亚洲无码视频在线a_国产成人亚洲综合久久_18禁在线无码一区_伊人久久精品无码AV专区

 《中華人民共和國數(shù)據(jù)安全法》（下稱“《數(shù)據(jù)安全法》”）將在9月1日落地實施，這意味著中國在數(shù)據(jù)安全方面初步建立起一套法律架構(gòu)。

在數(shù)字經(jīng)濟蓬勃發(fā)展的今天，數(shù)據(jù)正成為企業(yè)關(guān)鍵的生產(chǎn)要素，于國家而言，也是具有戰(zhàn)略價值的核心資產(chǎn)。一家企業(yè)從數(shù)字化到智能化的轉(zhuǎn)型過程，本質(zhì)是對數(shù)據(jù)的積累、挖掘以及價值釋放。新法增加了企業(yè)的安全責任，為實現(xiàn)合規(guī)，企業(yè)需要針對數(shù)據(jù)保護增加成本，規(guī)避風險。

立法并非針對某一類企業(yè)，凡涉及數(shù)據(jù)處理的企業(yè)均在這部法律的調(diào)整范疇之內(nèi)?，F(xiàn)實中，一些企業(yè)因為信息化程度高，或業(yè)務(wù)事關(guān)國計民生，或存在跨國經(jīng)營等情況，對于該法的反應(yīng)更為敏感，對相應(yīng)的合規(guī)條款也更為關(guān)切。很多企業(yè)擔心：新法出臺后，過往積累的數(shù)據(jù)資產(chǎn)就像一個“歷史的包袱”，未來其合規(guī)性可能會被追溯。

政府、法律人士、數(shù)據(jù)安全技術(shù)的提供方，都在努力幫助企業(yè)達到數(shù)據(jù)的合規(guī)與安全，也試圖撫平和緩解法律給產(chǎn)業(yè)的沖擊。

國家工業(yè)信息安全發(fā)展研究中心大數(shù)據(jù)研究室主任楊玫表示，中國大數(shù)據(jù)、人工智能產(chǎn)業(yè)發(fā)展至今，在應(yīng)用層面已經(jīng)實現(xiàn)了全球領(lǐng)先，歷經(jīng)了市場的考驗。從國家政策角度看，希望產(chǎn)業(yè)先由市場引導，遵循自身的規(guī)律發(fā)展，而立法相對置后一些。過去幾年，有很多出臺相關(guān)法案的呼聲，但國家選擇在今年密集出臺，其實是遵循了市場的選擇，并且認為市場發(fā)展到這個階段，才是需要法律去規(guī)范的，才是需要安全和發(fā)展并重的。

瑞萊智慧CEO田天表示，當前數(shù)據(jù)的價值和安全性之間存在一個鴻溝，中間的矛盾愈演愈烈，原本對于簡單的數(shù)據(jù)流通和應(yīng)用，各方是可以形成共識的，隨著算法和算力的增強，數(shù)據(jù)本身的底層價值正在發(fā)生井噴，而與此相比，對安全性的保護和關(guān)注是滯后的。

IBM大中華區(qū)科技事業(yè)部網(wǎng)絡(luò)安全業(yè)務(wù)主管馮靚表示，短期來看，該法會給產(chǎn)業(yè)帶來一些陣痛，因為企業(yè)是安全責任的主要承擔者。長期來看，該法可以幫助產(chǎn)業(yè)走向健康和規(guī)范，促進企業(yè)真正提升安全意識。過去，對很多企業(yè)來說，數(shù)據(jù)安全是個可有可無的部門，如今成為了企業(yè)不可或缺的部門，數(shù)據(jù)保護將被納入到企業(yè)整體發(fā)展戰(zhàn)略當中。

中國信通院云計算與大數(shù)據(jù)研究所大數(shù)據(jù)部副主任閆樹表示，中國數(shù)字經(jīng)濟受到《數(shù)字安全法》的沖擊，是一個必要的過程，因為產(chǎn)業(yè)發(fā)展模式本身存在一些問題，這樣的模式對企業(yè)發(fā)展有利，但觸犯了國家和個人的權(quán)益，因此需要一些合理的改變。

《數(shù)據(jù)安全法》在規(guī)制什么

中倫律師事務(wù)所合伙人陳際紅對記者表示，《數(shù)據(jù)安全法》和先前的《網(wǎng)絡(luò)安全法》，連同籌備中的《個人信息保護法》，共同構(gòu)成了中國在網(wǎng)絡(luò)安全和數(shù)據(jù)保護方面的法律“三駕馬車”，它們定位各有不同，內(nèi)容互有交叉，而《數(shù)據(jù)安全法》監(jiān)管對象，主要是數(shù)據(jù)處理活動。

