《中華人民共和國資料安全法》
第二十二條
國家建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制。國家資料安全工作協調機制統籌協調有關部門加強資料安全風險資訊的擷取、分析、研判、預警工作。
1條款解讀
關 鍵 詞
安全 風險 評估 關聯 落實
制度 保護 資訊 協調 工作 機制
●核心目的:通過“自上而下”的角度對資料安全風險集中開展治理工作;本條通過“統籌協調”闡釋國家對收集和擷取資料安全資訊并合力進行整合分析的能力;
●法律條款重點“落實”:本條強調的資料安全風險評估、報告、資訊共享、監測預警機制是《中華人民共和國國家安全法》規定的風險預防、評估和預警相關制度的資料安全領域的具體落實;(即:《中華人民共和國國家安全法》第四章第三節建立了風險預防、評估和預警的相關制度,規定國家制定完善應對各領域國家安全風險預案等);
●法律條款重點“關聯”:
(一)本條與《中華人民共和國網絡安全法》第51條進行關聯(即:本條與《中華人民共和國網絡安全法》第51條強調國家建立網絡安全監測預警和資訊通報制度進行關聯);
(二)本條與《中華人民共和國網絡安全法》第52條進行關聯(即:本條與 《中華人民共和國網絡安全法》第52條強調的CII建立健全本行業、本領域的網絡安全監測預警、資訊通報制度、報送網絡安全監測預警等進行關聯);
(三)本條與《中華人民共和國密碼法》第17條進行關聯(即:本條與《中華人民共和國密碼法》第17條強調針對密碼的安全監測預警、安全風險評估、資訊通報、應急處置、協同關聯等);
●法律條款内部“關聯”:本條在強調“國家資料安全工作協調機制統籌協調有關部門加強資料安全風險資訊的擷取、分析、研判、預警工作”中,與本法第六條進行關聯(即:《資料安全法》第六條明确的國家各個層級對資料安全監管職責定位進行關聯,統籌協調網路資料安全和相關監管工作,為國家資料安全工作協調機制的建立尊定基礎);
●行政法規重點“關聯”:本條與《關鍵資訊基礎設施安全保護條例》第23條進行關聯(即:本條與《關鍵資訊基礎設施安全保護條例》第23條強調的國家網信部門統籌協調有關部門建立網絡安全資訊共享機制、網絡安全資訊共享等進行關聯);
●部門規章重點“關聯”:
(一)本條與《國家網絡安全事件應急預案》中的“3.1預警分級”進行關聯(即:本條前半部分與《國家網絡安全事件應急預案》3.1中劃分的網絡安全事件預警等級進行關聯(紅色——特别重大、橙色——重大、黃色——較大、藍色——一般網絡安全事件));
(二)本條與《國家網絡安全事件應急預案》中的“3.2 預警監測”進行關聯(即:本條前半部分與《國家網絡安全事件應急預案》3.2中強調的各機關按照“誰主管誰負責、誰運作誰負責”的要求開展各行業、各省份的網絡安全監測工作等);
(三)本條與《國家網絡安全事件應急預案》“3.3 預警研判和釋出”進行關聯(即:本條後半部分與《國家網絡安全事件應急預案》3.3中強調的監管資訊研判、預警、預警資訊等進行關聯);
●制度銜接角度:本條強調的資料安全風險評估、報告、資訊共享、監測預警機制是國家安全制度的組成部分;
●保護階段角度:展現事前、事中、事後全方位結合。
(一)事前保護義務:本條提到的資料安全風險評估、報告和資訊共享構成了資料安全保護的事前保護義務;
(二)事中保護義務:本條提到的監管預警機制構成了資料安全保護的事中保護義務;
(三)事後保護義務:本條雖未明确提到事後保護的應急處置機制,但通過本條強調事前的評估、事中的監測預警實際都為事後保護的應急處置建立提供了支撐;
●資料風險資訊:
(一)來源分類:自主監測資訊和外部情報資訊;
(二)類型分類:安全事件資訊、威脅資訊、漏洞資訊、态勢感覺資訊等;
●資料安全監管機制:指基于資料安全風險資訊的資訊源,通過采用各種技術手段持續動态地監測風險與惡意行為,由及時提供警告的機構、制度、網絡、舉措等共同組成的機制,其作用在于能夠促進實作提前回報,及時布防,防止或者減少風險發生的可能性,最大限度地消除或降低事故發生的機率。
2風險洞察
政務資料安全風險
共性問題
(一)客觀性:政務資料安全風險的客觀性是對其進行法律規制的前提。政務資料安全風險并非人們主觀臆造的,雖然政務資料安全風險大多發生在虛拟空間,但造成的損失确實客觀存在的;
(二)廣泛性:政務資料安全風險具有跨時空特性,任何時間、地點都可能發生安全風險。政務資料安全風險具有跨群體因素限制特性,任何年齡、性别、财富等都可能發生風險隐患;
(三)動态性:政務資料安全風險可發生在資料處理活動中的任一環節,并且有可能會産生連帶反應,使低風險轉變為高風險、原初風險轉變為新風險,持續增強資料安全風險的深度及覆寫面。
特性問題
(一)管理部門職責問題:随着技術發展、政府部門的橫縱關聯及資料的共享,政府部門在收集、彙聚的資料大多都是跨領域、多部門的政務資料,使其在政務資料在“誰采集、誰存儲、誰使用”存在部門之間的職責不清晰問題;
(二)政務資料使用權限混亂問題:跨領域的政務資料往往存在于多個部門,在對政務資料使用權限上存在混亂、模糊現象;
