2021年9月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式实施。一年来,数据安全领域发生了哪些变化?各行各业数据安全工作面临着怎样的挑战?公众、企业对数据安全的认知又有了哪些程度的提升?
本文将围绕《数据安全法》实施一周年政策、市场、行业、企业在数据安全方面的深刻变革,全景呈现“数安法”一周年的变化,以期为行业实践带来参考。
(一)执法案例汇总
2021年9月1日,《中华人民共和国数据安全法》正式施行,数据安全步入法治化轨道。
典型案例
1.“民生宝”“快速问医生”等7款App违法违规收集使用个人信息
2.闪修侠等87款App违法违规手机个人信息
2021年12月,针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象,浙江省App违法违规收集使用个人信息专项治理工作组,组织对实用工具类、网络社区类、网上购物类等常见类型且公众大量使用的部分App的个人信息收集使用情况进行检测,并对存在问题的App进行点对点通报,责令违规App限期整改。现经复测核查,闪修侠87款App未能按要求整改,仍存在违法违规收集使用个人信息行为。
3.山东省首起|公司违反《数据安全法》被行政处罚
2022年5月,枣庄网警在执法检查中发现,某公司自建收费系统,通过公众号采集公民个人信息,存储在第三方云平台上,但对采集的数据未采取安全防护技术措施,未依法履行网络安全保护义务。
4.广州一公司未履行数据安全保护义务被警方处罚5万元
(二)国家政策法规强调数据安全
1.《汽车数据安全管理若干规定(试行)》
2021年10月,《汽车数据安全管理若干规定(试行)》施行,指出利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。
2.《网络数据安全管理条例(征求意见稿)》
2021年11月14日,网信办发布《条例》意见稿,指出数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
3.《“十四五”大数据产业发展规划》
2021年11月30日,工信部发布《“十四五”大数据产业发展规划》,强调坚持安全与发展并重。《规划》打造了清晰的大数据及数据安全产业发展图谱,提出要加强数据安全管理,加大对重要数据、跨境数据安全的保护力度,提升数据安全风险防范和处置能力,做大做强数据安全产业。
4.《“十四五”国家信息化规划》
5.《“十四五”数字经济发展规划》
2022年1月,国务院公布《“十四五”数字经济发展规划》,明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。《规划》在着力强化数字经济安全体系,包含增强网络安全防护能力,提升数据安全保障水平,有效防范各类风险。
6.《金融标准化“十四五”发展规划》
2022年1月23日,央行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》。提出健全金融业网络安全与数据安全标准体系,加强金融网络安全能力,助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。
7.《工业和信息化领域数据安全管理办法(试行)》
2022年2月10日,工信部再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见,指出工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护。
8.《2022年政府工作报告》
2022年3月5日,《2022年政府工作报告》发布。报告在2022年重点工作中提到,要“强化网络安全、数据安全和个人信息保护”,推进国家安全体系和能力建设。
9.《车联网网络安全和数据安全标准体系建设指南》
2022年3月7日,工信部印发《车联网网络安全和数据安全标准体系建设指南》,提出到2025年,完成100项以上标准的研制,形成较为完备的车联网网络安全和数据安全标准体系。
10.“东数西算”工程
2022年“东数西算”工程正式全面启动,其将东部密集的算力需求有序引导到西部,使数据要素跨域流动,打通“数”动脉,织就全国算力一张网,“东数西算”对数据安全流通提出了更高要求。
(三)2022年上半年全球事件
1.美国营销巨头RRD承认在Conti勒索软件攻击中数据被盗
RRD是一家头部的综合服务公司,为企业客户提供通信、商业印刷和营销服务。公司在全球200多个地点拥有超33undefined000名员工,其2021年的收入为49.3亿美元。RRD公司表示,最初他们不知道在攻击期间有客户端数据被盗。直到2022年1月15日,Conti勒索软件团伙开始泄露从RRD公司窃取的用户数据,总计为2.5GB。
2.国际机场公司Swissport遭受BlackCat勒索攻击,TB级用户数据泄露
3.1TB机密文件遭窃,7万员工信息泄露!英伟达遭黑客威胁
