范淵

2021年6月10日，《數(shù)據(jù)安全法》經(jīng)十三屆全國人大常委會第二十九次會議通過，并將于2021年9月1日起施行。本法是數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律，也是國家安全領(lǐng)域的一部重要法律。

隨著經(jīng)濟數(shù)字化、政府?dāng)?shù)字化、企業(yè)數(shù)字化的建設(shè)，數(shù)據(jù)已經(jīng)成為我國政府和企業(yè)最核心的資產(chǎn)。隨著合資企業(yè)、跨境貿(mào)易、多廠商全球合作的模式變遷，數(shù)據(jù)開始在企業(yè)與企業(yè)之間、政府與企業(yè)之間以及國與國之間流轉(zhuǎn)、融合、使用。

與此同時，數(shù)據(jù)泄露也成為一大隱患。據(jù)公開報道，2020年全球數(shù)據(jù)泄露的平均損失成本為1145萬美元，2019年數(shù)據(jù)泄露事件達到7098起，涉及151億條數(shù)據(jù)記錄，比2018年增長284%。

數(shù)據(jù)泄露事件影響大、損失重。數(shù)據(jù)掌控、利用以及保護能力，既是確保廣大人民群眾在數(shù)字化發(fā)展中獲得更多幸福感、安全感，也是提升國家競爭力的核心要素。

《數(shù)據(jù)安全法》的出臺標(biāo)志著我國將數(shù)據(jù)安全保護的政策要求，通過法律文本的形式進行了明確和強化。

《數(shù)據(jù)安全法》出臺背景：外力驅(qū)動和內(nèi)部需求

先看外力驅(qū)動。2018年3月23日，時任美國總統(tǒng)特朗普正式簽署了《澄清域外合法使用數(shù)據(jù)法》，法案要求對危害美國國家安全的犯罪、嚴(yán)重刑事犯罪等重大案件，無論服務(wù)提供者的通信、記錄或其他信息是否存儲在美國境內(nèi)，要求服務(wù)商根據(jù)該法案進行調(diào)取并提供相關(guān)證據(jù)。

2018年5月25日，歐盟《一般數(shù)據(jù)保護條例》（GDPR）正式實施。GDPR法案要求不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外，只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)，均適用此法案，對數(shù)據(jù)實施長臂管理。

目前全球已有近100個國家和地區(qū)制定了數(shù)據(jù)安全保護的法律，數(shù)據(jù)安全保護專項立法已成為國際慣例。

歐美國家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界，將會直接影響到第三方國家的主權(quán)。面對數(shù)據(jù)跨境流動愈加頻繁，必須盡快完善我國相關(guān)法律法規(guī)，保護我國國家利益、跨國公司以及公民個人利益。

再看內(nèi)部需求。2020年全球新冠肺炎疫情給經(jīng)濟帶來了沉重的打擊，當(dāng)前全球經(jīng)濟特別是傳統(tǒng)經(jīng)濟增長緩慢，迫切需要通過新的經(jīng)濟增長點拉動內(nèi)需，增加就業(yè)，而數(shù)字經(jīng)濟正是切入點和發(fā)動機，國家將發(fā)展數(shù)字經(jīng)濟提升到國家戰(zhàn)略高度也是恰逢其時。

近年來數(shù)字經(jīng)濟增速證明了數(shù)字經(jīng)濟發(fā)展空間巨大，數(shù)字經(jīng)濟已成為我國國民經(jīng)濟增長要素的重要一員。中國信息通信研究院發(fā)布的《中國數(shù)字經(jīng)濟發(fā)展白皮書》數(shù)據(jù)顯示，我國數(shù)字經(jīng)濟的總體規(guī)模已從2005年的2.62萬億元增長至2019年的35.84萬億元，數(shù)字經(jīng)濟總體規(guī)模占GDP的比重從2005年的14.2%提升至2019年的36.2%。

《數(shù)據(jù)安全法》正式出臺之前，國務(wù)院已發(fā)布多個相關(guān)政策規(guī)定：2015年發(fā)布《促進大數(shù)據(jù)發(fā)展行動綱要》，2018年發(fā)布《科學(xué)數(shù)據(jù)管理辦法》，2020年發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》。2021年3月12日，《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》發(fā)布。這充分體現(xiàn)了數(shù)據(jù)安全政策導(dǎo)向明確，國家數(shù)據(jù)戰(zhàn)略清晰。

在此背景下，出臺《數(shù)據(jù)安全法》，維護了我國的數(shù)據(jù)主權(quán)，保障了國家的安全、促進了經(jīng)濟健康發(fā)展，為中國數(shù)字經(jīng)濟的安全發(fā)展保駕護航。

數(shù)據(jù)安全建設(shè)的幾點建議

作為數(shù)據(jù)安全管理的基本大法，《數(shù)據(jù)安全法》實施后，單位和個人收集、存儲、使用、加工、傳輸、提供、公開數(shù)據(jù)資源，都應(yīng)當(dāng)依法建立健全數(shù)據(jù)安全管理制度，采取相應(yīng)技術(shù)措施保障數(shù)據(jù)安全。

