浅谈《中华人民共和国数据安全法》:(一)
千呼万唤的《中华人民共和国数据安全法》于2021年6月10第十三届全国人民代表大会常务委员会第二十九次会议通过,并在2021年9月1日正式执行。恰巧作者关注数据安全多年,近期也看到很多关于《数据安全法》解读的文章,有些观点不敢苟同,《数据安全法》之于数字经济、之于信息化、之于从业者意义非凡,必须对其有正确的认识,才能更好的开展工作,本文就是基于作者对《数据安全法》的全面学习并结合相关工作经历给出的一些看法,挂一漏万、抛砖引玉。
《数据安全法》虽然是冠以安全的名义,但是其核心是明确数据发展和数据安全同等重要,数据发展是目的,数据安全是保障,必须协同,任何割裂的分析和解释都是片面的。认识这一点,就能在数据安全设计中不要追求放之四海而皆准的数据安全通用方案,而是必须结合数据开发利用的实际情况进行量身定做。同时在做数据开发利用过程中必须兼顾数据安全,因为法律明确要在保障数据安全的前提下做数据开发利用。
落实《数据安全法》是所有信息化相关从业者(无论从事的是数据处理活动还是数据安全监管活动)必须践行的责任和义务,同时要具有维护数据安全就是维护国家主权的思想认识,数据安全无小事,数据安全责任重大。
2、对数据和数据处理有了一个明确的定义,突出记录的概念
《数据安全法》对数据和数据处理作出了明确的定义,任何以电子或者其他方式对信息的记录都成为数据。这里的电子方式很容易理解,所谓其他方式就需要在具体工作中理解,作者认为记录在一切介质(非电子形式,打印在纸上的、刻在木头上、印刷在布匹上、烧制在瓷器上等)的信息都隶属于数据范畴。特别强调了其“记录”的特性就是要反映客观存在,也就是体现物质特性,关于这一点请参考《用物质的特性来看待信息化中的数据,一些问题更容易解决》。所以在对数据进行开发和安全保护时需要考虑其记录的特性。
关于数据处理也明确了其范围包括收集、存储、使用、加工、传输、提供、公开等,也就是说在上述的处理行为中要重点确保数据的安全性和行为的关联性。数据的安全性作者在后续的文章中给与说明,而数据和行为关联性的安全问题往往被大家忽略,相关的思想请参考《关联是信息化的基础,密码是关联的核心保障》。
3、对数据安全给出了明确的界定
《数据安全法》明确“数据安全,是指通过采取必要的措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
“有效保护”,可以理解为对数据本身的基础防护(对内),可以通过相关技术手段实现,并不难,在整体上可以以技术手段为主,管理手段为辅的手段落实。
“合法利用”,可以理解为对数据在应用层面的保护,作者认为这一点才是数据安全的核心,落实的复杂度要高很多,在设计过程中需要在物权问题、影响范围问题和业务逻辑问题三个维度考虑合法问题,相关的观点请参见《集中模式下(云)的安全设计思想》。这些问题的解决多以管理手段为主、技术手段为辅。
“持续安全状态”,这个问题就需要从整体上进行设计和解决,将数据置于一个完全可控的环境中,才能将数据的全生命周期进行安全状态保障。解决这个问题作者认为可以采用数据包装的思路。传统物质的包装,一般是满足业务需要、安全需要和价值需要,数据的包装则是以满足安全需要为主。相关的观点和思路参见《网络安全从“木桶原理”到“胶囊原理”的思想转变》。
4、以数据为关键要素的数字经济,需要重点解决数据安全特别是数据确权问题
《数据安全法》明确“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
此处的描述进一步明确数字经济必须解决数字安全问题,特别强调是要解决数据权益问题(数据确权),数据确权是数字经济的关键要素之一,也是数据安全重点的功能方向之一。
作者一直认为数据就是一种物质《用物质的特性来看待信息化中的数据,一些问题更容易解决》,在表达方式上采用物质的表达方式是最为有效的,所以数据确权就是将数据和所有者身份、客观时间、真实空间(环境)进行有效关联,并确保三个关联维度信息和关联方法的可信性和可证明性,就能保障数据在确权层面达到真实、关联、合法,并经得起质证。相关具体方法可参考《“时间”是人类最客观、最实用的收纳箱与保险箱》、《信息化被忽略的基础设施:时空管理服务基础设施》、《“认证、授权、责任鉴定”的前世与今生》等。
5、在强调法制的前提下,同样强调社会公德和伦理
《数据安全法》是在依法制网的大背景下诞生的,是一部在网络空间中进行数据 发展必须遵守的法律。大家都知道在现实的社会治理中有法治和理治两种方式,所谓理治就是通过道德约束和伦理约束来治理相关行为,既然现实社会和网络社会已经相互融通,那么现实中社会中的理治在网络空间中同样需要贯彻和执行。《数据安全法》,就将理治约束进行了明确,这一点就提醒所有的从业者在进行数据发展和处理过程中在强化法制的前提下必须充分考虑社会公德和伦理层面的理治问题,这一点作者希望能引起从业者的高度认识。在数据处理中进行理治就需要从业者从坚守商业道德、职业道德 ,诚实守信,履行义务,勇于承担责任等几个层面进行思考和设计,数据承载优良文化和品格是必须考虑的重点工作。
6、再次强调数据安全和数据发展需要共同培育好的环境
虽然数字时代已经到来,信息化发展也十分迅速,但整体上还处于起步阶段,还存在体制不健全、认识不到位、发展不均衡、技术不自控 、意识不完备、人才不充足等各种问题,在整体上看,数据发展和数据安全的整体环境还存在问题。鉴于此,《数据安全法》明确提出需要各界共同参与数据发展和数据保护工作,形成全社会共同维护数据安全和促进发展的良好环境。这就给从业者提出了基于大局共享认知、广联外延、共同发展、共建共享等更高层级的从业要求。数据安全和数据发展的良好环境的形成人人有责,从业者更需要高层次要求自己,将培育良好环境作为一切工作的重点考虑指标,这是从业者践行《数据安全法》,履行义务承担责任重要表现。
未完待续 。。。。。。