业界要闻

国家工程实验室《数据安全法》解读

2021-06-13 20:33:00 来源 超级管理员
2021年6月10日,十三届全国人大常委会第二十九次会议通过了《数据安全法》,这是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。经过三次审议稿陆续收集到社会各界的广泛意见,本次终稿终于浮出水面。终稿能够在很短的时间内得到人大审核通过,说明了数字经济发展对安全的关键需求,《数据安全法》的发布具有很强的紧迫性和重大的意义。《数据安全法》将给数据安全产业带来巨大利好,未来国家也将陆续出台不同行业不同领域的数据安全指引。为此,大数据协同安全技术国家工程实验室主要从大数据安全开发利用的角度,对《数据安全法》进行解读。


一、《数据安全法》的主要目的



1、保障国家数据资源安全。核心的目标是保障国家所拥有的数据资源免于遭受来自国内或国外的篡改、破坏、泄漏或者非法获取、非法利用(第1条)。

2、促进国内数据开发利用和产业发展。包括鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进数字经济发展(第1,2,7,11条)。

3、保障组织和公民的数据权益(第2,7,8,21条)。

4、保障国际数据活动中国家安全、主权和利益。包括保障数据跨境安全自由流动,国际数据和数据开发利用技术反歧视(第2,11,25,26,36条)。


二、重点解读



1、明确数据安全各方职责

法律明确了建立工作协调机制,加强对数据安全工作的统筹,国家各个层级机构对于数据安全工作的职责定位,并细化了相关的法律责任和经济处罚,为各部门、各行业、各领域在后续执行数据安全工作奠定了基础,做到有法可依、违法必究。规定了“一委多部门”的数据安全领导和监管体系,即由中央国家安全领导机构总体负责和统筹,公安机关、国家安全机关、国家网信部门、行业主管部门(工信部、自然资源部、卫健委、教育部、国防科工局、央行、银保监会、证监会等)分头监管(第5,6条)。


2、鼓励数据安全、合法、有序流动

法律明确了数据作为数字经济发展的关键要素,需要被组织和个人依法合理有效利用,国家鼓励数据安全有序自由流动(第7,11,21条)。同时,明确了跨境传输场景的数据安全要求(第36条)。


3、数据开发利用和数据安全相互促进

法律明确了国家在实施大数据战略进程中,要以数据安全保障数据的开发利用和产业发展(第14条)。而且,在国家支持开发利用数据提升公共智能化水平的同时,要充分考虑老年人、残疾人的条件与需求(第15条)。


4、建立数据安全管理制度

法律明确了国家建立数据分类分级保护制度,确定了数据分类分级的基本原则,要求制定重要数据目录,并明确了核心数据的定义与管理要求(第21条);明确了国家建立集中统一数据安全风险评估、报告、信息共享、监测预警机制(第22条),国家建立数据安全应急处置机制(第23条),以及国家建立数据安全审查制度(第24条),并要求数据安全保护与等级保护制度相结合(第27条)。


5、确保政务数据安全

法律明确在国家十四五规划进程中,国家将大力推进电子政务建设,政务数据开放将进一步提升政府工作效能,政务数据在采集、存储、加工过程中的安全非常关键,政务数据需要被合理、合法、安全的使用(第37-43条)。


6、法律责任更加明确,最大金额1000万

基于数据安全违规场景,法律更加细化了违规法律责任,并制定了直接负责的主管人员和其他直接责任人的处罚细节,最高金额提高到1000万。(第44-52条)。


三、数据安全产业机会分析



1、大数据平台安全和安全监管产品迎来发展良机

安全、高效的大数据平台安全产品或套件,以及数据使用和流通共享过程中的安全监控、风控、协同响应等产品和技术方案会有很多市场机会。从战略价值看,从IT到DT的时代,未来企业之间的竞争是数据的竞争,布局大数据安全和安全运营产品,是企业快速发展抢占战略制高点、提升核心竞争力的前提。目前数据安全厂商都在开辟新的赛道,无明显寡头出现,数据识别、数据分类分级、数据脱敏、隐私计算和数据安全运营等方向布局较多。市场主要客户包括政府、运营商、金融机构等。


2、基于DSMM的数据安全治理持续推进

数据安全能力成熟度模型(DSMM)作为业内已探索实践多年的数据安全治理抓手,无疑会迎来更好的发展机会。数据安全需要在国家统筹指导下,全社会各方共同努力,才能建立起科学的行之有效的数据安全治理体系。DSMM相关的咨询、培训、测评、认证、审计等数据安全服务会有很大的市场空间。其战略价值是,可通过以DSMM为抓手的数据安全治理体系,介入客户的数据安全顶层架构设计。目前市场需求量大,企业多具备数据安全治理基础,但需要持续提升数据安全治理成熟度水平,确保安全合规运营。主要客户包括适用于有数据安全治理需求的各行各业,重点在政务、金融、电信产业和工业企业。


3、数据安全人才培训受到广泛重视

企业或组织不仅需要专业的数据安全管理人员去驾驭数据安全项目、解决方案和数据活动,还需要专业的数据安全技术人员去设计开发产品,以及专业的数据安全运营人员去部署产品和分析安全事件,拥有专业的数据安全管理和技术人才已经成为现代企业不可或缺的重要安全保障。《数据安全法》明确国家支持教育、科研机构和企业等开展数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,数据安全人才培训市场将迎来爆发。比如工程实验室就顺应时代潮流,推出了数据安全官和数据安全工程师的培训,为数据安全行业培养专业人才。


4、政企级数据安全咨询地位日益重要

过去大部分的数据安全咨询项目通常由普华永道、安永、德勤和毕马威等国外四大咨询机构获得。随着数字经济的发展,由于数据价值的凸显及其敏感性因素,更多的数据安全咨询项目机会将会转向国内数据安全机构和厂商。数据流通共享及其应用场景的复杂性提升,使得数据安全咨询地位与日俱增。咨询项目的价值是,在提供咨询过程中,识别组织的重要数据资产,提供端到端的数据安全解决方案,为数字经济发展保驾护航。目前市场需求逐年增大,通常由咨询机构提供咨询服务,各家主流安全厂商提供产品落地,方案需要结合业务场景持续优化提升数据安全治理成熟度水平。主要客户是适用于有数据安全治理需求的各行各业,重点在政务、金融、电信产业和工业领域。


四、小结



《数据安全法》明确提出维护国家数据主权,保护个人、机构数据权益,体现了国家对数据安全领域的高度关注,且“鼓励数据依法合理有效利用,保障数据依法有序自由流动”。值得注意的是,国家监管机构的思路逐渐由“以系统为中心的安全”转变为“以数据为中心的安全”,并反复强调这是适应现在数字经济模式的数据安全。该法为政府、产业界开展数据安全工作提供了重要的法律支撑,为企业发展数据安全业务提供了很好的指导,利于形成全社会共同维护数据安全和促进发展的良好环境。