网络数据安全管理条例靴子落地 企业如何应对更严苛的合规要求?

首页 / 业界 / 政策 /  正文
作者:西西
来源:安全419
发布于:2024-09-05
近日,国务院常务会议审议通过《网络数据安全管理条例(草案)》(以下简称《条例》),引起业界广泛关注与热议。
 
 
千呼万唤始出来 网络数据处理活动有章可循
 
2021年11月,国家网信办曾就《条例》公开征求意见,从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等多方面,作了详细规定。在2022年度和2023年度国务院立法计划里,明确将《条例》纳入拟制定的行政法规中。今年5月,国务院办公厅发布的《国务院2024年度立法工作计划》再次提到,围绕健全国家安全法治体系,制定《条例》。
 
《条例》的出台,是对《网络安全法》《数据安全法》《个人信息保护法》的落地、细化和补充,秉持“数据开发利用和保障数据安全并重”的基调,通过规范网络数据处理活动,保障数据依法有序自由流动,促进数据依法合理有效利用。在我国境内利用网络开展数据处理活动,以及网络数据安全的监督管理皆适用。
 
 
细化数据分类分级保护制度
 
《条例》的一大主旨是明确国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
 
伴随近几年分类分级保护制度的持续宣贯,用户共识已经建立,一方面是为了支撑业务的开展,更好地将数据资产化,方便持续性地提供精准的数据服务;另一方面是为了满足合规和数据安全建设的需要,为精细化的数据安全策略提供依据和支撑。
 
在安全419与业界的长期沟通中,我们发现企业用户在着手实施数据分类分级时普遍存在比较棘手的挑战。首先在于分类分级的标准和规则难以定义,面对不同的行业,业务属性千差万别,每个企业的业务数据复杂而独特,很难通过一套通用的模板进行完全划分,企业因为缺乏实践指导和参考样本而难以下手。
 
《条例》要求各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。其意在于将分类分级标准的制定权限下放,制定出针对性的指南,将实施落在细处。同时进一步界定了不同敏感级别数据的区别,尤其针对长期以来定义和范畴都较为模糊的“重要数据”,列举了七大具体类型数据,为企业提供指引。
 
 
其次,随着企业的非结构化数据越来越多,因其格式多样化、不规则,即使明确了分类分级的标准,厘清这些数据也存在着效率和准确性方面的障碍。再者,受制于业务属性的差异,很多并非以数据业务为核心的企业,对自身数据资产情况并未有过全面的梳理,在缺乏标签化的打标规则,以及数据管理结构不清晰的情况下,直接开展工作是非常困难的。
 
因此,在《条例》及更多行业标准共同提供落地方法论之际,过去过程漫长且结果粗糙的人工操作,逐渐被搭载了全面的分类分级模型引擎,并且具备自学习能力的智能化工具或方案替代。根据安全419的观察,在选择这类工具时,需要重点考量数据模型的行业覆盖度,支持的数据类型及数据格式的丰富性,以及针对特殊自有业务数据如何实现精准分类打标。比如数据安全厂商数安行提供的数据运营安全平台,内置有全行业全类型的开箱即用的数据模型,可以覆盖结构化、非结构化以及半结构化的通用数据和绝大部分业务数据,并且基于小数据机器学习技术,只需投喂少量数据样本即可自动生成敏感数据分类模型,实现对特有业务数据的精细分类标注,对用户要求不高,落地性更强。
 
同时,企业在开展数据分类分级工作应当设定合理的预期,不必期待全量化建设一步到位,建议考虑分步实施,优先明确涉及数据处理活动的主力数据,结合重要的数据业务场景去实施,再慢慢扩大,尤其可借助目前数据资产入表等大事项,把数据分类分级的工作嵌入进去,借力实施。
 
重点关注数据流通过程安全
 
《条例》分别从个人信息保护、重要数据安全、数据跨境安全管理等几个方面提出了安全保障要求。针对数据处理者处理个人信息,《条例》重申《个人信息保护法》中的“知情同意”权,进一步对企业提出了更加细致、具体的要求,所有数据处理活动都需要严格遵守“最小必要”的原则。
 