簡單來說，《數(shù)據(jù)安全法》對企業(yè)的數(shù)據(jù)處理活動，提出了五項監(jiān)管要求。第一，符合基礎(chǔ)性的合規(guī)要求，包括建立企業(yè)數(shù)據(jù)安全管理制度，有相應(yīng)的基礎(chǔ)措施和管理措施；第二，對數(shù)據(jù)做等級保護，需要企業(yè)做等級保護測評和備案；第三，進行數(shù)據(jù)分級分類，企業(yè)要根據(jù)分類結(jié)果采取相應(yīng)的管理措施；第四，識別核心數(shù)據(jù)和處理數(shù)據(jù)出境問題，比如年檢、年報審計；第五，管理數(shù)據(jù)交易中介，中介要審核雙方身份、流程交易記錄、制定審核清單等。

如果企業(yè)在運營中沒有符合這些法規(guī)要求，出現(xiàn)了嚴重的數(shù)據(jù)泄漏問題，那么將受到一定的經(jīng)濟懲罰，處罰對象以機構(gòu)、企業(yè)為主，包括直接負責的主管人員和其他直接責任人員，企業(yè)的罰款額從百萬元至千萬元級別不等，個人的罰款額在數(shù)十萬元級別。此外，涉事企業(yè)還可能被停業(yè)整頓、吊銷營業(yè)執(zhí)照。如果違反了國家核心數(shù)據(jù)管理制度且構(gòu)成了犯罪，還將被依法追究刑事責任。

北京瀛和律師事務(wù)所業(yè)務(wù)中心總監(jiān)高楠對記者表示，從監(jiān)管的角度看，《數(shù)據(jù)安全法》有三項明確，即明確了數(shù)據(jù)安全監(jiān)管的約談制度，但未明確主管部門的層級要求；明確了未履行數(shù)據(jù)安全保護義務(wù)的開展數(shù)據(jù)處理活動的組織、個人的法律責任；明確了違反《數(shù)據(jù)安全法》向境外提供重要數(shù)據(jù)的法律責任等等。

高楠還表示，該法輻射范圍廣泛，只要在華企業(yè)的日常經(jīng)營活動涉及數(shù)據(jù)生命周期的任何一個環(huán)節(jié)，境外企業(yè)涉及對中國有關(guān)聯(lián)的數(shù)據(jù)處理活動的，皆會受到該法的規(guī)制。

那么，對于一些企業(yè)過往的數(shù)據(jù)資產(chǎn)，其合規(guī)性是否會被追溯？

陳際紅這樣認為，合規(guī)是一個過程，新法頒布第二天企業(yè)立即合規(guī)，這也不太現(xiàn)實。通常來看，企業(yè)的實踐分兩個階段，合規(guī)之前的數(shù)據(jù)叫歷史數(shù)據(jù)，合規(guī)以后再進行授權(quán)、分類，對應(yīng)用場景做嚴格限制，這是一個新的起點。對歷史數(shù)據(jù)可以分為繼續(xù)用的和不再用的，對于不再用的數(shù)據(jù)，企業(yè)沒必要擔心，只要不泄露，就不會對主體帶來權(quán)益侵害；對于還要使用的數(shù)據(jù)，則是需要授權(quán)的。

三類企業(yè)關(guān)聯(lián)密切

《數(shù)據(jù)安全法》的立法并非針對某一類特定企業(yè)，凡涉及數(shù)據(jù)處理的企業(yè)均在其中，但在實際情況中，不同企業(yè)對該法的反應(yīng)不同。目前，具有信息化程度高、業(yè)務(wù)事關(guān)國計民生、涉及跨國經(jīng)營等特點企業(yè)，對于該法的反應(yīng)更為敏感。

馮靚表示，一些信息化程度高的企業(yè)明顯對新法更關(guān)注。新法籌備以來，很多企業(yè)已經(jīng)將業(yè)務(wù)上云或者上混合云，其數(shù)據(jù)并非僅存于私有數(shù)據(jù)庫或者數(shù)據(jù)中心之中。從技術(shù)上看，這些企業(yè)的數(shù)據(jù)保護工作難度較大。

馮靚還提到，一些企業(yè)信息基礎(chǔ)設(shè)施相對落后，大量數(shù)據(jù)沒有上云，反而在規(guī)范之下有更多回旋余地。當然這并不意味著他們面臨的風險更低，企業(yè)的信息技術(shù)能力不足，更有可能出現(xiàn)數(shù)據(jù)泄露。例如某些傳統(tǒng)產(chǎn)業(yè)，自身的IT系統(tǒng)并不發(fā)達，卻往往是產(chǎn)業(yè)鏈里的重要一環(huán)。站在黑客的視角，該群體很容易成為攻擊的目標或切入口，因為他們是網(wǎng)絡(luò)安全中較弱的一環(huán)。因此，安全風險就會通過這些薄弱環(huán)節(jié)危及整個產(chǎn)業(yè)鏈。

IBM大中華區(qū)科技事業(yè)部網(wǎng)絡(luò)安全大客戶銷售總監(jiān)張煒表示，從經(jīng)營內(nèi)容來看，很多掌握涉及國家安全的信息、經(jīng)營業(yè)務(wù)事關(guān)國計民生的企業(yè)，都在密切關(guān)注新法，并尋求改進合規(guī)措施的技術(shù)手段。例如電信、能源、電力等行業(yè)的企業(yè)，要么屬于基礎(chǔ)設(shè)施運營者，要么其經(jīng)營數(shù)據(jù)承擔著國計民生的重大安全責任，所以其IT架構(gòu)和信息安全的合規(guī)性非常重要。

