【海泰原创】数据安全法促进数据安全快速发展——写在数据安全法落地一周年之际
发布时间: 2022-08-29 17:172021年6月《中华人民共和国数据安全法》(以下简称《数据安全法》)正式颁布,并于2021年9月1日正式施行,从此我国数据安全进入有法可依、依法建设的新发展阶段。时至今日,《数据安全法》落地一周年了,一年来,我国数据安全事业快速。
数据战略顶层设计愈加凸显
2021年以来,我国陆续发布了一系列重要国家数据战略,强调建设数字中国,加快数据要素市场化流通,创新数据要素开发利用机制,加强数据安全。
继《数据安全法》正式施行两个月后,《个人信息保护法》也于2021年11月1日起施行。这是我国首部保护个人信息权益、规范个人信息处理活动的法律。个人信息保护法坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切。个人信息保护法切实将广大人民群众网络空间合法权益维护好、保障好、发展好,使广大人民群众在数字经济发展中享受更多的获得感、幸福感、安全感。
2021年11月30日,工信部正式发布《“十四五”大数据产业发展规划》,提出“十四五”时期的总体目标,到2025年我国大数据产业测算规模突破3万亿元,年均复合增长率保持25%左右,创新力强、附加值高、自主可控的现代化大数据产业体系基本形成。
2021年12月,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,对我国“十四五”时期信息化发展作出部署安排,并提出,到2025年,数字中国建设取得决定性进展,信息化发展水平大幅跃升。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。
2022年1月12日,国务院发布了《“十四五”数字经济发展规划》。《规划》将数字经济治理体系、数字经济安全体系和数字经济国际合作三个重点任务作为护航数字经济发展的保障体系。数字经济治理是推进国家治理体系和治理能力现代化的重要手段。数字经济治理体系的构建是规范数字经济发展,提升政府治理能力、保障数字经济发展成果的必然要求。数字经济安全体系是维护数字经济发展的安全屏障。只有筑牢安全屏障,建立起数字安全体系,才能为数字经济创造安全发展空间。
2022年3月5日,国务院总理李克强代表国务院向十三届全国人大五次会议作政府工作报告。政府工作报告指出,促进数字经济发展。加强数字中国建设整体布局。为促进数据共享和数据交易,省市地方政府也密集发布了数据相关条例,加快建立完善数据安全管理制度,进一步细化落实数据安全管理要求。
数据安全进入关键发展时期
随着数字经济发展的不断深入,数据安全在国家安全体系中的重要地位进一步明确。需求侧受政策驱动,数据安全意识逐步觉醒,企业对数据安全与自身发展的关系有更清晰的认识,开始关注并着手建立自身的数据安全体系,体现了政策引领的显著效果。同时,需求侧数据安全治理组织架构逐渐明晰,完善的组织架构建设是企业开展数据安全治理的基石,通过构建贯穿企业各层面、各岗位的数据安全治理组织架构,可以打通管理、技术、业务等部门之间的沟通障碍,统一内部数据安全共识,最大程度调动企业开展数据安全治理的能动性、积极性,保障数据安全治理实现“一盘棋”效果。大部分企业逐步建立了数据安全相关部门,责任划分较为明确。
供给侧受市场引导,开展了数据安全相关产品及服务的研究布局。数据安全供方市场呈现巨大发展潜力,通过挖掘新业态,有助于实现营业额增长,在数据安全领域弯道超车。同时,数据安全产品及解决方案市场竞争激烈,优势能力构建势在必行。
我国数据安全已经到了发展的关键期,未来对于数据安全的需求将会越来越大,同时对于服务能力和产品能力的要求也会越来越高,一方面给企业发展数据安全带来了挑战,另一方面也将创造广大的数据安全市场。
数据安全技术融合发展
当前数据安全技术快速发展,技术领域不断细分,技术体系不断完善。数据安全需以数据为中心,融合多种安全技术,构建全方位的数据安全技术体系。数据安全技术和方法包含的内容非常丰富,例如,数据分类分级、密码技术、访问控制、数据脱敏、隐私计算、差分隐私、区块链等,而且还在不断发展之中。同时,这些技术和方法也往往是相互关联相互融合的,甚至有些彼此难以分离开来。
