《浅谈《中华人民共和国数据安全法》》由会员分享,可在线阅读,更多相关《浅谈《中华人民共和国数据安全法》(36页珍藏版)》请在金锄头文库上搜索。
1、浅谈中华人民共和国数据安全法 背景千呼万唤的中华人民共和国数据安全法于2021年6月10第十三届全国人民代表大会常务委员会第二十九次会议通过,并在2021年9月1日正式执行。恰巧作者关注数据安全多年,近期也看到很多关于数据安全法解读的文章,有些观点不敢苟同,数据安全法之于数字经济、之于信息化、之于从业者意义非凡,必须对其有正确的认识,才能更好的开展工作,本文就是基于作者对数据安全法的全面学习并结合相关工作经历给出的一些看法,挂一漏万、抛砖引玉。1、认识数据安全法的核心以及思想数据安全法虽然是冠以安全的名义,但是其核心是明确数据发展和数据安全同等重要,数据发展是目的,数据安全是保障,必须协同,任
2、何割裂的分析和解释都是片面的。认识这一点,就能在数据安全设计中不要追求放之四海而皆准的数据安全通用方案,而是必须结合数据开发利用的实际情况进行量身定做。同时在做数据开发利用过程中必须兼顾数据安全,因为法律明确要在保障数据安全的前提下做数据开发利用。落实数据安全法是所有信息化相关从业者(无论从事的是数据处理活动还是数据安全监管活动)必须践行的责任和义务,同时要具有维护数据安全就是维护国家主权的思想认识,数据安全无小事,数据安全责任重大。2、对数据和数据处理有了一个明确的定义,突出记录的概念数据安全法对数据和数据处理作出了明确的定义,任何以电子或者其他方式对信息的记录都成为数据。这里的电子方式很容
3、易理解,所谓其他方式就需要在具体工作中理解,作者认为记录在一切介质(非电子形式,打印在纸上的、刻在木头上、印刷在布匹上、烧制在瓷器上等)的信息都隶属于数据范畴。特别强调了其“记录”的特性就是要反映客观存在,也就是体现物质特性,关于这一点请参考用物质的特性来看待信息化中的数据,一些问题更容易解决。所以在对数据进行开发和安全保护时需要考虑其记录的特性。关于数据处理也明确了其范围包括收集、存储、使用、加工、传输、提供、公开等,也就是说在上述的处理行为中要重点确保数据的安全性和行为的关联性。数据的安全性作者在后续的文章中给与说明,而数据和行为关联性的安全问题往往被大家忽略,相关的思想请参考关联是信息化
4、的基础,密码是关联的核心保障。3、对数据安全给出了明确的界定数据安全法明确“数据安全,是指通过采取必要的措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”“有效保护”,可以理解为对数据本身的基础防护(对内),可以通过相关技术手段实现,并不难,在整体上可以以技术手段为主,管理手段为辅的手段落实。“合法利用”,可以理解为对数据在应用层面的保护,作者认为这一点才是数据安全的核心,落实的复杂度要高很多,在设计过程中需要在物权问题、影响范围问题和业务逻辑问题三个维度考虑合法问题,相关的观点请参见集中模式下(云)的安全设计思想。这些问题的解决多以管理手段为主、技术手段为辅。“持
5、续安全状态”,这个问题就需要从整体上进行设计和解决,将数据置于一个完全可控的环境中,才能将数据的全生命周期进行安全状态保障。解决这个问题作者认为可以采用数据包装的思路。传统物质的包装,一般是满足业务需要、安全需要和价值需要,数据的包装则是以满足安全需要为主。相关的观点和思路参见网络安全从“木桶原理”到“胶囊原理”的思想转变。4、以数据为关键要素的数字经济,需要重点解决数据安全特别是数据确权问题数据安全法明确“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”此处的描述进一步明确数字经济必须解决数字安全问题,特别强调是要
