多头管理(技术和管理“双管齐下”)
图片:pixabay
6月10日,NPC第十三届人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),该法将于2021年9月1日起施行 。
为此,近日,新景智库召开“大数据时代如何保障数据安全”座谈会,邀请专家和企业代表参加,共同探讨中国数据安全的现状和挑战,以及《数据安全法》对相关行业和企业的影响 。
与会专家和企业代表:
李欣摄工业和信息化部网络安全产业发展中心副主任
清华大学数据管理研究中心科研主任马博士
刘南开大学计算机学院副院长、教授、博士生导师 。
徐对外经济贸易大学数字经济与法律创新研究中心执行主任
国家新经济研究院创始院长、CiNE首席研究员朱克礼
孙南开大学政府管理学院副教授,数字城市治理实验室主任
郭亮蚂蚁集团数据安全总监,蚂蚁安全实验室负责人
《数据安全法》是数据安全的基本法 。
新北京智库:我们已经进入大数据时代 。数据安全的现状如何?有哪些突出的问题?
李欣摄:数据安全法出来之前,一是数据管理处于多头管理状态,没有统一的标准、机构和法规 。第二,建立的数据系统非常分散 。第三,没有统一的数据标准和数据体系 。第四,数据质量参差不齐 。第五,数据管理不完善 。
虽然现在大家都开始重视数据安全了,但是具体到什么程度,不同的企事业单位还是有差距的 。在使用中,这个差距可能会更大 。尤其是涉及到数据的跨境流动,目前存在一些问题,比如哪些数据可以在什么样的安全保护措施下流动,如何保证流动过程中不出现安全问题 。
现在《数据安全法》颁布了,规定了责任范围、要求和保护 。从某种意义上说,《数据安全法》可以看作是一部数据安全法,或者说是一部基本的数据安全法 。《数据安全法》的颁布将对相关产业产生巨大的推动作用 。
马杰:目前全球数据安全形势不容乐观 。国外有很多涉及个人、机构、民生的恶性数据安全案件 。比如美国东海岸的石油管道运营商被勒索,自来水公司被黑,导致个人数据大规模泄露 。其实国内也有类似的案例 。这些数据安全问题已经涉及国家安全问题 。中国数据安全法的颁布将考虑到这一因素 。
就个人数据安全而言,一方面需要现在掌握海量数据的大企业承担相应的责任;同时,要发展新技术,把个人数据控制在个人手中 。数据是人产生的,个人最好保护好自己的数据 。
许可:在过去的几年里,数据安全已经从传统的狭隘的关注数据本身的可用性和完整性,发展到非常广泛的国家安全,甚至关系到国家主权的安全问题 。
2018年2月,美国《云法案》提出了数据跨境传输和检索的主权问题 。2018年3月,美国脸书发生8700万人的数据泄露 。这些数据后来被用于美国大选 。2018年5月25日,欧盟GDPR(通用数据保护条例)提出了基于个人信息保护原因的数据跨境控制 。
中国起草《数据安全法》有这些国际背景因素 。
可见,数据的产业安全、政治安全甚至主权安全已经远远超过了传统的狭义数据安全 。在此背景下,要有效解决数据安全问题,需要从更广阔的数据安全视角,从数据安全延伸到数据治理 。
朱克礼:目前一些地方政府担心数据治理,不愿意共享数据 。主要有四个原因:一是由数据链的特性决定的 。从数据采集、存储、清洗、分析处理到应用的链条很长,需要更多人参与,管理成本高,技术水平不够,容易出现安全问题 。其次,数据保护和使用之间的界限相当模糊 。第三,数据来源多样,数据归属不同 。地方政府若想开放共享数据,将面临决策过程漫长的现实问题 。第四,数据安全人才匮乏 。这是目前数据安全需要突破的瓶颈 。
数据安全法的颁布是野蛮生长市场的常态 。
新北京智库:《数据安全法》的颁布和相关地方法律法规的实施,将对数字经济及相关行业和企业产生怎样的影响?
