依法為數據安全保駕護航

編者按 9月1日，我國第一部有關數據安全的專門法律——數據安全法正式實施。這部法律分別從監管體系、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任等方面，對數據處理活動進行規制，同時也明確建立了數據分類分級保護制度，建立健全數據交易管理制度、安全審查制度，對違法行為的處罰力度加大。本期新聞洞察就該法的實施將對數據安全行業帶來哪些方面影響、如何筑牢數據安全防線等邀請專家和企業家進行解讀，敬請關注。

■ 中國經濟時報記者 王晶晶

在數字經濟時代，數據作為新興的生產要素已成為國家基礎性和戰略性資源，數據安全的重要性越發凸顯。9月1日起，我國首部有關數據安全的專門法律——數據安全法正式實施。生效之后，其將與網絡安全法及即將實施的個人信息保護法一起，全面構筑中國信息安全領域的法律框架。

數據管理迎來有法可依、有法必依新局面

在各種數據大幅增長的背景下，數據保護和數據安全形勢日益嚴峻。北京航空航天大學軟件學院教授級高工王寶會在接受中國經濟時報記者采訪時表示，如今，數據從地面到空間，延伸到太空、海洋，數據范圍的不斷擴大，數據安全事關國家安全。現實中，一些數據資產形成集中在互聯網企業，或業務事關國計民生，或存在跨國經營等情況，數據丟失、數據濫用以及敏感數據非授權訪問的情況時有發生。因此，涉及到關系國計民生和經濟發展的數據，亟須從國家層面出臺法律來保護數據安全。

王寶會認為，數據安全法不僅保護數據安全，也推動著國家的整個數字化建設。數據安全法的實施，讓數據的采集、訪問和使用合規，數據價值回歸到正常的法律軌道上來，為我國數據建設與發展提供了“尚方寶劍”。

國家工信安全中心監測應急所所長汪禮俊在接受中國經濟時報記者采訪時表示，數據安全法為我國加快推進推動數字經濟發展，強化數據安全防護和管理奠定了堅實的法律基礎，有利于我國數據安全保障能力和水平的提升。隨著數據安全法的發布，我國數據管理正式迎來有法可依、有法必依的新局面。

在汪禮俊看來，該法主要明確了數據安全領域的四大基礎制度和工作要求，值得我們重點關注。

一是把建立數據分類分級保護制度，作為我國整個數據安全制度的基礎和首要工作。數據安全法將建立數據分類分級保護制度、制定重要數據目錄、嚴格管理國家核心數據作為國家重點工作內容。數據安全法明確規定，國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，各部門確定本部門及相關行業、領域的重要數據具體目錄，加強對重要數據的保護。

二是明確了數據跨境傳輸要求，強調重要數據出境義務，實施數據出口管制。數據安全法的出臺對我國數據跨境流動作出明確規定，在鼓勵跨境數據流動的基礎上，對數據出境安全管理、主管機關批準以及法律責任承擔等方面進行規定，為數據出境合規工作的開展提供了重要法律依據。

三是確立了數據安全審查制度，明確了安全審查要求。數據安全法確立了數據安全審查制度，為危及國家安全數據處理活動建立了“防護網”。數據安全法規定，國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查，對于維護我國國家安全將起到積極作用。

四是建立數據安全保護制度，明確數據安全保護義務。數據安全法明確要求，建立健全了全流程企業數據安全管理機制，切實落實數據保護主體責任。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

多措并舉 筑牢數據安全防線

數據安全法的實施，將會對行業帶來哪些影響？我們又應如何做好數據保護工作？

王寶會認為，數據安全實現了以后，會對很多企業，尤其是互聯網頭部企業和互聯網創新企業帶來非常大的影響。一是數據隱私成為數據安全法的一個重要分支。這要求企業必須在尊重數據隱私的情況下，在保障數據安全的情況下采集數據，因此，我國或將針對數據采集出臺一系列政策。二是數據安全保護升級會推動數據本身技術革新。在數據維護中，數據備份、數據存儲、云技術會成為重要考量。數據存儲能力決定了我們挖掘數據的程度。他建議，從國家層面建設數據載備中心，通過對海量的數據進行備份，從各個地方末端的毛細血管有序將數據匯聚到數據載備中心。同時做好海量數據備份。另外，數據運營維護、數據聯邦學習、數據隱私安全、數據脫敏以及數據交換，都會成為數據安全管理的重要方面。因此，數據安全公司將迎來發展機遇。