特别是分类分级、密码技术和隐私计算技术在数据安全产业应用非常活跃。
《数据安全法》第二十一条明确指出,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。数据分类分级的制度建设是数据安全的基础环节。数据分类分级管理是实施数据全生命周期安全保护的重要基础。只有在科学规范的分类分级管理基础上,才能够有效地平衡数据安全要求和使用需求,较好地实现数据的风险管理成本与利用效益的平衡,从而为数据产业的快速健康、可持续发展奠定坚实基础。
数据分类分级不仅需要遵循相关规范和标准,还要结合业务特征和需求,采取科学的分类分级方法。当前数据分类分级方法趋于传统方法与基于自然语言处理、知识图谱、深度学习等人工智能技术的融合应用。
密码是保障数据安全的核心技术,密码是目前世界上公认的,保障数据安全最有效、最可靠、最经济的关键核心技术。密码采用加密、数字签名、身份认证等技术来实现信息的机密性、完整性、真实性和不可否认性。在数据安全领域,密码技术用于满足数据全生命周期各个环节的安全需求,并兼顾数据安全性与可用性的平衡。
数据安全法已经落地,隐私计算成产业热点。《数据安全法》《个人信息保护法》《网络安全法》等逐步完善了数据相关立法的顶层设计,强调数据发展和安全并重。数据驱动数字经济蓬勃发展,数据安全合规成为焦点议题。
隐私计算应运而生,成为数据协作过程中保护多方数据权益的技术解。
隐私计算是平衡数据利用与安全的重要路径。技术价值的凸显,再加上政策环境的助力,隐私计算在数据相关产业内兴起。隐私计算技术是涵盖众多学科的交叉融合技术,目前,主流的隐私计算技术主要包括:以安全多方计算为代表的基于密码学的隐私计算技术,以可信执行环境为代表的基于可信硬件的隐私计算技术,以联邦学习为代表的人工智能和隐私保护融合衍生的隐私计算技术。此外区块链与隐私计算的融合应用也成为业界的共识。
海泰方圆数据安全实践
《数据安全法》实施以来,海泰方圆融合密码技术、数据安全技术、AI技术等多种技术为客户提供全方位的数据安全专业解决方案和系列产品以及数据安全服务。产品技术中包含多项发明专利。同时,数据安全产业需要全社会相关企业共同努力,赋能共赢,推动数据安全健康有序发展。
其中,数据全周期安全管控平台(数据安全治理平台)是“数据安全”能力的底座。
平台关注于数据的安全保护,对数据安全能力进行集中化、标准化、规范化、常态化、场景化管理,全面掌握全域敏感数据资产分类、分级及分布情况,有效监控敏感数据流转路径和动态流向,通过集中化数据安全管控策略管理,实现数据分布、流转、访问过程中的态势呈现和风险识别。数据全周期安全管控平台能够对分类分级后的敏感数据做进一步安全处理,支持数据脱敏、数据加解密和数据完整性保护等安全防护功能。
数据分类分级系统基于AI智能引擎和分类分级模板实现企事业单位数据资产中的敏感信息分类分级自动识别,集中管控敏感信息的静态分布和动态变化,为数据脱敏、数据资产安全利用提供基础支撑,辅助决策人员制定数据安全方案。
数据脱敏系统在保留原有数据的有效信息特征的情况下,通过对部分数据进行遮蔽、替换、混淆等方法,隐藏数据中敏感信息。数据脱敏系统还支持保留格式加密。通常的数据脱敏方法对敏感数据脱敏后无法恢复原始数据,而采用保留格式加密技术对数据进行脱敏,脱敏后的数据通过解密可以恢复原始数据。
数据加解密系统提供结构化和非结构化数据加密服务,简化业务系统密码应用对接难度。系统全面支持应用管理、密钥管理、数据及文件加解密等功能。系统全面支持应用管理、密钥管理、数据及文件加解密等功能。
统一认证管理服务系统为数据安全治理整体能力提供基础支撑,实现系统账户的身份和认证方式统一管理。支持用户名口令认证、短信认证、数字证书认证以及二维码认证等多种认证手段,能够实现多系统单点登录,提供统一的权限管理功能,统一管理用户信息及账号,并且可以集中控制用户访问资源的操作权限。
电子文件安全验证系统以密码技术为核心,针对电子文件(数据)经过密码运算,生成唯一的可以用于证明数据“真实可信”的凭证性标签。能够为电子文件(数据)的收集、保管、存储、利用提供全生命周期的凭证性保障,准确验证数据在上述各环节中是否被恶意篡改,从而提升数据在全生命周期的风险控制能力。
