資料安全審查綜合解讀 | 如何從被動合規到主動戰略風控？

8月27日，《資料安全法》解讀與阿裡雲三大合規方案線上直播活動完美收官。

阿裡雲進階安全咨詢專家李娜對資料安全相關法律法規做了綜合解讀，她指出，資料安全合規不能僅看片面，需要有整體的資料安全觀，知其然也要知其是以然，真正做到從被動合規到主動戰略風控。

PROFILE

李娜

阿裡雲進階安全專家

信安标委國家标準和公安安全行業标準評審專家

阿裡雲國家部委級大項目安全架構師兼混合雲安全咨詢業務負責人

《網絡安全法》作為基礎性法律，有哪些比較重要的資料安全要求？

01

1)  第二十一條： 國家實行網絡安全等級保護制度。防止網絡資料洩露或者被竊取、篡改。

     解讀

這一條說明，等保2.0測評也包含資料安全相關内容。

2) 第三十一條：國家對重要行業和領域，以及其他一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

這一條說明，涉及關鍵資訊基礎設施的資料洩露問題，在等保基礎上，需要重點保護，包括但不限于商用密碼應用安全性評估，資料安全審查、雲計算評估等。

3) 第三十七條：關鍵資訊基礎設施的營運者在境内營運中收集和産生的個人資訊和重要資料應當在境記憶體儲。确需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。

這一條說明，向境外提供資料，需要經過網信部門評估後方可出境。

4) 第七十六條：術語中網絡安全，包括保障網絡資料的完整性、保密性、可用性的能力。

這一條說明，網絡資料的完整性、保密性、可用性是網絡安全的基礎能力，需納入基礎安全防護能力的範疇。

《資料安全法》的立法程序非常迅速，這是為什麼？

02

這要從《資料安全法》的立法背景來看：

1. 社會經濟發展層面，數字經濟快速發展，資料成為“國家基礎性戰略資源”，保護這些資料保護需要法律依據；
2. 資料開發利用層面，資料已經從生産要素轉變為生産力，促進資料合理開發利用需要法律依據。

鑒于上述兩個需求的迫切性，資料安全法從立法規劃到正式頒布非常迅速，而且在其他行政法規中及時得到具體應用。

《資料安全法》的适用範圍是什麼？

03

1) 境内開展資料處理活動及其安全監管；

2) 境外開展資料處理活動，損害國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任；

這裡明确了資料安全屬地管轄為主，保護性管轄為輔。

《資料安全法》每章重點講了什麼？

04

1) 第一章總則，主要技術要求包括建立資料安全治理體系以及主要監管為國家網信和行業主管等。其中資料安全治理比較重要，包括資料梳理、資料安全風險分析、分類分級、監控預警、資料安全規劃等較多内容，這些内容都涵蓋在資料安全咨詢的服務範圍。

2) 第二章資料安全與發展：主要包括支援資料安全評估與認證、建立資料交易管理制度等。

第一，資料安全評估與認證有可能像等保和密評一樣成為數安法落地的檢查手段；

第二，建立資料交易管理制度而不是資料交易制度，重點在資料交易的管理。

3) 第三章資料安全制度，包括最受關注的資料分類分級、資料安全審查和資料出口管制。

4) 第四章資料安全保護義務，主要包括資料安全管理、風險監控與處置和資料處理及服務三部分。

資料進行中的資料來源核實及記錄，主要針對的是資料交易場景中資料源的權屬，不是傳統資料安全的通路溯源驗證場景。

本章最重要的是，資料出境，未經準許，不得對外提供。

5) 第五章政務資料安全與開放，重點是國家制定政務資料開放目錄，建構統一規範、互聯互通、安全可控的政務資料開放平台。

建議各機關遵循相關标準與規定，不要自行制定資料目錄，可能導緻互聯互通困難。

6) 第六章法律責任，簡單地說，多條處罰，包括除了罰款，還可以責令停業整頓、吊銷相關業務許可證或營業執照。

可依法追究直接責任人的刑事責任。

第七章附則：資料安全法今年9月1号實施。

《資料安全法》有哪些條文需要重點關注？

05

1) 《資料安全法》第二十一條的資料分類分級。首先國家建立資料分類分級保護制度，對資料實行分類分級保護。國家資料安全工作協調機制統籌協調有關部門制定重要資料目錄，各地區、各部門應當按照資料分類分級保護制度，确定本地區、本部門以及相關行業、領域的重要資料具體目錄。

a)  國家部委或行業的分類分級，盡量采用已有的資料分類标準或目錄，不建議單獨制定專門的分類分級制度，避免因資料目錄不同而影響資料集交換與共享。

b)  資料分類是為了更好地區分管理對象，分級是為了實施不同程度的保護，資料分類一定是面向某種管理目标、監管手段的，不能一言以蔽之。

2) 《資料安全法》十八條關于國家支援資料安全檢測評估與認證服務的發展。

a)  标準37988資料安全能力成熟度模型，可以作為資料安全法檢測落地的抓手。該标準已在ISO立項，有可能成為國際資料安全标準；

b)  标準37988資料安全能力成熟度模型的1-5級不能和等保作簡單的對應關系，企業确定自己的資料安全能力等級需要按照預評估的實際情況而定，能力不具備時盲目追求高等級可能整改困難。

