《數據安全法》解讀｜數據安全合規，穩了(le)！

發布時(shí)間：2021-06-21

著名的《經濟學人》雜(zá)志斷言：“數據是新時(shí)代的石油。”

2020年4月，國務院發布的《關于構建更加完善的要素市場化配置體制機制的意見》中，數據被正式列爲“新型生産要素”。作(zuò)爲一種新型的關鍵生産要素，數據已成爲推動經濟高(gāo)質量發展的新動能(néng)。

一方面是數據的指數級增長，根據國際權威機構Statista數據的統計(jì)和(hé)預測，2020年全球數據産生量預計(jì)達到(dào)47ZB，到(dào)2035年這(zhè)一數字将達到(dào)2142ZB，年複合增速近30%。

另一方面，數據又面臨着日益加劇(jù)的洩露、篡改及訪問控制等安全風(fēng)險。根據Radware公司發布的《2018-2019年全球應用(yòng)及網絡安全報(bào)告》數據顯示，35%的受訪企業所遭遇的網絡攻擊的主要目标是數據竊取。據統計(jì)，2020年全球公開(kāi)範圍内報(bào)告了(le)3932起安全洩露事(shì)件，洩露的數據達到(dào)370億條。而2019年這(zhè)一數字是151億條。

數據洩露或丢失給企業造成了(le)巨大(dà)的經濟損失。IBM發布的《2020年數據洩露成本報(bào)告》顯示，2020年數據洩露事(shì)件給企業造成的平均損失達386萬美(měi)元。據不完全統計(jì)，全球每年有近百萬的企業因數據丢失而倒閉。

數據安全問題給全球各國敲響了(le)警鐘(zhōng)，截止目前有100多個國家對(duì)此進行立法。以大(dà)家耳熟能(néng)詳的歐盟GDPR《通用(yòng)數據保護條例》——被譽爲歐盟史上(shàng)最嚴的數據保護法——爲例。根據這(zhè)項法規，企業在數據方面的違規，可能(néng)會(huì)面臨高(gāo)達2000萬歐元（約合人民币1.53億元）或占企業全球年收入4%的罰款。在GDPR推出之後，Google和(hé)Facebook就分别收到(dào)了(le)39億歐元和(hé)37億歐元罰款的訴訟。

另外(wài)，美(měi)國CCPA《加州消費者隐私保護法》、英國DPA2018《數據保護法》、瑞士DPA《聯邦資料保護法》、巴西《通用(yòng)數據保護法》、印度《2018年個人數據保護法案（草案）》等，均提出了(le)數據安全合規方面的強制要求，從(cóng)數據全生命周期、數據應用(yòng)場景、數據技術等各個方面規劃了(le)完整的數據安全保護體系。

數據安全基本要素視(shì)圖

來(lái)源：《全球數字經濟浪潮下(xià)數據安全保護體系》，信息安全與通信保密雜(zá)志社

日前，我國也(yě)正式發布了(le)數據領域的基礎法律《數據安全法》，開(kāi)始從(cóng)國家立法層面，爲數據的全生命周期安全保護提供法律依據，推動數據在安全合規的前提下(xià)實現(xiàn)價值利用(yòng)。

第一，數據是企業的核心資産，但(dàn)數據究竟包含哪些(xiē)範疇？早前的《網絡安全法》第十八條規定，國家鼓勵開(kāi)發網絡數據安全保護和(hé)利用(yòng)技術，促進公共數據資源開(kāi)放(fàng)，推動技術創新和(hé)經濟社會(huì)發展。可以看(kàn)到(dào)，在《網絡安全法》範疇内，強調的是“網絡數據”的概念。

《數據安全法》第三條規定，數據是指任何以電子或者其他(tā)方式對(duì)信息的記錄，即包括了(le)電子數據和(hé)非電子形式的數據，而《網絡安全法》不包含非電子形式的數據。也(yě)就是說，這(zhè)次納入數據保護的範圍擴大(dà)了(le)。

第二，數據隻有在流動、共享以及使用(yòng)中才能(néng)發揮其最大(dà)價值，但(dàn)前提在于保證數據安全可控。以企業爲例，爲了(le)滿足開(kāi)發、測試等工(gōng)作(zuò)負載的需求，一份生産數據往往會(huì)帶來(lái)7-8份數據副本，而任意一份副本都存在數據洩露的風(fēng)險。因此，必須有相應的數據使用(yòng)和(hé)數據安全技術作(zuò)爲支撐。

《數據安全法》第十六條指出，國家支持數據開(kāi)發利用(yòng)和(hé)數據安全技術研究，鼓勵數據開(kāi)發利用(yòng)和(hé)數據安全等領域的技術推廣和(hé)商業創新，培育、發展數據開(kāi)發利用(yòng)和(hé)數據安全産品、産業體系。這(zhè)條規定對(duì)于我國發展自(zì)主可控的數據使用(yòng)和(hé)數據安全管控技術，如數據副本管理(lǐ)CDM技術等，具有重要的指導意義。

金(jīn)融和(hé)運營商作(zuò)爲對(duì)數據安全合規性要求極高(gāo)的行業，實際上(shàng)已經開(kāi)始在測試環境、準生産環境乃至核心生産環境部署CDM技術，滿足數據敏捷使用(yòng)和(hé)數據安全管控的需求。而在這(zhè)些(xiē)行業實踐和(hé)《數據安全法》的引領下(xià)，相信國内CDM技術即将迎來(lái)更大(dà)的發展空(kōng)間，Gartner也(yě)預測CDM技術将在未來(lái)5-10年内進入“實質生産的高(gāo)峰期”（Plateau of Productivity）。

第三，《數據安全法》第三條規定，數據處理(lǐ)，包括數據的收集、存儲、使用(yòng)、加工(gōng)、傳輸、提供、公開(kāi)等。這(zhè)意味着數據安全保護責任覆蓋了(le)數據活動的全流程。

對(duì)于現(xiàn)代企業組織來(lái)說，複雜(zá)的數據保護遠不是“一招鮮吃遍天下(xià)”那麽簡單，需要從(cóng)數據獲取、數據存儲、數據構建、數據使用(yòng)、數據歸檔到(dào)數據銷毀的數據全生命周期全面部署，這(zhè)當中涉及多種數據保護技術組合拳的靈活運用(yòng)。

上(shàng)訊信息ADM敏捷數據管理(lǐ)平台以CDM技術爲核心，在保證數據敏捷使用(yòng)的前提下(xià)，融合了(le)數據備份、快(kuài)速備份校驗、數據脫敏、數據快(kuài)速交付與管理(lǐ)、數據訪問權限管理(lǐ)、數據庫審計(jì)等多種數據保護策略。一方面當遭遇災難時(shí)候能(néng)夠幫助企業及時(shí)恢複數據，保證企業業務的連續性運行；另一方面利用(yòng)涵蓋數據全生命周期的統一集中管控，消除數據使用(yòng)過程中的敏感數據洩露和(hé)高(gāo)危操作(zuò)的風(fēng)險，極大(dà)提升了(le)企業數據資産的安全強度。

總之，對(duì)于CIO來(lái)說，數據是企業的命脈，必須謹慎地保護企業數據。《數據安全法》的頒布，讓CIO們更加迫切地意識到(dào)，必須完善數據管理(lǐ)體系，通過諸如CDM等可靠的數據管理(lǐ)技術手段，實現(xiàn)數據安全與合規的落地，繼而在此基礎上(shàng)達成“業務數據化、數據資産化”的目标。