數(shù)據(jù)安全：CEO的第一道責任

伴隨著數(shù)字經(jīng)濟的快速發(fā)展，數(shù)據(jù)的體量變得越來越大，與此同時，其重要性也日益凸顯。2020年4月，數(shù)據(jù)已經(jīng)被國家認定為繼土地、勞動力、資本、技術(shù)之后的“第五要素”。

但是，如何更好地管理和利用數(shù)據(jù)，業(yè)內(nèi)一直缺少明確的指引，而今年9月1日即將施行的《中華人民共和國數(shù)據(jù)安全法》（簡稱“數(shù)據(jù)安全法”），則為整個數(shù)據(jù)產(chǎn)業(yè)的發(fā)展指明方向。

7月21日，安恒信息董事長范淵在接受21世紀經(jīng)濟報道采訪時表示，數(shù)據(jù)安全法經(jīng)過幾年的討論，在當下這個時間點出臺是恰逢其時。“數(shù)據(jù)作為新型生產(chǎn)資料和生產(chǎn)要素，在整個數(shù)字化改革以及數(shù)字經(jīng)濟的創(chuàng)新中，已經(jīng)嶄露頭角，這個時候，如何讓數(shù)據(jù)變得更加規(guī)范化、體系化，也變得十分重要。”

而數(shù)據(jù)安全法的出臺，則是國內(nèi)首次對數(shù)據(jù)安全保護、風(fēng)險預(yù)警以及數(shù)據(jù)的應(yīng)用及管理等提出了清晰的要求。

范淵稱，從長遠的角度來看，這部法律將增進政府的治理能力，同時也會增進企業(yè)的核心競爭力和品牌力，因為如果一個企業(yè)不能真正去理解數(shù)據(jù)資產(chǎn)并保護數(shù)據(jù)資產(chǎn)，那它也不可能在市場上樹立起真正的品牌。

數(shù)據(jù)安全法規(guī)范產(chǎn)業(yè)發(fā)展

實際上，在數(shù)據(jù)安全法之前，我國在數(shù)據(jù)安全方面也有很多相關(guān)的法律法規(guī)及政策文件，但當時都處于分散立法的狀態(tài)。

中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心數(shù)據(jù)安全部主任胡影表示，網(wǎng)絡(luò)安全法里也提到數(shù)據(jù)安全，但它更多是保護傳統(tǒng)的信息安全的CIA三要素，即機密性、完整性和可用性；而其他的一些法律，像民法典，則更聚焦在用戶個人信息保護方面。

而數(shù)據(jù)安全法的適用對象，是在我國境內(nèi)開展數(shù)據(jù)處理活動及其安全監(jiān)管，數(shù)據(jù)處理又包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等，已經(jīng)覆蓋了數(shù)據(jù)的全流程。

在胡影看來，數(shù)據(jù)安全法對于數(shù)據(jù)產(chǎn)業(yè)的發(fā)展有以下幾個意義：首先是兼顧統(tǒng)籌了數(shù)據(jù)的安全和發(fā)展�！皬恼�體內(nèi)容來看，數(shù)據(jù)安全法一方面是站在嚴格保護數(shù)據(jù)安全的角度，而另一方面，也在鼓勵數(shù)據(jù)的合法開發(fā)利用�！�

其次，是明確了我國數(shù)據(jù)安全的監(jiān)管架構(gòu)。數(shù)據(jù)安全法第五條提到，中央國家安全領(lǐng)導(dǎo)機構(gòu)負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制。

胡影表示，國家數(shù)據(jù)安全的統(tǒng)籌協(xié)調(diào)是由中央國家安全領(lǐng)導(dǎo)機構(gòu)負責，如果是網(wǎng)絡(luò)數(shù)據(jù)安全，則由國家網(wǎng)信部門負責。在數(shù)據(jù)安全法中，更是首次明確了幾個行業(yè)，如工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門要承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責。

最后，是數(shù)據(jù)安全法提出了我國數(shù)據(jù)安全管理的制度。在數(shù)據(jù)安全法第三章中，提到了建立數(shù)據(jù)分類分級保護制度；建立數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機制；建立數(shù)據(jù)安全應(yīng)急處置機制；建立數(shù)據(jù)安全審查制度等。