据南美黑客组织LAPSU$2022年2月表示,他们在对正式攻击英伟达之前已经在内部系统潜伏了一周之久,也已经获取了1TB的机密数据,包括未发布的40系列显卡的设计蓝图、驱动、固件、各类机密文档、SDK开发包,并对所有数据进行了备份。
4.全球最大轮胎制造商之一普利司通遭数据泄露
2022年2月,LockBit勒索软件团伙声称已经破坏了最大的轮胎制造商之一普利司通美洲公司的网络,并窃取了该公司的数据。普利司通美洲企业家族在美洲拥有50多个生产设施和55undefined000名员工。如果公司不支付赎金,Lockbit计划在2022年3月15日23:59之前释放被盗数据。
5.三星被公开了源代码和190GB机密数据
2022年3月,继NVIDIA核心源代码75GB的机密数据和核心源代码被泄露后,Lapsus$勒索组织在2022年3月4日再次公开了韩国消费电子巨头三星电子150GB的机密数据和核心源代码。
6.因数据泄露或隐私安全问题,Meta近一年已累计被罚10亿美元
2022年2月,美国加州地方法院何塞分庭宣布了结了一起Meta与4名Facebook用户长达十年数据隐私诉讼,这4名用户指控Facebook在他们退出社交媒体网站后,仍会追踪他们的网络活动,对用户隐私权构成侵犯。根据庭外和解协议,Meta最终同意支付9000万美元的赔偿金,并同意删除在用户不知情的情况下搜集到的所有数据。
2022年3月,爱尔兰数据保护委员会再度对Meta开刀,认为Meta在多次大规模个人数据泄露事件中,未能证明其采取了适当的安全应对措施,保障欧盟用户的数据安全,因而违背欧盟《通用数据保护条例》(GDPR),被处以1700万欧元(约1840万美元)罚款。
最近一年以来,知名社交平台Facebook母公司Meta可谓罚单不断,其中因为数据处理和隐私安全等问题所遭受到的来自各国的罚款就已超过10亿美元。
7.世界最大管道公司俄罗斯管道巨头Transneft遭攻击79GB数据泄露
2022年3月,由俄罗斯国家控制的石油管道巨头Transneft成为了重点攻击对象。泄密托管网站DistributedDenialofSecrets发布了一个79GB的电子邮件链接,这些电子邮件来自Transneft的研发部门Omega公司。
8.世界电子邮件营销巨头MailChimp遭黑客攻击,102个客户账户“受众数据”被导出
2022年4月,MailChimp披露其遭到黑客攻击,黑客利用内部客户支持和账户管理工具窃取用户数据,并进行网络钓鱼攻击,102个客户帐户中“受众数据”被导出。
9.美国支付巨头BLOCK披露其CashApp数据泄露恐将影响820万美国用户
2022年4月,美国支付巨头Block披露了一项与投资应用CashApp有关的数据泄露事件,并将此事件告知了其820万美国用户。CashApp是一款允许用户自由转账、花钱、存钱和购买加密货币的应用程序。此次数据泄露事件中,一名Block的前员工被卷入其中。有证据显示,他下载了一些关于CashAppInvesting应用程序的报告。
10.宜家(IKEA)加拿大公司9.5万名客户个人信息数据泄露
5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。
(四)数据安全人才队伍建设
1.强基计划
2.数据安全产业人才培养沙龙在京召开
2022年8月5日,在工业和信息化部网络安全管理局指导下,由中国电子信息产业发展研究院、工业和信息化部教育与考试中心、中国信息通信研究院共同主办,北京亿赛通科技发展有限责任公司、中国计算机行业协会数据安全专业委员会、路云天网络安全研究院联合承办的“数据安全人才培养”主题沙龙在京成功举办。主题沙龙采取线上线下相结合的方式。
3.清华公共管理学院联合软件学院聚焦数据安全人才培养
清华大学公共管理学院联合清华大学软件学院,响应国家号召,联合打造“数据安全管理人才培养计划”项目。项目依托清华大学大数据系统软件国家工程研究中心、清华大学计算社会科学与国家治理实验室、清华大学互联网治理研究中心等智库平台,旨在提高学员数字趋势的把控能力、数据规范的治理能力、数据安全的管理能力、数据要素的应用能力,助力政府、企业、与社会联合构建数据安全技术体系建设,赋能数字治理创新发展。
(五)“数安法”一周年:
对不同行业的影响
1.政企
《数安法》中针对政务数据开发利用特设专章,强调国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,要求省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,加强数据开放共享的安全保障措施,建立统一规范、互联互通、安全可控的机制,利用数据安全运营,提升数据服务对经济社会稳定发展的效果。