當然，這并不意味著那些只掌握個人信息數(shù)據(jù)的企業(yè)沒有責任，在數(shù)據(jù)保護上，它面對的場景更為復雜。張煒以快遞企業(yè)韻達為例說，這家企業(yè)在全國有兩萬多網(wǎng)點、20多萬快遞員，服務(wù)數(shù)量龐大的客戶群體，企業(yè)的業(yè)務(wù)數(shù)據(jù)和客戶的個人信息安全，就是韻達這樣的快遞企業(yè)關(guān)心的重中之重。

另外，跨國企業(yè)也是較為敏感的群體，該群體涉及跨境數(shù)據(jù)傳輸?shù)娘L險。陳際紅表示，這其中涉及到數(shù)據(jù)的跨境保護問題，《數(shù)據(jù)安全法》原則上不搞數(shù)據(jù)孤島、不搞封閉，但前提是安全有序，這需要對跨境的數(shù)據(jù)進行分類監(jiān)管，比如涉國家秘密的數(shù)據(jù)不能出境，一般的數(shù)據(jù)跨境，需要經(jīng)過國家互聯(lián)網(wǎng)信息辦公室的評估。而行業(yè)數(shù)據(jù)中，諸如醫(yī)療健康、汽車行駛、工業(yè)數(shù)據(jù)等，則由各自行業(yè)主管部門來進行評估。

閆樹也對此表示，跨境數(shù)據(jù)雖然被納入了法律，但配套制度和處理機制尚未建立完善，要等到有關(guān)部門建立相關(guān)機制，包括對數(shù)據(jù)分級分類、出臺重要數(shù)據(jù)目錄等一些細則后，才能實施有效監(jiān)管。

運用技術(shù)的解決手段

長期致力于企業(yè)安全策略與技術(shù)方案的企業(yè)，也對產(chǎn)業(yè)提出了一系列應(yīng)對方案。馮靚認為，從企業(yè)經(jīng)營的角度看，完善數(shù)據(jù)安全策略、利用科技力量提前預防類似數(shù)據(jù)泄露事件的發(fā)生，可以有效降低風險，最大限度減少損失。

馮靚建議，企業(yè)需要健全數(shù)據(jù)安全制度，確定數(shù)據(jù)安全保護義務(wù)，建立數(shù)據(jù)分級分類制度，再根據(jù)定級規(guī)定義務(wù)。針對數(shù)據(jù)的采集、存儲、使用、傳輸?shù)拿恳徊?，都采取?shù)據(jù)所對應(yīng)等級的有效的安全措施。

一些常見的措施包括：在數(shù)據(jù)的采集階段，使用加密技術(shù)保持數(shù)據(jù)的完整性，同時遵循“最小目的原則”；在數(shù)據(jù)的存儲階段根據(jù)數(shù)據(jù)等級采取不同的存儲保護措施，在數(shù)據(jù)的使用階段遵循“最小權(quán)限訪問”及“從不信任，永遠驗證”原則，杜絕非授權(quán)訪問，避免明文，進行脫敏、掩碼處理，或者加水印、禁止截屏等；在數(shù)據(jù)的傳輸階段監(jiān)控追蹤數(shù)據(jù)流向，限定傳輸方式等。

瑞萊智慧CEO田天表示，企業(yè)可以借助技術(shù)的手段，實現(xiàn)價值與安全之間的彌合。對于數(shù)據(jù)的采集、加工、流通過程中的保護手段，正在形成一個供應(yīng)鏈，其中一項新興技術(shù)是隱私計算，這屬于促進數(shù)據(jù)流通的關(guān)鍵技術(shù)。田天介紹說，隱私計算可以通過改變數(shù)據(jù)交互與融合的模式和形態(tài)，讓數(shù)據(jù)在流通過程中實現(xiàn)“可用不可見”，從而處于一個安全的環(huán)境之中。

閆樹也表示，谷歌、Intel等企業(yè)開創(chuàng)了隱私計算產(chǎn)業(yè)的潮流，目前，國外企業(yè)在學術(shù)研究和開源生態(tài)上也比較活躍，國內(nèi)隱私計算技術(shù)也正在逐步走向成熟，一些產(chǎn)品在特定場景下已基本具備可用性。

目前，中國多個地方政府正在積極規(guī)劃和實施技術(shù)攻關(guān)，并把隱私計算作為重點，比如應(yīng)用在數(shù)據(jù)流通和共享的交易所，或者賦能數(shù)字政府和數(shù)字社會等。不過，隱私計算目前還無法解決數(shù)據(jù)流通之前和之后的權(quán)屬問題和應(yīng)用上的問題，未來面臨更多數(shù)據(jù)方、更大數(shù)據(jù)量、更復雜的場景時，技術(shù)的性能指標仍需要優(yōu)化加強。