胡影認為，數(shù)據(jù)安全法的應(yīng)用落地，需要從國家、行業(yè)到企業(yè)共同協(xié)作。以數(shù)據(jù)的分類分級為例，從國家的角度來看，更關(guān)注重要數(shù)據(jù)、個人信息、公共數(shù)據(jù)的分類管理和分級保護。

而從行業(yè)角度來看，需要明確行業(yè)重要數(shù)據(jù)目錄，也可在國家數(shù)據(jù)分類分級保護框架基礎(chǔ)上針對行業(yè)業(yè)務(wù)數(shù)據(jù)建立細化的數(shù)據(jù)分類分級保護。從企業(yè)視角來看，企業(yè)則需要明確處理的重要數(shù)據(jù)、個人信息、公共數(shù)據(jù)范圍，并參考國家和所涉及行業(yè)的數(shù)據(jù)分類分級規(guī)則保護。

胡影指出，只有確保數(shù)據(jù)依法有序流動，從政府到行業(yè)再到企業(yè)層面充分協(xié)調(diào)，共同做好數(shù)據(jù)安全工作，才能更好地釋放數(shù)據(jù)價值。

數(shù)據(jù)安全保護將是一把手工程

作為安全行業(yè)的一名老兵，范淵從2007年創(chuàng)辦安恒信息至今，一直見證著整個安全產(chǎn)業(yè)的發(fā)展。他告訴記者，從最早的邊界防火墻，到后來云、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)的發(fā)展，整個網(wǎng)絡(luò)安全行業(yè)也發(fā)生了巨大的變化。

“2007年的時候，我們就提出數(shù)據(jù)是企業(yè)和政府的核心資產(chǎn)，圍繞這個核心資產(chǎn)，風(fēng)險主要有兩方面，一個是外部黑客攻擊，另一個是內(nèi)部泄露，所以當時的解決方案主要是針對這兩點進行防護”，范淵稱。

但是隨著數(shù)字化的發(fā)展，數(shù)據(jù)出現(xiàn)的場景變得更加復(fù)雜，原先的保護模型開始無法應(yīng)對。這個時候，新一代的數(shù)據(jù)安全體系也應(yīng)運而生。

范淵表示，新一代數(shù)據(jù)安全體系最核心的特點，就是從單點防護變成系統(tǒng)性、全場景的防護。從企業(yè)的角度，則意味著安全業(yè)務(wù)未來將作為每個企業(yè)的一把手工程，要從頂層設(shè)計著手。

比如安恒信息最新發(fā)布的數(shù)據(jù)安全整體解決方案，就包含了“CAPE”數(shù)據(jù)全生命周期防護體系、數(shù)據(jù)安全咨詢服務(wù)體系、AiLand數(shù)據(jù)安全島、AiTrust零信任解決方案、AiDSC數(shù)據(jù)安全管控平臺、EDR與數(shù)據(jù)勒索防護等產(chǎn)品服務(wù)，全面覆蓋了數(shù)據(jù)安全風(fēng)險。

范淵稱，未來，當圍繞數(shù)據(jù)真正建立起一套更加規(guī)范的治理體系和保護體系后，數(shù)據(jù)利用的市場空間也將得到釋放。比如過去很多大數(shù)據(jù)交易中心都沒有真正運轉(zhuǎn)起來，就是因為缺乏真正的法律法規(guī)指導(dǎo)，而在數(shù)據(jù)安全法的推動下，數(shù)據(jù)交易也將變得更加透明、可信。

在這個過程中，一些新技術(shù)的應(yīng)用也變得十分重要。比如隱私計算、智能化識別、動態(tài)行為分析等等，基于這些新技術(shù)體系，數(shù)據(jù)價值將得到更好地流動。范淵認為，未來數(shù)據(jù)在很多場景中，會在合理合法的前提下得到更大化的應(yīng)用，而過去，有些企業(yè)在打擦邊球，但事實上證明，靠打擦邊球是不能持續(xù)發(fā)展的。

（作者：白楊 編輯：李清宇）