2021年1月,巴西的一个数据库30TB数据被破坏,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿;
2021年3月,印度800万核酸检测结果泄露,含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息;
2021年3月,美国保险巨头CNA公司的IT系统被勒索软件锁定,攻击者还窃取了数据,公司支付了4000万美元勒索赎金;
...
有研究机构统计,2020年全球数据泄露的数量超过过去15年的总和,这些数据安全的风险影响范围已经从个人、企业逐步辐射到产业甚至是国家。
当前,全球数字化转型正在以爆发式速度快速发展,数据作为数字化的核心,已经成为新时代的核心生产要素之一。如果数据发生泄露,那么企业乃至国民经济运行,公共卫生、农业生产、运输物流等受到冲击,并可能引发各领域严重后果。
伴随着9月1日《中华人民共和国数据安全法》的正式实施,对于如何依法做好数据安全建设成为当前各行业负责人最为关心、关注的问题。今天小亿就来为大家说说如何从法律角度看数据安全建设,以及企业该如何做好数据安全治理。
一、数据安全的定义
根据《数据安全法》第三条,“数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
数据安全并不仅仅局限于数据本身的安全,而是一个综合概念。在数据从客户端到服务端传输过程中,涉及很多风险因素,比如客户端访问主体的身份是否真实可靠,数据在传输过程中是否完整、防篡改,到达服务端后以明文件存储还是加密存储,以及哪些用户使用等等。
从整体来看,在数据生命周期的每个环节,包括数据收集、存储、使用、加工、传输、提供、公开等,都存在三个重要概念:数据处理主题、数据本身、数据处理行为。
从数据源头上,要确保数据采集主题身份真实、可信;对于数据本身,在传输中要确保其真实性(数据来源真实可信)、完整性(数据未被非授权篡改)、机密性(数据未被非授权者获得)、可用性(数据可被授权者正常使用)等;对于数据处理行为,要确保其发送或接收行为、时间点的不可否认性。
二、《数据安全法》与企业数字化运营息息相关
在配套法规建设方面,围绕大数据的生产与再生产,贸易与流通,中国形成了以《国家安全法》为总纲,《网络安全法》、《数据安全法》和《个人信息保护法》三部法律为基础的法律监管体系,并以一些部门规章以及政策性文件等作为补充。
具体来看,《网络安全法》从设施、运营、数据以及内容安全四个维度对于未来的网络安全进行法规约束,并通过部门分工或者协作的方式制定和颁布进一步的安全细则,如《网络安全审查办法》、《关键基础设施信息保护条例》以及《网络信息内容生态治理规定》等。
《数据安全法》则围绕“收集、存储、使用、加工、传输、提供、公开”这样的数据处理流程,对于大数据的各参与方进行法规约束,违反相关安全措施的行为方将受到严厉惩罚。刚刚公布的《个人信息保护法》,主要从个人信息保护应遵循的原则和信息处理规则等方面进行约束,法规明确个人信息处理活动中的权利义务边界,以增强个人在数字经济时代的安全感。
除此以外,还伴随细分的行业配套法案陆续落地,比如《信息安全技术网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》、《网络安全产业高质量发展三年行动计划(2021-2023年)》,以及最近刚刚征求意见的《关于加强智能网联汽车生产企业及产品准入管理的意见》等。