李欣摄:《数据安全法》的出台,可以说是为了规范市场的野蛮生长和管理不善 。它使企业、政府等相关单位在存储数据、提供数据、使用数据,或者复制数据、利用数据进行决策时有了基本的准则和法律依据,对那些不按法律依据办事的企业和单位有了执法依据 。
朱克礼:我国数字产业发展迅速,已经形成了比较完整的产业链,涉及数据采集、存储、加工、使用、交付、流通等各个环节和流程 。因此,《数据安全法》的颁布有助于解决法律法规相对滞后的问题 。对于整个行业来说,包括让数据流动和整合更加有序,更好的赋能实体经济,数据安全法相当于划定了红线,让数据活动有章可循 。这对大数据和整个行业的安全都会带来明显的好处 。
数据安全法将限制滥用和非法收集数据 。可以说,它为数据供应商和公众都提供了一个双向保护和可持续的标尺 。从而实现数据价值的最大化,使数据成为数字经济真正意义上的关键生产要素,这是最基本的法律保障 。
许可:《数据安全法》的颁布将对整个数据安全领域起到基础性的作用,因为《数据安全法》是数据安全领域的基本法和基本制度 。做好数据安全保护有赖于监管机构的严格执行 。
孙轩:《数据安全法》对数字城市、数字运营、数字管理既有制约,又有促进 。未来随着智慧城市的进一步发展,包括数字社会、数字政府的发展,数据会自动流转 。这个时候,数据流通的标准和尺度是什么?这些都需要数据安全法来明确 。
马杰:除了人产生的数据,还有传感器产生的数据,比如工业大数据使用的数据,物联网应用的数据,监测江河湖海的传感器采集的数据 。这些数据的安全性也很重要,甚至涉及到国防安全 。《数据安全法》明确规则后,也将有助于这些数据充分发挥其对中国经济发展的促进作用 。
许可:《数据安全法》对企业的影响,不能简单说增加企业的合规成本或运营成本 。《数据安全法》很重要的一点就是需要协同治理,即数据安全不仅仅是政府的事,还需要企业和行业组织的共同参与 。
《数据安全法》也将给从事数据相关业务的企业带来新的机遇 。比如数据安全技术的研发和应用,将会创造巨大的商机 。也给不从事数据业务的企业带来了新的商机 。数据安全的实现离不开数据技术的提升,所以基础设施的建设也会产生一些新的商机 。
朱克礼:《数据安全法》对从事数据处理服务的企业设置了非常硬的门槛,规定提供在线数据处理的服务提供者必须取得相关的经营许可和备案 。数据交易中介服务机构在提供相关中介服务时也做出明确规定 。从数据交易的体制和制度上,这比过去更加严格 。
从行业来看,《数据安全法》的颁布对不同行业的影响不同 。受影响最大的行业之一可能是金融业 。短期内,金融行业会有一些被处罚的案例 。从长远来看,这将有助于保护公众的金融数据安全,并可能减少数据安全给金融机构带来的潜在风险和损失 。当然,也不排除会造成金融业的局部洗牌 。
李欣摄:这将是一个非常好的行业和企业创新的机会 。比如政府开放数据共享后,谁使用了数据,谁就可以共享数据进行二次开发和三次开发,从而创造更大的价值 。《数据安全法》提供了法律保护基础 。
郭亮:对于企业来说,短期内数据使用合规的压力会加大,企业需要投入更多的资金、人力等成本,包括一些技术能力的建设 。从长远来看,《数据安全法》将引导未来中国的数据安全体系有一个相对清晰的演进路线,可以帮助企业合规合法地使用大数据,同时保护用户的个人利益 。
数据安全保护需要技术上的突破 。
新北京智库:如何加强数据安全保护,避免相关企业滥用、数据泄露等问题?
