数据安全法落地:三类公司最敏感,企业数据如何才能更安全?
理财鱼小提示:数据安全法落地:三类公司最敏感,企业数据如何才能更安全?
经济观察报 记者 沈怡然 《中华人民共和国数据安全法》(下称“《数据安全法》”)将在9月1日落地实施,这意味着中国在数据安全方面初步建立起一套法律架构。
在数字经济蓬勃发展的今天,数据正成为企业关键的生产要素,于国家而言,也是具有战略价值的核心资产。一家企业从数字化到智能化的转型过程,本质是对数据的积累、挖掘以及价值释放。新法增加了企业的安全责任,为实现合规,企业需要针对数据保护增加成本,规避风险。
立法并非针对某一类企业,凡涉及数据处理的企业均在这部法律的调整范畴之内。现实中,一些企业因为信息化程度高,或业务事关国计民生,或存在跨国经营等情况,对于该法的反应更为敏感,对相应的合规条款也更为关切。很多企业担心:新法出台后,过往积累的数据资产就像一个“历史的包袱”,未来其合规性可能会被追溯。
政府、法律人士、数据安全技术的提供方,都在努力帮助企业达到数据的合规与安全,也试图抚平和缓解法律给产业的冲击。
国家工业信息安全发展研究中心大数据研究室主任杨玫表示,中国大数据、人工智能产业发展至今,在应用层面已经实现了全球领先,历经了市场的考验。从国家政策角度看,希望产业先由市场引导,遵循自身的规律发展,而立法相对置后一些。过去几年,有很多出台相关法案的呼声,但国家选择在今年密集出台,其实是遵循了市场的选择,并且认为市场发展到这个阶段,才是需要法律去规范的,才是需要安全和发展并重的。
瑞莱智慧CEO田天表示,当前数据的价值和安全性之间存在一个鸿沟,中间的矛盾愈演愈烈,原本对于简单的数据流通和应用,各方是可以形成共识的,随着算法和算力的增强,数据本身的底层价值正在发生井喷,而与此相比,对安全性的保护和关注是滞后的。
IBM大中华区科技事业部网络安全业务主管冯靓表示,短期来看,该法会给产业带来一些阵痛,因为企业是安全责任的主要承担者。长期来看,该法可以帮助产业走向健康和规范,促进企业真正提升安全意识。过去,对很多企业来说,数据安全是个可有可无的部门,如今成为了企业不可或缺的部门,数据保护将被纳入到企业整体发展战略当中。
中国信通院云计算与大数据研究所大数据部副主任闫树表示,中国数字经济受到《数字安全法》的冲击,是一个必要的过程,因为产业发展模式本身存在一些问题,这样的模式对企业发展有利,但触犯了国家和个人的权益,因此需要一些合理的改变。
《数据安全法》在规制什么
中伦律师事务所合伙人陈际红对记者表示,《数据安全法》和先前的《网络安全法》,连同筹备中的《个人信息保护法》,共同构成了中国在网络安全和数据保护方面的法律“三驾马车”,它们定位各有不同,内容互有交叉,而《数据安全法》监管对象,主要是数据处理活动。
简单来说,《数据安全法》对企业的数据处理活动,提出了五项监管要求。第一,符合基础性的合规要求,包括建立企业数据安全管理制度,有相应的基础措施和管理措施;第二,对数据做等级保护,需要企业做等级保护测评和备案;第三,进行数据分级分类,企业要根据分类结果采取相应的管理措施;第四,识别核心数据和处理数据出境问题,比如年检、年报审计;第五,管理数据交易中介,中介要审核双方身份、流程交易记录、制定审核清单等。
如果企业在运营中没有符合这些法规要求,出现了严重的数据泄漏问题,那么将受到一定的经济惩罚,处罚对象以机构、企业为主,包括直接负责的主管人员和其他直接责任人员,企业的罚款额从百万元至千万元级别不等,个人的罚款额在数十万元级别。此外,涉事企业还可能被停业整顿、吊销营业执照。如果违反了国家核心数据管理制度且构成了犯罪,还将被依法追究刑事责任。
北京瀛和律师事务所业务中心总监高楠对记者表示,从监管的角度看,《数据安全法》有三项明确,即明确了数据安全监管的约谈制度,但未明确主管部门的层级要求;明确了未履行数据安全保护义务的开展数据处理活动的组织、个人的法律责任;明确了违反《数据安全法》向境外提供重要数据的法律责任等等。
高楠还表示,该法辐射范围广泛,只要在华企业的日常经营活动涉及数据生命周期的任何一个环节,境外企业涉及对中国有关联的数据处理活动的,皆会受到该法的规制。
那么,对于一些企业过往的数据资产,其合规性是否会被追溯?