6、解决数据权益问题(数据确权),数据确权是数字经济的关键要素之一,也是数据安全重点的功能方向之一。作者一直认为数据就是一种物质用物质的特性来看待信息化中的数据,一些问题更容易解决,在表达方式上采用物质的表达方式是最为有效的,所以数据确权就是将数据和所有者身份、客观时间、真实空间(环境)进行有效关联,并确保三个关联维度信息和关联方法的可信性和可证明性,就能保障数据在确权层面达到真实、关联、合法,并经得起质证。相关具体方法可参考“时间”是人类最客观、最实用的收纳箱与保险箱、信息化被忽略的基础设施:时空管理服务基础设施、“认证、授权、责任鉴定”的前世与今生等。5、在强调法制的前提下,同样强调社会公德和
7、伦理数据安全法是在依法制网的大背景下诞生的,是一部在网络空间中进行数据 发展必须遵守的法律。大家都知道在现实的社会治理中有法治和理治两种方式,所谓理治就是通过道德约束和伦理约束来治理相关行为,既然现实社会和网络社会已经相互融通,那么现实中社会中的理治在网络空间中同样需要贯彻和执行。数据安全法,就将理治约束进行了明确,这一点就提醒所有的从业者在进行数据发展和处理过程中在强化法制的前提下必须充分考虑社会公德和伦理层面的理治问题,这一点作者希望能引起从业者的高度认识。在数据处理中进行理治就需要从业者从坚守商业道德、职业道德 ,诚实守信,履行义务,勇于承担责任等几个层面进行思考和设计,数据承载优良文化
8、和品格是必须考虑的重点工作。6、再次强调数据安全和数据发展需要共同培育好的环境虽然数字时代已经到来,信息化发展也十分迅速,但整体上还处于起步阶段,还存在体制不健全、认识不到位、发展不均衡、技术不自控 、意识不完备、人才不充足等各种问题,在整体上看,数据发展和数据安全的整体环境还存在问题。鉴于此,数据安全法明确提出需要各界共同参与数据发展和数据保护工作,形成全社会共同维护数据安全和促进发展的良好环境。这就给从业者提出了基于大局共享认知、广联外延、共同发展、共建共享等更高层级的从业要求。数据安全和数据发展的良好环境的形成人人有责,从业者更需要高层次要求自己,将培育良好环境作为一切工作的重点考虑指标
9、,这是从业者践行数据安全法,履行义务承担责任重要表现。未完待续 。【注:以上仅是作者肤浅认识,仅供参考】参考文章数据管理部门(大数据局)业务开展之思考在“+”时代,对人还是对企业“合作”应是常态,安全行业更需要如此信息化规划和建设应贯彻“可传承”的原则信创:时时“中国心”,件件“中国造”,事事“可自管”,应用“要策略”“密评”改变密码应用管理流程,“密评机构”能否优化行业格局?“以人为本” 对于信息化和网络安全建设意义深远年之悟:初始于安全、沉淀于文化、传承于期望、寄托于未来当今,最大竞争是方法论的竞争,方法论才是单位或个体的核心财富每个从业者都要面临的问题:如何选择合适的合作伙伴?摆脱狭隘安
10、全限制,“大安全”才是解决问题的根本(顺解安全理论设计)网络安全业务开展的基本思路,做到每一点都会有所成就怎么寻找良臣明君?是每个人都要面对的问题信息化中【判断是否可信】,不是件容易的事情,要擦亮眼睛工业系统安全设计思路:人机两安全、内外双螺旋信息中心,如何摆脱“夹板气”“依天、接地、可执行”,做规划的基本原则面对困难重重的2021年,可以尝试一下“新模式”2021年,一切从思考开始用物质的特性来看待信息化中的数据,一些问题更容易解决网络安全可否与门店互动形成覆盖,也许是网络安全走向平民化的重要契机关于数字签名的几十个观点,大家慢慢看电子证照:想说爱你并不容易“认证、授权、责任鉴定”的前世与今