据复旦大学数字与移动治理实验室的中国开放数林指数网站显示,截至2021年10月,我国已有193个省级和城市的地方政府上线了数据开放平台,其中省级平台有20个(含省和自治区,不包括直辖市和港澳台),城市平台173个(含直辖市、副省级与地级行政区),开放数据集覆盖市场监督、资源能源、财税金融、气象服务、生态环境、信用服务、交通运输、教育文化、城建住房、医疗卫生、科技创新、公共安全等20多个场景领域,并且基本都提供数据查询、数据下载和接口调用服务。政府数据开放平台俨然已成为各地数字政府建设的“标配”。
《数据安全法》在对数字城市、数字运营、数字管理起到约束作用的同时,也起到了一定促进作用。未来随着智慧城市的进一步发展,包括数字社会、数字政府的发展,数据将是自动化流通。
——孙轩
南开大学周恩来政府管理学院副教授
数字城市治理实验室主任
2.金融
金融科技逐渐演进为数字金融与实体经济的连接器,腾讯金融研究院、腾讯云与毕马威联合发布的《数实共生·2022金融科技十大趋势展望》数据篇与安全篇中提到,分布式云重塑金融大数据架构、联邦学习提高数据交换效率、同态加密推进金融数据安全共享、隐私计算保障金融数据安全融合。
面对国内金融机构的业务稳定性需求、规模管理需求、可靠性需求,分布式云重塑金融大数据架构,助力金融机构实现业务转型和产品创新的快速响应和支持;同时,联邦学习技术在保护数据主体权利的前提下,通过模型共享,实现“数据可用不可见”,在数据融合的基础上促进企业发展;于金融领域而言,使用同态加密技术将对隐私数据产生更加严密的防护,推进金融数据安全共享;此外,在隐私计算的技术加持下,未来可打通多种横向数据,促进内外部数据融合,实现合规、有效的数据流通,促进营销、风控、反洗钱、资管等金融场景发展。
3.医疗
重庆大坪医院信息科主任黄昊告诉健康界,《数据安全法》的出台,是一个具有里程碑意义的事件。此前,关于危害医院数据安全的处罚规定,只是在2013年的《加强医疗卫生行风建设“九不准”》中提及“不准为商业目的统方”,且该文件只是一个行业规定,而《数据安全法》则将其上升至法律层面。
4.能源基建
除了人产生的数据,还有传感器产生的数据,如工业大数据中用的数据、物联网中应用的数据、监测江河湖海传感器采集的数据,这些数据的安全也非常重要,甚至涉及国防安全,《数据安全法》明确了规则后,也将有利于让这些数据充分发挥其促进我国经济发展的作用。
——马洁
清华大学数据治理研究中心科研总监
一是《数据安全法》提出“数据开发利用”与“数据安全”并重的基本原则,以及“全生命周期管理”的数据安全理念,为能源企业深入推进电力数据资源的开发利用和价值挖掘指明了方向。
二是《数据安全法》为数据开发利用设立了规章制度和行为准则,建立健全数据安全合规制度、履行法律义务,成为能源企业在数字经济时代发展的应有之义。
三是《数据安全法》提出推进数据交易市场建设,有助于倒逼能源企业加快突破数据资产定价理论与方法,不断扩大能源数据交易规模,充分释放能源数据价值。
5.泛互联网
安全行业的重点客户主要集中在大型的国企、央企中,大多覆盖金融、能源、运营商等领域。而如今《关键信息基础设施安全保护条例》、《数据安全法》和《个人信息保护法》的出现,一方面促使更多传统概念中的大客户更加重视安全,另一方面也为行业纳入了新的盘子。在《数据安全法》和《个人信息保护法》的要求下,过去依赖算法和大数据的企业,势必将进一步重视安全问题。这意味着不少处于AI、电商、内容等领域的公司,将成为强监管对象。
6.数据安全/网络安全领域
“《数据安全法》和《个人信息保护法》两部‘硬法’对AI企业的影响非常大。一方面,新法要求企业遵循数据获取的安全、可控,对个人信息要知情同意,拿到数据以后要合法正当利用,要保证数据安全;另一方面也解决了数据黑产难题,让违法事件有法可依。”中伦律师事务所合伙人陈际红接受钛媒体App等采访时表示,在遵守法律前提下,技术和应用也能够带来益处。比如隐私计算,数据流通的过程中一定会带来隐私泄露问题,但是隐私计算实现数据可用不可见,这是企业遵循法律要求。
——许可
外经济贸易大学数字经济与法律创新研究中心执行主任
6.新业态
数据市场的日新月异。首先体现的便是,一些新工种、新业态的层出涌现,数据市场宛如梦工厂,伴随的是数商、数字经济中介、数据经纪人、首席数据官等先锋热词的陆续出炉。2022年5月23日,广州市海珠区率先推出全国首批“数据经纪人”,分别是广东电网能源投资有限公司、广州金控征信服务有限公司、广州唯品会数据科技有限公司。作为全国首个数据经纪人试点,海珠区政务服务数据管理局负责人称,数据经纪人是在政府的监管下,具备开展数据经纪活动资质的机构。该机构要具备生态协同能力、数据运营能力、技术创新能力、数据安全能力和组织保障能力,围绕重点领域开展数据要素市场中介服务,推动数据流通规范化。
近两年,国内多地开始推行首席数据官制度,2021年5月,广东省正式印发《广东省首席数据官制度试点工作方案》,同年,浙江省杭州市滨江区和绍兴市等地也相继建立了首席数据官制度,江苏省工信厅发布了关于在全省推行企业首席数据官制度的通知,要求在全省建立起一支核心数字化高级人才队伍,并开展第一批企业CDO(ChiefDataOfficer)制度试点工作。
(六)腾讯安全专家解读
Q1:《数据安全法》实施一年以来,数据安全方面最大的改变是什么?