在汪禮俊看來，為支撐數據安全法的正式實施，國家相關配套政策文件和標準將加快出臺，數據安全保障工作將加速推進，數據安全檢測評估、認證等工作將快速展開。有關行業應抓緊落地數據保護行業規范，行業組織應加緊制定安全行為規范，加強行業自律。涉及數據處理活動的單位應深刻把握數據發展面臨的機遇與挑戰，依法建立健全數據安全管理制度，采取相應技術措施保障數據安全，為數據的共享運用和價值創造奠定堅實的基礎。

做好數據安全保護工作需要國家、社會和個人的共同努力。北京國聯天成信息技術有限公司總經理門嘉平在接受中國經濟時報記者采訪時表示，對執法單位而言，建議加大數據安全事件行政執法力度，督促數據持有人加強數據安全監測預警，提升處理突發事件的能力，對于違法數據持有人要進行嚴厲的處罰，形成一個更安全的氛圍。

對企業而言，應強化技術手段建設，構建大數據安全保障體系。對于一些保護數據安全能力欠缺的企業，可以找專業的公司。針對影響業務運營的核心重要數據，應在數據的產生、傳輸、修改、使用、存儲及銷毀等數據生命周期過程中應用密碼技術進行保護，并實施資源級細粒度的身份認證和訪問控制，防止安全威脅侵害以及內部的非授權人員訪問帶來的業務數據安全風險問題。

對個人而言，在非必要場合，盡量少暴露個人相關信息；非必要的個人信息注冊登記，盡量少參與或不參與。“個人信息保護法，2021年11月1日起施行，對個人信息也立法保護，可見個人信息的重要性。”門嘉平說。

數據安全和培訓產業將迎新機遇

■ 中國經濟時報記者 林春霞

數據安全已成為數字經濟時代最緊迫和最基礎的安全問題之一。9月1日起，《中華人民共和國數據安全法》（以下簡稱“數據安全法”）正式實施。這是我國數據安全領域的基礎性法律，其頒布實施表明我們國家規范數據發展、維護數據安全的決心，同時也將給相關產業帶來發展新機遇。

平臺、企業、用戶將迎三大利好

清華大學互聯網產業研究院副院長劉大成在接受中國經濟時報記者采訪時說，數據安全法的頒布實施，將給數據運營平臺、安全技術企業和終端用戶等都帶來利好。

劉大成表示， 一是給數據安全、數據保密的運營平臺和公司帶來利好和安全保障。 二是讓傳統規范的企業用戶和消費者的權益保護有了法律依據。 三是當數據能夠得到安全保護之后，數據的應用者反而會增大，推進傳統制造業和服務業企業樂于去交付和使用數據和平臺。

劉大成說，過去很長一段時間，存在數據濫用、野蠻生長等亂象。數據共享的前提首先就是數據的安全、保密和封裝。現在有了數據安全法，從法律上對違規者起到了威懾作用，這對數據提供商來說會更加有安全感，能夠保護數據提供者的合法權益，同時保證對大數據、算法和算力更大范圍的使用和普及，并減少對自身隱私的傷害。

在劉大成看來，數據安全法保護了守法運營者，也更加保護了數據的使用者，“這不僅有利于數據提供者的增加，也有利于數據平臺的拓展和數據應用者的增加。”

此外，劉大成認為，數據安全所帶來的技術和業務使用也更加廣泛，特別是隨著移動互聯網、大數據和人工智能的使用，人們利用網絡化和數字化技術及平臺的門檻越來越低。如果有數據安全法的保障，未來借助數字經濟、移動互聯網所形成的低技術門檻自雇職業者，如在抖音、快手等平臺上推銷農產品的山區農民，就可以更安全更便捷地融入到精準連接消費和生產之間的數字貿易渠道中。

數據安全和培訓產業蘊藏巨大商機

中央財經大學中國互聯網經濟研究院副院長歐陽日輝對本報記者說，數據作為數字經濟時代最核心、最具價值的生產要素，正在加速成為全球經濟增長的新動力、新引擎，5G、人工智能、云計算、區塊鏈等ICT新技術、新模式、新應用都是以海量數據為基礎，數據量也呈爆發式增長態勢。

數據安全將培育出一些新產業、新業態、新模式，在歐陽日輝看來，從產業發展來看，未來數據安全將獨立發展成為一個很大的產業。與數據安全相關的大致可以分為兩大產業，一是數據安全服務產業，二是數據安全人才培訓產業。

數據安全服務產業里面包括硬件供應商、軟件供應商和數據安全服務商，歐陽日輝認為，我國數據安全核心硬件和軟件系統對外依存度高，存儲器、存儲芯片、服務器等核心硬件和自主研發的中間軟件產品是我國數據產業發展的重要方向，提高軟硬件國產化率，實現自主可控。