 
针对重要数据安全,需结合数据等级持续建立自身数据安全能力,保护数据在处理前、处理中、处理后的完整性、可用性及保密性,提前建立预感先知的应急处置机制,并采取技术措施(备份、加密、访问控制、密码技术等),重要数据需结合三级以上网络安全等级保护和关键信息基础设施安全保护要求,核心数据需依照有关规定从严保护,强化网络产品和服务能力,对存在安全缺陷、漏洞等的及时采取补救措施。
 
针对数据跨境流通,《条例》对于数据出境增加了许多限制条件,首先要通过网信部门组织的数据出境安全评估和满足《网络安全审查办法》的要求,以及其他审查需求,包括数据接收方、合同订立、权利与义务等都需要进行审查和满足规定的条件。并且提出建立数据跨境安全网关,管控跨境网络数据传输。
 
结合诸多大型平台遭遇数据泄露,用户个人隐私遭到越权滥用、违规共享等安全事件,数据因业务驱动而广泛、高频地流动,造成风险敞口无限延伸扩大。对于《条例》提出的安全管理机制和安全保障要求,无论是内部流转还是对外跨境,聚焦数据流通过程的动态安全管控成为如今数据安全建设的重点,也是难点。
 
根据安全419与业界的交流,一些突破传统安全瓶颈的新安全架构以及新技术应用,正在为新时期的数据安全目标提供有力支撑。比如Gartner、IDC等调研机构目前强推的数据安全平台DSP,以数据发现和数据分类分级为基础,以数据流转监控及数据风险评估为目标,融合数据访问、数据存储、数据加密、用户身份验证等多种数据安全技术,实现数据安全防护的平台化。这也是目前主流数据安全厂商产线整合的思路之一,例如美创科技的新一代数据安全管理平台(DSM Cloud),通过将各数据安全管理、数据安全防护、数据安全运营等能力,用一套技术架构收敛至一个平台,从而在弹性、数字化、云化、自适应进化、可观测等方面实现对数据安全防护的全面、深入和统一。
 
比如零信任安全架构,强调以数据资源为中心,在内外均不可信的网络环境下,以细粒度的应用、接口、数据为核心保护对象,基于数据脉络做精准管控,同时结合数据全生命周期进行动态布控。落地产品上可关注航天启星数据安全办公空间,基于零信任架构与轻量可信计算来构建数据底座,通过提供数据识别与检测(数据侦探)、数据安全使用(数据安全沙箱)、数据安全流转(企业级云盘)、数据安全访问(零信任网关)等数据安全能力及产品,以解决企业敏感业务系统/应用数据的发现、分级、合规、安全使用、流转、审计、溯源等全生命周期安全管理。在应用价值上既促进了数据要素开放流通,又构建了数据安全的动态新边界,符合《条例》及上位法支持发展与安全平衡共建的底层逻辑。
 
此外,基于密码技术的数据安全保障体系也得到广泛普及和应用,《条例》明确规定,数据处理者应当使用密码对重要数据和核心数据进行保护,核心技术及能力诸如数据加密、签名认证、信任服务体系、数据共享安全体系等。商用密码厂商在数据安全领域保持着较为积极的挖掘开拓,如格尔软件通过集成海光CPU密码协处理器、华为鲲鹏KAE密码引擎等新型硬件技术,以增强签名和加密产品的性能,可提供兼具低成本与高性能的密码算力,以及高安全性的密钥管理能力。其在数字身份和数字信任方向打造了基于法定身份的行业级可信数字身份平台,为行业和互联网应用提供权威的身份认证和信息查验服务,已在政务、金融、电信运营商等多个关键领域落地可信数字身份管理与数据安全防护体系。
 
总的来说,《条例》的审核通过,在战略上是又一次凸显了国家在数字经济发展中对于数据安全这个大前提的坚定决心,在战法上是为监管机构和企业提供了更详细方针同时也是更严苛的合规要求。建设数据安全已经不是可选项,而是必选项,企业需要真正重视并且坚决落实,才能把握住数字化转型升级的时代机遇。