流向以及帳號權限等進行綜合分析,實時動態追蹤數據安全風險,主要包括監測預警與處置方案的技術要求、接口規範、測試規範等。
從法律法規到政策指引,為數據安全落地提供了自上而下的保障,要全面理解草案也需要全方位的分析相關法律法規政策規定,即對當前亂象與風險的治理也對行業發展提供良好環境更能帶動數字經濟產業鏈上垂直細分領域的發展。
YOUNG·觀點
數據從業者,還有未來嗎?
2017年5月,監管部門嚴厲打擊違法開展數據活動的行為,大數據公司一時成了高危企業;2019年9月,迎來監管高潮、行業震蕩,半個月內6家公司爆出負責人被帶走調查或暫停、調整業務,從抓「爬蟲」延伸到了數據交易、徵信服務業務公司。大數據行業發展進入冰凍期,從業者該何去何從呢?
草案旨在規範數據活動、完善數據安全治理體系,同時也將助力數據產業的合規升級,對於從業者來說是挑戰與機遇並存:
牌照化經營與管理:草案對依法取得經營業務許可或備案做出規定,對業務展業過程中的違法違規行為進行了明確罰則規定,並有風險評估報告、風險警示等監管要求。牌照化經驗將直接帶來行業的清洗與升級,對於企業來說需結合自身技術能力及應用場景,提前準備申請經營資質,爭取贏得一張門票;對於個人而言,持牌機構將是最優選擇。
數據安全領域發展的政策紅利:草案第十四條為數據安全從業者開啟了新的職業發展機會,數據安全諮詢和培訓、安全漏洞掃描、安全系統建設、數據安全事件監測預警等將有大量的市場需求,絕大多數企業在數據安全團隊構建及投入上並不無法滿足合規要求且在效率和效果上並不具有優勢,因此數據安全解決方案類的服務將成為客觀需求。數據安全領域將成為下一個熱點風口,也是數字經濟發展的基建要求,政策紅利與市場規模將吸引部分企業開拓該類業務。
2020年國務院發布《關於構建更加完善的要素市場化配置體制機制的意見》,第一次以正式文件的形式將數據歸為生產要素,是「土地、勞動力、資本、技術」後的第五種生產要素。由此可見,數據的重要性,如果沒有相關的配套保護,將直接影響數字經濟的發展,數據產業依舊是朝陽產業,當前處於行業「優勝劣汰」的震蕩清洗期,黎明前的黑暗!
數據安全相關法律法規,還待完善
《數據安全法》可謂是國家數據安全立法的頂層設計,與《網絡安全法》(已發布)、《個人信息保護法》(制定中)形成從數據、網絡數據、個人信息三個維度構建的數據安全法律體系,《數據安全法》將是企業開展數據活動的重要指南及業務風險評估標準。
以個人隱私保護方面為例,《網絡安全法》制定了框架性規定,網絡運營者要對收集的用戶信息嚴格保密。同時,《APP違法違規收集使用個人信息行為認定方法》、《信息安全技術個人信息安全規範》等規範也為企業收集和使用個人信息的合規性提供了具體的落地規定。
數據安全治理體系,除了法律外還需要有相應的規章制度、行業自律條例等配套,期待中國的數據安全治理體系日趨完善。
區塊鏈技術在數據安全領域的應用
區塊鏈技術與數據安全相結合的應用典例是利用區塊鏈技術將數據確權與數據流通上鏈,探索數據鏈上治理體系。以網際網路法院採用區塊鏈技術打造司法區塊鏈平臺為例:廣州網際網路法院為例,區塊鏈電子證據平臺網通法鏈,在司法數據的產生、固化、採集、採信過程中,全部都在鏈上完成;北京網際網路法院天平鏈,實現證據要素的規範管理,完善網際網路法治治理模式。
「連結數據,以鏈治鏈」是區塊鏈數據安全治理應用的核心,也符合區塊鏈的技術特性,更是監管科技的選擇。
結語
草案已為數據活動劃清紅線、明確底線,合規是業務開展的先決條件,將助力於推動數據產業升級、促進數字經濟發展。從業者應有先發者的布局眼光,抓住政策紅利,站上數字經濟的風口,飛起來並不難!
希望《數據安全法》、《個人信息保護法》早日頒布,加速構建完善的數據安全治理體系。