數據安全體系包括邊界安全、訪問控制和授權、數據保護、審計監控等體系，歐陽日輝還表示，數據安全包含數據的采集、處理、檢索、傳輸、交換、安全存儲、顯示、擴散等環節。數據安全是一個很長的產業鏈，在這個產業鏈里面，不僅需要很高端的人才，也需要具備一定技能的普通人才。發展數據安全產業，最終還是要靠高水平、高素質的人才來支撐，數據安全的競爭歸根結底是人才競爭。當前，入侵監測和軟件開發人才稀缺，中小企業的網絡安全專崗人員需求量很大，一線城市是數據安全人才需求的重點區域。

“我國關于數據安全產業已經初步形成了產業鏈，隨著數據安全法頒布實施，產業鏈或將升級并朝著更高端的階段去發展。”歐陽日輝說。

構建數據全生命周期的安全治理體系

■ 中國經濟時報記者 王晶晶

當前，數據安全上升至國家戰略高度。《中華人民共和國數據安全法》（下稱“數據安全法”)9月1日起已經開始實施。該法的實施說明數據作為一種新型的、獨立的保護對象已經獲得立法上的認可。作為我國數據安全領域的基礎性法律，該法受到業內人士廣泛關注。

蒲惠智造CEO王克飛對中國經濟時報記者表示，數據安全法的實施，無疑會促進我國數據安全治理體系的進一步完善，這既離不開黨和政府的政策引導，也需要相關企業積極主動參與到數字經濟各行業的標準體系建設中來。在此方面，蒲惠智造積極參與《離散型企業制造執行過程云化規范》行業標準的制訂工作，助力中小企業走上數字化轉型之路。

蒲惠智造運營總監應春紅以工業數據為例對中國經濟時報記者表示，正所謂“技術無國界、數據有邊界”，從微觀層面分析，工業數據安全關系到企業財產能否得到保障；從宏觀層面分析，工業數據安全直接關系到國家經濟安全，而且工業互聯網為產業數字化提供了關鍵基礎設施支撐和產業生態基礎。所以鼓勵發展自主可控的“國潮”工業互聯網產業具有非常重要的現實意義，同時，還需要一批自主可控的第三方平臺企業來制定相關的行業標準，引領行業健康發展。

門嘉平是北京國聯天成信息技術有限公司總經理，長期從事于信息安全領域的他把數據看做企業生存的命根子。在接受中國經濟時報記者采訪時，門嘉平表示，數據是應用業務系統的核心，承載著企業客戶資源、人事、財務、物料、生產等各種信息，尤其是在數字時代，數據的重要性不言而喻。數據安全法提出對數據全生命周期各環節的安全保護義務和責任，不但讓數據安全做到了有法可依，還促進了以數據為關鍵要素的數字經濟發展和數據安全市場發展。

其中，數據安全法第22條明確國家建立數據安全風險評估、報告、信息共享、監測預警機制，實現事前風險評估、報告和信息共享以及事中監測預警。

門嘉平對此表示，以上舉措從簡單的安全產品堆砌到數據安全治理，是從安全產品向安全服務的重大轉變。他介紹，安全服務中大部分業務是為數據安全能力服務的，包括數據安全咨詢服務、數據安全檢測評估服務、數據安全能力認證服務、數據安全技術標準規范建設服務、數據安全人才培訓服務等方面的服務供應。只有讓數據安全服務與數據安全技術能力建設相結合，才能更好地建設企業數據安全防護能力。

“這不但需要專業化的數據安全風險評估人才和隊伍，還需要專業化的技術手段相配合，給國內專業安全服務市場帶來巨大的發展機會。”門嘉平說。在他看來，參與數據安全市場活動的組織應該加強數據安全意識，結合業務應用需求，從數據分級分類到風險評估與管控、身份鑒權到訪問控制、行為監控與預測到追蹤溯源、應急響應到事件處置，從管理層面和技術層面建設數據安全的有效防護機制，保障數字產業蓬勃健康發展，為數據安全市場創造千億級發展空間。

如何對數據做好有效的安全保護措施？門嘉平表示，一方面，從技術層面而言，數據安全離不開數據庫的安全，對數據庫的脆弱性管理、安全威脅管控、訪問控制、加解密管理、脫敏處理、數據庫操作與訪問審計等都是關系數據安全的技術措施。

另一方面，在數據安全保護層面，要實施從以網絡為中心轉向以數據為中心的全生命周期保護策略。即實施數據分類分級，對數據全生命周期狀態進行梳理，根據不同的數據敏感等級以及數據使用狀態，統籌規劃相應數據保護策略，確保數據安全全程可控。

監 制 丨 王輝 李丕光 王彧 劉衛民

主 編丨毛晶慧 編 輯丨馬 原