11、生咨询与评估,是当下业务开展重要的入口,也是这个高速发展的时代解决问题最有效的办法信息化/网络安全思想:开放变好、刺激变强“安全意识与安全思想”重于安全手段,“安全设计”重于安全技术与产品密码管理服务平台,到底应该如何建设?信息化/网络安全思想:开放变好、刺激变强安全的高级目标是确保电子数据能成为电子证据请注意:网络安全行业尚处在起步阶段咨询(密码)在信息安全建设中的重要地位“行业咨询”对电子签名行业意义深远网络安全从“木桶原理”到“胶囊原理”的思想转变网络安全需要开放,如何开放?开放到什么程度?是值得思考的问题从“运营”角度思考信息化建设相关问题,供参考正确认识存证全面线上,你应该知道的思想
12、信息化被忽略的基础设施:时空管理服务基础设施“时间”是人类最客观、最实用的收纳箱与保险箱关联是信息化的基础,密码是关联的核心保障如何做到管理可控,是信创工作的核心,也是最大的难点信创工作既要有战略认识,更要有战术智慧“依法治网、以责服人”之职责管理体系设计数据资产保全体系设计方案一个电子签约平台设计思路集中模式下(云)的安全设计思想当下网络安全设计和建设中的几个基本思想供参考!当下,网络安全中最混乱的部分就是身份认证,那咋整呢?“新发地”,将开启物品追溯和溯源的新纪元7、明确国家负责推进数据基础设施建设,数字经济发展规划成为必要数据安全法明确规定要数据开发利用,并且要加速流动才能最大程度发挥数
13、据价值。大家都知道数据作为生产要素不像其他要素,数据是需要借助载体和基础设施来承载的。基于此数据安全法明确提出国家需要负责推进数据基础设施的建设,作者认为,数据基础设施包括数据和承载数据的设施两个部分,至于后者不必多说,像5G、工业互联网、大数据中心等都属于承载数据的基础设施部分。作者要重点说明数据部分,早在2017年国家信息化发展战略纲要就明确提出要对国家战略资源进行信息化开发,其中隶属国家战略资源的各种数据(比如:时空数据、人口数据、车辆数据、环境数据、环境数据、法人数据、信用数据、档案数据、统计数据等)都在开发范围,对于这些数据的开发,明确提出要战略数据和业务数据要分开、要统筹管理、要提
14、供认证手段和备份机制(注:具体内容请大家参见国家信息化发展战略纲要)。这些要求给出了数据开发和数据安全的相关指导原则,从业者在设计数据开发和数据安全保障时都可以借鉴和参考。数据开发和数据安全很重要,关系到方方面面的利益和责任,为此国家也明确要求省级以上人民政府应当将数据经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。这样的要求,给了从业者更多的行业机会,但挑战性更大,有必要在知天、知地层面多做一些工作,不要在受狭小范围的限制。(关于知天、知地的相关论述可以参考作者以往的文章“依天、接地、可执行”,做规划的基本原则)8、在强化技术研究、标准建设的同时,数据安全检测评估、认
15、证服务意义重大数据安全法强调技术研究和标准建设实属正常和必要,这不必过多做赘述。数据安全法同时提及要对数据做安全性检测评估和认证服务,此要求恰恰应引起从业者重视,因为数据安全性检测评估和数据认证服务即涉及业方面,又涉及安全方面,检测评估 、认证服务完全可以作为行业甚至产业进行落地。基于数据本身的多样性和特殊性,其对应检测评估和认证服务一定能做到百花齐放,希望从业者在做数据开发和数据安全业务时,有意识的考量其检测评估和认证服务,一定会有不错的收获。相关内容可参考建立完整的检测认证体系对信息化建设与管理的重要意义。9、数据安全人才培养仍然是重要任务和核心关键信息化、数据开发、数据安全等虽然发展多年,但因其技术的高密集性和更新的高频性,积累大量人才很困难,但也正是因为这个特点,人才对于这个行业就更重要。数据安全法明确提出数据安全人才培养意义重大,要长期贯彻执行。也正是基于此很多教育机构都先后开设相关安全专业,但这还远远不够。这样的现状对于从业者来讲是有很多机会可以挖掘的,最少数据安全人才培训就孕育着巨大的机会。另外也给从业者在设计相关体系时提供了一个原则性要求“可传承”,相关内容可参见信息化规划和建设应贯彻“可传承”的原则。总之,数据安全人才培养需要开拓的内