未來如何做好數(shù)據(jù)安全建設(shè)？概括來說，政企在進行數(shù)據(jù)安全能力建設(shè)時，需要考慮數(shù)據(jù)安全、訪問控制以及數(shù)據(jù)保護三個層面。

數(shù)據(jù)安全的首要目標(biāo)是需要找數(shù)據(jù)在哪里？數(shù)據(jù)的主體是誰？訪問控制是目前主流的數(shù)據(jù)安全能力之一，首要目標(biāo)是數(shù)據(jù)使用者如何證明具備相應(yīng)的數(shù)據(jù)權(quán)限？數(shù)據(jù)保護是更高層面的建設(shè)框架，首要目標(biāo)是組織或個人如何確保數(shù)據(jù)已經(jīng)被保護好了？

對于IT和信息安全從業(yè)人員來說，數(shù)據(jù)安全能力建設(shè)是最艱巨的任務(wù)之一。數(shù)據(jù)安全能力的建設(shè)，在業(yè)務(wù)層面，應(yīng)當(dāng)考慮建設(shè)包含預(yù)防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全體系;在技術(shù)層面，應(yīng)當(dāng)考慮建設(shè)數(shù)據(jù)風(fēng)險核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警能力四大核心數(shù)據(jù)能力;最終建立“數(shù)據(jù)安全運營”的全過程自適應(yīng)安全支撐能力，直至達到整體智治的安全目標(biāo)。

第一，建立健全管理組織體系和組織架構(gòu)。企業(yè)數(shù)據(jù)安全管理的成敗，主要取決于主要領(lǐng)導(dǎo)是否重視？意識是否提升？全員是否參與？是否建立了一套完善的數(shù)據(jù)安全管理組織？這是數(shù)據(jù)安全的重要保障。要形成“管理層重視、一把手負責(zé)、全員參與”的管理模式。

第二，建立完善的數(shù)據(jù)安全技術(shù)體系和落地。傳統(tǒng)方式已經(jīng)無法適應(yīng)新時代數(shù)據(jù)安全需要，面臨安全的新態(tài)勢、新要求，在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上，通過智能化管理平臺，在技術(shù)層面實現(xiàn)對風(fēng)險核查（Check）能力、數(shù)據(jù)梳理（Assort）能力、數(shù)據(jù)保護（Protect）能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）能力四大核心能力的建設(shè)，在業(yè)務(wù)層面，實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。

第三，引進下一代技術(shù)，實現(xiàn)流程自動化。人工智能和機器學(xué)習(xí)將是未來數(shù)據(jù)安全工作的關(guān)鍵，目前，多數(shù)大型企業(yè)正在尋求使某些法規(guī)遵從流程自動化，包括數(shù)據(jù)定位和提取。自動化是大型企業(yè)保持對大量存儲在數(shù)據(jù)中心和云中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)兼容的唯一方式。對于數(shù)據(jù)安全能力建設(shè)較為薄弱的企業(yè)，建議考慮零信任模式作為一種安全策略，有了“零信任”，企業(yè)將著眼于數(shù)據(jù)管理的整個生命周期，并將關(guān)注點從數(shù)據(jù)安全本身擴展到企業(yè)整體信息安全框架。

第四，政府需落實數(shù)據(jù)安全保護責(zé)任，推動政務(wù)數(shù)據(jù)開放利用。政務(wù)數(shù)據(jù)安全與開發(fā)作為《數(shù)據(jù)安全法》的獨立章節(jié)，要求我國政府在落實數(shù)據(jù)安全保護責(zé)任的同時，推動政務(wù)數(shù)據(jù)開放利用。但是如何才能實現(xiàn)數(shù)據(jù)要素安全、高效的共享開放？數(shù)據(jù)要素市場化與個人隱私保護、敏感數(shù)據(jù)使用、數(shù)據(jù)確權(quán)等如何兼顧？可行的方法是通過引入“數(shù)據(jù)安全島”模式，利用安全計算沙箱、安全多方計算、區(qū)塊鏈等技術(shù)，實現(xiàn)原始數(shù)據(jù)不出本地，只交換計算結(jié)果，做到數(shù)據(jù)共享的“可用不可見”，解決數(shù)據(jù)信任和隱私保護、溯源等難題，讓流動的數(shù)據(jù)成為驅(qū)動數(shù)字經(jīng)濟發(fā)展的新動能。

《數(shù)據(jù)安全法》是繼《網(wǎng)絡(luò)安全法》提出數(shù)據(jù)的概念后，我國在數(shù)據(jù)安全立法層面的又一個重大里程碑，是中國數(shù)字經(jīng)濟高速發(fā)展的壓艙石和定海神針。相信隨著《數(shù)據(jù)安全法》的出臺和落地實施，數(shù)據(jù)要素安全管控和市場化將同步提升，數(shù)據(jù)資源將會迸發(fā)出更大的活力，數(shù)字經(jīng)濟將在“十四五”時期更加蓬勃發(fā)展。