3) 《資料安全法》第二十七條強調的也是全流程資料安全管理，涵蓋資料安全的核心八大能力，包括資料安全生命周期的分類分級、傳輸加密、存儲安全、資料脫敏、資料資産管理、終端資料安全、監控與審計、資料鑒别與通路控制。這些核心的技術能力加上資料管理能力和運維能力，是DSMM評估與認證檢查的核心技術能力，如果滿足DSMM評估與認證檢查，資料安全法提出的技術要求基本滿足。

《資料安全法》和《網絡安全審查法》之間是什麼關系？

06

新修訂的《網絡安全審查辦法》将資料安全納入網絡安全審查範圍。

《網絡安全審查辦法》修訂前後比對情況：

1) 第二條：關鍵資訊基礎設施的營運者，資料處理者，開展資料處理活動，可能影響國家安全的，将進行網絡安全審查。

資料處理活動是重點規範對象

2) 第六條：增加了掌握超過100萬使用者個人資訊的營運者赴國外上市，必須向網信辦申報安審。

對資料營運者作出了100萬的定量描述。

3) 第四條：審查機關增加了中國證監會；

4) 第十條：網絡安全審查評估内容增加了資料處理活動和海外上市場景，其中重點增加的國家安全風險有核心資料、重要資料或大量個人資訊被竊取、洩露毀損以及非法利用或出境風險，國外上市後關鍵資訊基礎設施、核心資料、重要資料或大量個人資訊被國外政府影響、控制、惡意利用的風險。

網絡安全審查将資料處理活動及海外上市增加為評估内容，重點評估的是資料安全。

5) 第十三條：将網絡安全審查的時間從45個工作日，延長到3個月。

6) 最關鍵的第一條：為了確定關鍵資訊基礎設施的安全，執法依據除了《國家安全法》、《網絡安全法》，增加了《資料安全法》；第十六條，違反本辦法規定的，處罰依據增加《資料安全法》。

這二條說明《資料安全法》被列為審查和處罰的依據。

是以整體來看，資料安全不僅有相關的資料安全能力評估認證作為抓手，還有網絡安全審查作為檢查和處罰手段。

資料安全法正式實施在即，我們應該如何看待資料合規？

07

資料安全要從被動合規轉化為主動戰略風控

首先，總體國家安全觀中，網絡安全是16個之一。從國家安全法的安全觀到《網絡安全法》的網絡空間主權到《資料安全法》的具體條文，其内容一脈相承。目前涉及資料安全的還有《個人資訊保護法》、民典法、刑法修正案（十一）等法律，都涵蓋相關内容。

其次資料安全相關法律法規和政策的落地，正在經曆一個逐漸完善監管手段、提升監管能力的過程，“讓法律長出牙齒”，目前國家不僅在解決“有法可依”的問題，也在解決“違法必究”的問題。

在此情況下，企業對資料安全合規的了解不能片面，甚至懷有不檢查不處罰的僥幸心理，需要将資料安全合規風險上升到業務風險，甚至企業風險，積極采納企業法務與安全合規團隊意見，或者聘請專業的安全咨詢團隊解決問題，確定對政策趨勢有足夠的敏感性和前瞻性，從被動資料安全合規到主動戰略風控。

  阿裡雲安全  

國際領先的雲安全解決方案提供方，保護全國 40% 的網站，每天抵禦 60 億次攻擊。

2020 年，國内唯一雲廠商整體安全能力獲國際三大機構（Gartner/Forrester/IDC）認可，以安全能力和市場佔有率的絕對優勢占據上司者地位。

阿裡雲最早提出并定義雲原生安全，持續為雲上使用者提供原生應用、資料、業務、網絡、計算的保護能力，和基礎設施深度融合推動安全服務化，支援彈性、動态、複雜的行業場景，獲得包括政府、金融、網際網路等各行業使用者認可。

作為亞太區最早布局機密計算、最全合規資質認證和使用者隐私保護的先行者，阿裡雲從硬體級安全可信根、硬體固件安全、系統可信鍊、可信執行環境和合規資質等方面落地可信計算環境，為使用者提供全球最高等級的安全可信雲。