陈际红这样认为,合规是一个过程,新法颁布第二天企业立即合规,这也不太现实。通常来看,企业的实践分两个阶段,合规之前的数据叫历史数据,合规以后再进行授权、分类,对应用场景做严格限制,这是一个新的起点。对历史数据可以分为继续用的和不再用的,对于不再用的数据,企业没必要担心,只要不泄露,就不会对主体带来权益侵害;对于还要使用的数据,则是需要授权的。
三类企业关联密切
《数据安全法》的立法并非针对某一类特定企业,凡涉及数据处理的企业均在其中,但在实际情况中,不同企业对该法的反应不同。目前,具有信息化程度高、业务事关国计民生、涉及跨国经营等特点企业,对于该法的反应更为敏感。
冯靓表示,一些信息化程度高的企业明显对新法更关注。新法筹备以来,很多企业已经将业务上云或者上混合云,其数据并非仅存于私有数据库或者数据中心之中。从技术上看,这些企业的数据保护工作难度较大。
冯靓还提到,一些企业信息基础设施相对落后,大量数据没有上云,反而在规范之下有更多回旋余地。当然这并不意味着他们面临的风险更低,企业的信息技术能力不足,更有可能出现数据泄露。例如某些传统产业,自身的IT系统并不发达,却往往是产业链里的重要一环。站在黑客的视角,该群体很容易成为攻击的目标或切入口,因为他们是网络安全中较弱的一环。因此,安全风险就会通过这些薄弱环节危及整个产业链。
IBM大中华区科技事业部网络安全大客户销售总监张炜表示,从经营内容来看,很多掌握涉及国家安全的信息、经营业务事关国计民生的企业,都在密切关注新法,并寻求改进合规措施的技术手段。例如电信、能源、电力等行业的企业,要么属于基础设施运营者,要么其经营数据承担着国计民生的重大安全责任,所以其IT架构和信息安全的合规性非常重要。
>相关《 数据安全法落地:三类公司最敏感,企业数据如何才能更安全?》内容:
1、 商品期货历史数据下载:期货信息怎么收集?
纽约商品交易所的黄金期货买卖是由交易所营业时间内的公开叫价交易时段和交易所收市后的电子交易时段所组成。传统的公开叫价时间内的报价由于是由出市代表叫喊,人为的流程会令市场价格较为波动。在电子交易时段内,因为交易所是以自动配对的方式将市场内...【继续阅读】
2、 OYO宣布招聘2名工程和数据科学高级领导者
全球旅游技术平台 OYO 周三表示,将任命两名新的工程和数据科学高级领导人。 Nirdosh Chouhan 从 Apple 加盟,担任 OYO 的工程高级副总裁。Kranthi Mitra Adusumilli 之前在在线食品配送公司 Swiggy 工作,他将成为 OYO 的高级首席数据科学家。 Chouhan 将...【继续阅读】
3、 国内互联网巨头加速入局元宇宙,种子法修正案落地丨明日主题前瞻
据媒体报道,12月25日网易与三亚市政府签署战略合作协议,双方携手拟共建元宇宙产业基地。腾讯音乐娱乐集团(TME)24日宣布将正式推出国内首个虚拟音乐嘉年华TMELAND,并已在TME旗下QQ音乐等平台上线预约页面。百度首个元宇宙产品“希壤”将面向所有用户开...【继续阅读】