9月7日上午,由北京天空衛士網絡安全技術有限公司與中倫律師事務所主辦,上海安言資訊技術有限公司承辦的“2022資料安全技術大會法律法規分論壇”以線上直播的方式在北京召開。
《資料安全法》、《個人資訊保護法》、《資料出境安全評估辦法》等法律法規的實施,旨在規範資料出境活動,保護個人資訊權益,維護國家安全和社會公共利益,促進資料跨境安全、自由流動,切實以安全保發展、以發展促安全。通過促進資料依法合理有效利用,充分發揮資料的基礎資源作用和創新引擎作用,加快形成以創新為主要引領和支撐的數字經濟,更好服務我國經濟社會發展。
在本次論壇上,來自中倫律師事務所、普華永道、天空衛士、神州雲科、上海安言的多位資深專家結合法律政策和實踐經驗,為我們帶來資料安全“技術+合規”的内容分享。
資料出境遵法律要遵從“三件套”,申報時“一看二慢三通過”
随着我國資料跨境傳輸機制“三件套”(《資料出境安全評估辦法》《個人資訊跨境處理活動安全認證規範》《個人資訊出境标準合同規定(征求意見稿)》)的陸續出台,可以預計,自2022年下半年開始,我國将進入資料跨境活動強監管時代,企業也将面臨資料跨境合規方案落地的嚴峻挑戰。中倫律師事務所 進階合夥人 陳際紅對資料安全出境相關法規遵從做了介紹。包括對資料跨境傳輸機制“三件套”的全面了解和選擇、企業資料跨境方案的制定和實施、“法律+技術”如何配合和實施。陳律師提到"我們把這個資料出境落地方案分成七步法,企業按照七步法可以有效的開展資料出境的相應的落地。這七步分别是:資料盤點和分類分級、出境相關業務場景識别與收集、選擇适配出境機制、風險自評估、合規整改、再次評估、去網信辦申報安全評估。”
中倫律師事務所 進階合夥人 陳際紅
《個人資訊保護法》落地支撐的法寶——以人為中心的資料安全體系
每一個人都是資訊的主體,在數字化轉型中,大量的個人資訊被收集。我們的個人資訊在不知情,或者沒有征得個人資訊主體的同意下,被大量收集。資料安全合規已經不單純的是一個技術性的問題,還涉及到了管理、規章、制度,權益等内容。北京天空衛士網絡安全技術有限公司合夥人、進階技術總監 楊明非 給我們帶來 《從個人資訊保護法到企業資料安全治理最佳實踐》為主題的内容分享。楊明非提到“資料安全治理是實作《個人資訊保護法》落地的最佳方式和技術。在資料安全建設的技術能力上,天空衛士可以實作“五能”,分别是為能識别、能控制、能阻斷、能追溯、能審計,這五個能力形成一個持續性的閉環,這樣,企業無論是基于合規、還是基于數字化轉型的支撐、資料安全治理的能力的評估,企業圍繞着這五個方面一定能有一個非常好的方式和方向去建設自己的資料安全的體系,這裡最重要的一點就是需要以資料為中心建構資料安全體系。天空衛士以人為中心的資料安全體系,可以對《個人資訊保護法》實作技術落地支撐。
北京天空衛士網絡安全技術有限公司合夥人、進階技術總監 楊明非
将律師的話轉換成技術的活兒
在隐私保護強監管與複雜個人資訊處理場景雙重驅動下,企業的隐私保護治理面臨巨大挑戰,面對挑戰,那麼企業具備什麼樣的能力,才能做好隐私治理的數字化的工作呢?或者說才能建設出适用于自己的隐私治理的數字化的平台呢?普華永道管理咨詢 合夥人 葉天斌從技術落地的視角與我們分享了企業如何通過數字化的手段來應對一系列資料合規的挑戰。葉總講到“企業合規工作非常難,可以說是如履薄冰。我們根據實踐,總結了三個基礎能力和四大數字化能力。三個基礎能力,包括對法律的熟悉能力、對标準的解讀能力、企業應用場景适配能力,就是說能夠把律師的話,轉換成技術的活兒。四大數字化能力,是指看得要遠,手腳要快,腦子要靈,心胸要大。”
普華永道管理咨詢 合夥人 葉天斌
應用安全也好,資料安全也好,都屬于可管、可控、可觀測的部分
《資料安全法》的實施, 提高了社會整體的資料安全保護水準, 促進了行業建康發展, 要想加強資料安全法的執行,資料安全當然是一個必不可少的技術門類或者話題,而安全的基礎是可視、可觀測。神州雲科 副總裁, 通明湖研究院副院長 吳靜濤就 《資料安全前提之可觀測性》為大家做了主題分享。什麼是資料安全的可觀測性呢?吳靜濤講到:“我們可以将網際網路了解為地面交通,道路上行駛的汽車,我們在路上在走的時候有紅綠燈體系,有收費站體系,路上還有警察在做巡邏,除此之外,還有一些違章拍攝的攝像頭,實際上是建構了一套非常完善的監控體系、可視化體系,我們通常在科技上稱為可觀測性的體系。這個原理用到網際網路上就是資料安全前提之可觀測性。”目前通明湖研究院在緻力于在傳統資料中心、雲中心和雲原生的環境中, 都可以實作無探針的可觀測能力, 減少黑箱存在, 為資料安全提供可見可管的前提。"