(三)全鍊條的容災備份問題:政務資料存在單個部門隻對自身部門的重要政務資料進行完備的容災備份機制,對于跨領域、多部門的政務資料缺乏容災備份意識及機制;
(四)資料共享風險隐患:随着資料共享、多部門關聯,讓資料多跑路、群眾少跑路等要求,必然會導緻資料的暴露面增大。是以,高品質的政務資料容易受到攻擊者的非法竊取及關聯分析,造成的風險是關聯的,需加以重視。
(五)資料惠民風險隐患:政務資料惠民是政務資料核心作用之一,但對面向公衆的政務資料缺乏使用監管措施和技術手段。
企業資料安全風險
企業資料安全風險側
(一)攻防角度。針對企業資料和應用的攻擊行為愈發激烈,目前無論從企業外部進行攻擊或從企業内部産生威脅,即使将資料安全問題上升到法律高度,仍無法有效規避資料被竊取所帶來的風險;
(二)技術防護角度。企業往往通過購買安全裝置、應用産品、安全服務等實作資料安全防護,主要聚焦在審計、加密、行為控制、備份等能力上,但此類單點購買安全能力的方式屬于事後性補救處理,無法真正解決資料安全問題;
(三)内部安全威脅角度。很多企業内部的安全體系是從屬位置(即:附屬于核心業務),并不受企業負責人的直接關注,更多由安全主管部門或資訊化部門管理。當假定以“敵已在内、敵将在内”(包括内部人員)為業務模式時,會導緻上級權限開口過大、下級權限過窄的問題,造成權限控制不合理問題;
(四)思想固化問題。重業務、輕安全的思想一直是企業的通病,但随着近些年政策、法規、标準等的出台,監管力度的持續增大,重業務輕安全的思想有所改善,但突如其來的疫情,對企業的經營進行了沖擊,使重業務、輕安全的思想又有所起伏,需要在此層面加以重視。
企業資料安全合規側
(一)管理者與被管理者沖突問題。管控的目的實際是為了削弱沖突的内在張力。但目前企業通過技術控制賦予業務流程、通過基于合規導向的組織控制賦予制度章程,貫穿流程和制度從源頭解決沖突與沖突的能力還亟需提高;
(二)企業資料合規體系化問題。随着國家層面提出“安全與發展”并重的大原則下,安全合規相關政策、法規、标準、指南等持續出台,有些是以網絡安全為核心、有些是以資料安全為核心,但網絡安全與資料安全又存在着交集,這就導緻企業在基于法規要求進行合規建設時,存在無從下手、重複建設、浪費資源等問題,是以,在企業資料合規建設上,缺少以能力為導向的安全合規體系化、全局化、實戰化的元件安全子產品,滿足持續出台的政策标準(即:缺少形成可以疊代的元件安全子產品);
(三)共性與特性的企業資料合規問題。不同的企業的核心業務及戰略方向會存在差異,如何結合自身定位及未來戰略,将能滿足目前與未來的共性合規能力、結合特定場景的合規能力進行區分與拆解,共性應是部分滿足現在、重點滿足未來的合規能力建設,特性應是重點滿足現在、部分滿足未來的合規能力建設,将共性與特性進行結合,打造與自身業務深入融合安全合規能力(這裡可重點考慮給予資料分類分級的共性,映射場景化的特性,并以此為基礎進行安全合規建設)。
個人資訊安全風險
個人資訊安全風險側
(一)主動收集預設問題。随着資訊收集技術手段的發展,收集個人資訊變得更加便捷、更加細化、更加全面,但在技術特征上普遍都采取了“預設主動收集”個人資訊,而非“預設關閉狀态”或“預設被動收集狀态”,是以,預設主動收集狀态可能造成過度收集、違背告知-同意原則、非法利用、資訊洩露等風險,應預設關閉、按需、按條件開放收集;
(二)社會關系網映射超範圍個人資訊價值問題。人類的社會發展大緻可分為族群、部落、酋邦、國家四個階段,在四個階段中,國家被定義為最進階,但從範圍的角度來講,國家形态是小于社會關系形态的,社會的最小機關是家庭,個人又是家庭中的成員,那麼個人與個人(包括:境内外)、個人與家庭、個人與組織、個人與同頻的意識形态、個人與某個空間狀态的凝結等,形成了龐大的社會關系網。基于個人的社會關系網恰恰是數字化時代個人資訊價值最大展現,人類的貪婪、僥幸、欲望恰恰是人類最大的缺點以及最大的動力源,是以,個人資訊處理者為追求利益、追求價值最大化等考量,很有可能會對個人資訊進行超範圍收集、超範圍處理及超範圍利用等風險;
(三)個人資訊傳輸風險。現有隐私保護法律法規還需進一步完善、相應個人資訊保護技術不完善,個人資訊資料在傳輸過程中容易失去管控,不但可以直接造成海量的個人資訊洩露,而且基于大資料多源異構的特點,能夠通過對資料集的資料挖掘發現人的行為、習慣、軌迹、狀态等隐私資訊。
個人資訊安全法規側
(一)維權成本問題。個人資訊主體遭到侵犯後,經常會出現由于維權成本高而放棄使用法律維護自身權利(即:法律救濟成本高、舉證風險成本高(證據));
(二)管理強制性問題。在大陸雖然技術資料出台一些相關的标準、政策、指南、要求,資料與個人資訊雖然存在包含與被包含的關系,但個人資訊有其獨特的社會屬性和經濟價值。從目前法規上來看,基于個人資訊主要還是在指導性的檔案上,實施大多取決于主體的配合程度,缺少強制性的要求及措施。
來源 | CCIA資料安全工作委員會
本文作者 | 杭州美創科技股份有限公司 王澤
![吊炸天的1500億,到底有多魔性[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)