9月21日下午,由中国信息通信研究院指导,中国信息通信研究院安全研究所和《中国信息安全》杂志社主办,北京亿赛通科技发展有限责任公司承办的“数据安全合规研讨会”在北京成功举办。研讨会采用线上线下相结合的方式,线下参会嘉宾50余位,线上观众超过2000位。会议现场,多位业界权威专家围绕数据安全合规治理、相关政策解读、实践成果分享、数据出境安全、个人信息安全等前沿话题展开深入的交流探讨,积极为数据安全行业工作提出有益的意见建议。
据工信部统计,2021年我国数字经济规模已超过45万亿元。数字经济的快速发展使得社会各类组织日常运营产生的数据越来越多,数据已成为国民经济重要的生产要素,随着数字化转型快速推进,数据的价值随之提升,数据安全保护工作的重要性也越来越高。2021年,《数据安全法》《个人信息保护法》颁布并施行,各部门、地区和行业也陆续出台相关配套政策文件,企业面临着合规监管和安全风险的双重压力。数据安全合规工作是企业的数据安全“深水区”,不仅要兼顾企业的商业发展,同时还直接影响企业的商业价值,“合规创造价值”已然成为数据合规的工作重点。会议伊始,《中国信息安全》杂志社社长位华进行致辞。他表示,国内数据安全已经进入强监管时代,企业面临合规压力。业务运营、敏感数据保护带来新的挑战。构建新形势下数据安全体系迫在眉睫,跨境保护、数据合规成新焦点,一系列组合拳下,我国数据安全治理正进入快车道。去年,数字经济规模达到45.5万亿,同时数据安全不容忽视,数据安全合规成为不可忽视的命题。
中国信息通信研究院安全研究所副所长魏薇在致辞中提到,国家越来越重视数据安全工作,随着法律的颁布,国内对数据安全的重视上升到空前高度。习总书记强调要维护国家数据安全,保护个人信息和商业秘密,守住安全底线,把必须管住的重点管到位。我国数据安全顶层设计已经基本明确。各行各业、地区、领域的数据安全监管工作进入实施阶段。信通院致力于网络安全、数据安全方面的研究和实施,在支撑政府和服务行业方面,安全所积极开展工作。同时,牵头研制了数据安全标准,包括数据安全评估、分类分级、重要数据识别、数据安全体系建设等标准,开展电信和互联网行业标准贯标的工作,指导企业落地实践。
北京亿赛通科技发展有限责任公司总经理崔培升在致辞中谈到,数据作为新型生产要素,由于其特殊属性已然成为社会发展倾力前行的“石油”。但数据要素对于其所有者、使用者来说是一柄双刃剑,它既是重要的信息,也是重要资产,对于数据信息泄露、违规使用以及数据资产流失都会造成不可承受的后果。国家近些年陆续出台法律法规,不断完善数据所有者和使用者权利,对数据合规做出明确指引。在数据合规建设中,数据和人是两个重要元素。其中,数据层面,要对数据本身进行分类分级,合规治理,针对不同的数据采用不同技术手段来保证数据安全。人为层面,要建立数据安全意识,区分人的职责权限。利用技术手段对数据分类分级,使技术服务于制度,形成技术和制度不断迭代的正循环,建立全面综合数据安全管理能力。这也是亿赛通不断倡导 “分·放·管·服”数据安全建设理念的灵魂所在。
在主题分享环节中,中国信息通信研究院安全研究所研究员秦博阳对《数据出境安全政策解读》展开探讨。她针对近期发布的一系列国家数据出境合规制度作出了解读,通过梳理数据出境相关法律、主管部门规定和标准,分析了重要数据出境安全评估、个人信息保护认证、个人信息出境标准合同、个人信息出境安全评估4条合规路径,并对数据出境合规工作提供了指导性建议。
华北电力大学能源电力大数据研究院院长李建彬表示,合规不仅是数据安全,在企业运营中,合规始终是正常运营的底线和保障,是企业运营的有机部分。法律体系三法一条例的完善对国家网络空间安全治理提供了准则,使得个人在网络安全中有法可依。数据作为生产要素是数字经济的核心资料,是推动数字经济发展的核心要素。数据安全防护日益重要,但同时也存在很多问题。从运营层面看,业务动态变化下按需管控的运营机制尚不健全,技术角度来说,单点安全防护能力无法有效应对复杂数据流动风险,管理层缺乏一致性的合规治理手段。数据安全合规治理体系框架以内部或准内部人员为主要安全管控对象,平衡业务需求与安全风险;以分级分类为基础,以数据合理、安全流动为目标,以数据使用过程的安全管理和技术支撑为手段,对数据安全产品的技术应用和管理流程进行深度整合,在保障数据安全的前提下,实现数据开放共享。
中国信息通信研究院安全研究所研究员朴鸿国以《数据安全法》的解读为切入点,详细介绍了《数据安全法解读和数据安全合规体系建设专项行动介绍》。他提出,虽然在《数据安全法》中,数据定义的范围是宽泛的,但是在实际的数据保护工作过程中,要综合考虑经费和人员投入等因素,通过分类分级来明确需要重点投入保护工作的那部分数据,从而充分利用资源,实现更为合理、有效的合规落地工作。对于已经做了数据分类分级工作的企业而言,在衔接《数据安全法》中的一般、重要、核心数据分级要求时,首先需要根据各部门、各行业、各领域即将出台的重要数据具体目录结合已有的数据资产清单识别出重要数据,在按照重要数据监管要求进行单独保护,除重要数据外的一般数据还是可以使用企业原有的分级策略,如企业自身合法权益、商业秘密、业务重要性等方面考虑,进行更细化的差异化管控,实现资源投入、业务发展、合规落地三者的平衡。
——数据来源《中国信息安全》公众号