李欣摄:首先要做好数据分类管理,不同的数据可以采用不同的安全保护技术 。例如,对于更重要和更敏感的数据,可以采取特殊措施来更好地保护它 。其次,在数据的整个生命周期中,要做好数据的安全保护 。从管理的角度,需要梳理数据管理的风险点;从技术角度来说,在数据的采集、使用、存储、传输等各个环节都要采取有针对性的保护方法 。
再次,要建立一套完整的数据安全保护技术规范,既不过度保护,也不缺乏保护 。
最后,从促进数据安全保护的角度,加强数据安全保护技术的创新,政府应该给予数据安全企业更大的鼓励和支持,共同促进数据安全产业的发展 。
郭亮:目前企业中的数据安全问题主要表现为数据滥用、内部员工有意无意的数据泄露、外部黑客攻击等,这些都会对国家安全、公共利益和消费者的个人权益造成很大影响 。
同时,数据安全体系缺乏量化的评估机制,会导致后续的持续优化迭代缺乏一定的目标和方向 。
对此,蚂蚁金服组建了专职的数据安全团队,将数据安全作为企业的核心战略,在数据安全领域投入了更多的资源和人力 。
数据安全团队为蚂蚁金服建立了更加完善的数据安全体系 。一方面是开展相关数据安全培训,加强相关监管政策和法律法规的解读和宣传,增强员工的数据安全意识 。
另一方面,在实践过程中建立了一套数据安全度量体系,员工可以通过数据的方式了解自己的数据相关工作是否符合要求 。而且通过相关的策略和模型,参考相关的安全基线,可以帮助企业快速发现异常风险 。
马杰:实际上,中国已经出台了一系列关于信息安全和网络安全的法律法规 。所以加强数据安全保护,一定要配合执法,特别是对那些经常违规的企业,对那些没有数据安全保护意识的企业,一定要重罚 。只有这样,全社会才能形成良好的数据保护氛围 。
刘哲智:关于如何加强数据安全保护,除了《数据安全法》等相关法律法规的约束,还需要更多技术上的突破 。目前,数据安全问题仍然存在于技术层面,不能完全满足数据隐私的各种需求 。因此,需要不断完善相关标准,推动技术发展,从而有效解决数据安全相关问题 。
许可:解决数据安全问题的路径可以从几个方面考虑 。第一,要赋予企业在数据上的权益 。第二,传统的数据安全问题是静态的,但当前数据更大的价值在于数据的共享和整合 。因此,未来在数据安全保护机制的设计上,要更加注重通过数据共享促进数据安全,保护数据流动过程中的数据安全 。
朱克礼:加强数据安全保护,一是需要加强数据安全人才的培养 。在数据安全领域,尤其需要复合型人才,要求他们涉及并掌握安全、信息和技术 。
二是数据安全相关法律虽已颁布,但数据安全相关法律法规及相关配套政策还需进一步完善 。比如进一步明确数据分类确认的监管思路、政府的责任边界、数据安全保护的标准等 。
三是要进一步强化数据安全监管体系 。比如,完善分类分级的监管方式,探索不同级别的数据安全监管机构,明确职责 。
第四,从技术上看,需要在数据安全上寻求技术突破 。包括区块链、隐私计算等相关技术,从而提高企业的数据安全能力 。
孙轩:加强数据安全主要从技术和管理两方面入手 。从管理层面看,《数据安全法》的颁布,完善了数据安全保护体系的相关法律法规和规章,进一步提升了我国整体的数据安全保护能力 。
在技术层面,从最底层的网络安全,到数据传输安全,再到平台安全,最后到应用安全,都要使用相关技术,比如加密、身份认证等技术,来保证数据安全 。
国外有哪些值得借鉴的做法?
新北京智库:数据安全的立法和保护是当前的全球性问题 。欧盟和其他地区的数据安全有哪些经验和教训值得我们借鉴?