腾讯安全数据安全专家谢灿(以下简称谢灿):数据安全法是中国第一部针对数据安全的上位法律,首次将数据作为“关键生产要素”写入进了法律,它将中国的数据安全保护带到了全新的台阶。它带来的最大改变包括几个层面:
第一个,立法和规范层面,近一年来,各行业标准陆续出台,如在电信互联网、车联网、工业、政务、金融等行业,以及数据出境等领域的数据安全管理办法或标准规范出台,国内正在逐步建立起一个更加体系化的数据安全法律、规范及标准,保障着数字经济的健康发展;
第二个,社会意识层面。首先,数字化经济与数据安全并行的意识更加明确;其次,企业,尤其是中大型企业在数据安全治理方向的规划和投入越发体系化、常态化;另外就是在个人层面,公民的数据资产权益维护意识更加强烈。也就是说整体社会对数据安全的问题更加重视了。
第三个是数据安全产业的发展,这包括对于甲方单位,在数据安全有法可依的前提下,对数据要素的经济价值的发掘更加确定性,比如推动数据交易、数据共享等市场的发展;其次是甲方单位在数据安全治理层面的投入,带动数据安全厂商在数据安全产品和技术上的持续加大投入,以及在前沿数据安全技术上的快速研发创新,比如数据追踪溯源、隐私增强计算等技术正在加快发展成熟。
Q2:《数据安全法》实施后,企业面临什么问题?该如何应对?
谢灿:数据安全法实施后,企业面对的最大问题实际上并不在于单一技术层面,它包括在法律规范的解读、数据安全组织、流程制度、技术规范和落地、监测处置、能力评估各个层面的建设和落地。企业在应对这一系列问题时,建议在初期,可以引入专业的数据安全和合规的咨询服务,帮助基于自身业务特点,从顶层设计梳理体系化落地的工作内容和节奏,兼顾数据业务价值和数据安全的平衡。其次,企业应当加快数据安全及数据合规方向的人才储备,做好持久化数据安全运营的工作。最后,当体系建立相对完善,可以考虑开展相应数据安全的评估评测工作,比如DSMM、数据安全防护能力评估、数据跨境的防护能力评估等,以评促优。
Q3:《数据安全法》实施后,对用户及互联网产品带来何种影响?
Q4:《数据安全法》实施后,对安全领域带来了怎样的机会和挑战?
谢灿:机遇和挑战并存。在安全领域,数据安全并非新鲜概念,然而在过去,数据安全产业发展相对比较平缓,集中在数据防泄漏、静态脱敏、审计等维度,各大数据安全厂商的产品技术也可以说是大同小异。《数据安全法》实施后,甲方对数据安全建设的工作从合规尽责发展到合规有效,产品技术工作要求更加体系化,更加深入。这一方面促进了产业发展的活力,另一方面,对数据安全厂商,由于用户对数据安全建设和防护能力也会提出新的更高要求,需要厂商投入研发新一代数据安全技术,弥补市场供应能力欠缺。在这个过程中,我们也期待涌现出一些先进的优秀的数据安全初创公司。
Q5:企业在未来,该如何更好地做好数据安全保障?
谢灿:总的来讲,让数据遵规守序。在合规的框架下,持续推动组织的数据安全治理体系落地,建立常态化运营、响应、培训、评估及优化措施。在利用数据服务大众层面,探索利用先进技术发掘数据价值,比如应用隐私增强计算技术,探索更多的数据共享、数据开放应用,在保障数据合规合法的基础上,让数据交互、流动、联动分析,提供更为精确的大数据及AI分析能力,为大众提供更为便捷智能的数字化生活。