李欣摄:2018年,欧盟出台了GDPR(通用数据保护条例) 。经过两三年的运作,欧盟积累了这方面的经验 。
从其运作来看,首先是严格执法 。公司再大,该罚的还是要罚 。是我们应该借鉴和吸收的一个重要内容,就是强有力的监管或者更有力的监管手段,严格执行 。
在数据保护方面,我们可以从欧盟在实施过程中采取了哪些方法和手段,固定了哪些数据和证据,以及在检测中使用了哪些技术等方面进行学习 。
其次,欧盟推动了区域立法 。这种小规模的数据安全立法法规值得借鉴 。
这些也是我们下一步在数据安全方面需要注意的 。
马杰:在美国,以州立法为主 。这种做法值得借鉴 。我国很多地方都有自己的立法权 。这些地方可以先尝试形成良好的数据安全环境,再鼓励相应的产业蓬勃发展,为中国这方面的需求提供更好的供给 。
许可:欧盟的一些做法值得借鉴 。GDPR之所以能够出台,其中一个重要原因就是统一了欧盟各地和其他国家的个人信息保护标准 。数据本身不是一个地方性的事情,从一开始就是一个国家的事情,甚至是一个国际性、全球性的事情 。如果每个地方都有自己的一套数据保护规则,就会导致执法冲突 。欧盟在数据安全方面的一个重要贡献就是避免了不同国家的执法冲突 。对于这个问题,在我国相关地方出台数据规定时,应该引起高度重视 。
欧盟没有所谓的数据安全法规 。我们看到的是GDPR,这实际上是个人数据保护 。由数据引发的一系列问题由欧盟不同的法律解决 。例如,与个人有关的数据将由GDPR解决,而与个人无关的数据将由关于非个人数据的法规解决 。所以欧盟通过了很多法律来应对数据安全问题,值得我们认真思考 。
郭亮:前几年我们也对国外特别是一些欧美国家的领先公司的数据安全进行了研究 。整体来说,欧美国家的这些公司对数据安全非常重视,有专职团队,也有相关技术的储备 。其实这是值得国内很多企业学习的,也是蚂蚁在几年前就开始大规模加大这方面团队建设的因素之一 。
此外,他们还会有一些技术创新,可以用来解决数据安全问题,平衡业务发展和安全合规的要求 。在这方面,他们应该有更多的经验 。
目前一些新的技术,包括一些新的大数据场景,其实中美两国的公司是可以齐头并进的 。在数据安全、隐私计算和其他相关领域,我们也有很好的机会在世界上取得更领先的地位 。
孙璇:我之前去英国考察过一段时间,发现欧洲特别注重个人隐私数据的保护 。当时我们要做一个调研,一个社会调查 。即使不涉及大规模的数据收集,只是一个问卷调查,我们也要面对各种审查,包括伦理审查 。程序特别严格,要求更多 。
【技术和管理“双管齐下” 多头管理】整个欧洲都特别重视数据,包括权利和义务,以及可能带来一系列问题的相关敏感数据 。这在GDPR也很明显 。
但与此同时,很多欧洲公司和企业抱怨很多,因为法律规定太严格,各方面限制很多 。要尽量保护每一个隐私主体的相应权益,也有特别严格的程序 。
所以欧盟整体上对数据的权利和义务的规定还是比较明确的,确实值得借鉴 。
李欣摄:具体来说,在数据安全方面,中国应该做以下几件事:
一是加强监管和执法 。《数据安全法》已经颁布,相关机构应该在数据安全保护、数据采集和应用方面负起责任,加强监管和执法 。同时,企业和政府部门都要提高数据管理的水平和能力 。因为我们面对的是新事物 。
第二,企业要加强自律 。企业合规成本不是强加的,而是必须的,因为野蛮生长的时代已经结束 。
第三,全社会要提高数据安全意识 。目前,不同的人、企业、机构、组织对数据安全的理解存在很大差异 。
第四,应加强对新技术的研究,这不仅可以促进产业发展,也有利于数据保护 。当然,也可以鼓励相关城市和地区出台自己的安全防护规定或管理措施 。
马杰:我国在数据安全方面的法律法规比较完善 。接下来要真正执法,避免选择性执法 。
孙轩:我国的数据安全法已经制定了框架 。这个框架可能没有那么详细,很多地方可以进一步细化和明确 。现在很多地方都出台了一些数据管理标准,我觉得很好 。但需要统一协调 。
当然,对于数据,也不能控制死,否则会影响创新和价值挖掘 。我们需要反思的是,如何在保证数据安全的过程中,给它足够的自由去挖掘、分析、创新,产生价值 。这不仅是技术问题,也是管理问题 。
如何在安全可控的环境下实现高效的数据流动,才是我们需要思考的 。
新北智库采访人郑伟斌、柯睿、肖龙平、王春瑞校对贾宁 。
推荐阅读
- 孕妇感冒了怎么办
- 最近经常感觉不舒服,干点重活就会觉得胸口很痛,情绪激动的时候也会觉得憋闷、绞痛,我很害怕,就去医院做了检查,医生说我得了冠心病,给我开了
- 巨蟹座、双鱼座、水瓶座综合运势详解 6月28日是什么星座
- 黄山一日游安排! 黄山一日游
- 感冒鼻塞耳鸣吃什么药?
- linux-有这些通配符更方便! linux通配符
- 吃了羊肉可以吃橙子吗
- 首发360路由器V6G测评 360安全路由器
- 简单装修合同样本标准版! 装修合同样本