查看原文
其他

诸子笔会 | 王振东:数据安全职责浅析

王振东 安在 2022-07-04




自2021年6月起,安在征文全新“改版”——“诸子笔会,打卡征文”。简单来说,我们在诸子云社群招募“志愿者”,组成“笔友群”,自拟每月主题,互相督促彼此激励,完成每月一篇原创,在诸子云知识星球做主题相关每日打卡,同时邀请专业作者群内分享,互通交流。我们的目标,不仅是在持续8个月时间里,赢取累计8.8万的高额奖金,更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文,即诸子笔会月度主题来稿之一。





数据安全职责浅析


文 | 王振东




王振东

       网络安全爱好者


在上海居住,目前从事系统开发工作。长期关注网络空间安全行业发展,重点关注安全意识、安全开发、个人信息保护等领域,安全与隐私保护意识培养倡导者,持有EXIN DPO(数据保护官)认证、信息安全工程师职业资格证书、心理疏导资格证书等。

 序  


这是一个不断颠覆认知的时代,也是一个令人困惑的时代。演员背个台词,竟然有人夸敬业;家长请老师给孩子补课,却举报要求退款加赔偿;员工刑事犯罪,管理者居然沉默不语……让人大跌眼镜的例子数不胜数,而究其背后,是一个个怕担责任、怕惹麻烦、怕损害自己利益的,自私、懦弱、无能的人。把本应该自己承担的责任,想方设法嫁祸他人;把本是自己分内之事,找各种理由推脱;把本当自己付出的代价,却当成值得夸口的资本……



共识


数据



数据最基础的意思是科学实验、检验、统计等所获得的和用于科学研究、技术设计、查证、决策等的数值。在计算机科学中有一个扩展性的描述:是事实或观察的结果,是对客观事物的逻辑归纳,是用于表示客观事物的未经加工的原始素材。本文所讨论的数据,是当今时代无处不在的数据,所以要采用更加广泛且全面认可的定义。


在《数据安全法》第一章第三条中,明确定义了适用于该法的数据定义,即:数据是指任何以电子或者其他方式对信息的记录。因为该法将成为中华人民共和国境内开展数据处理活动及其安全监管的主要依据,所以可合理推断此定义未来将在我国成为各方开展生产生活和组织管理等活动时的一个共识。



安全


当我们去研究一个汉语词语时,通常会窥视到历史一境,因为一个词语有现在的意思,是有一个演变过程的。第一种意思是“平安、无危险”,侧重于描述一种状态、一种性质或一种情况,对应于英文中的Safety.第二种意思是“保护、保全”,侧重于阐述一种措施、一种工作或一种保证,对应于英文中的Security.


在安全界,我们通常使用的信息安全、网络安全、数据安全等词语中的安全,一般来说指的都是安全措施或安全工作。而实际上我们在将这些词语作为目标来陈述时,其含义是信息、网络、数据等主体对象达到一种安全的状态,或拥有某种程度的安全性质,或在某种没有危险的情况。


我们再次回到《数据安全法》来看数据安全的定义:数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。意即通过针对数据的安全措施和工作,使数据持续处于安全状态。那么,将这里的数据换成其它主体,也同样适用。


职责


职责是指职务上应尽的责任。职务是一组主要责任相同或相似的职位的统称。职位是执行一组任务的位置。通过层层剖析,职责的本质便清楚了,就是某人执行自己工作范围内的任务时应当尽到的责任。所谓“在其位,谋其政”,讲的就是在什么职位,就得谋划本职位的事务,承担相应的责任。


通过对数据、安全、职责这三个关键词定义的认识,我们可以尝试着去理解什么是“数据安全职责”。首先,数据是我们的研究对象;其次,数据安全是通过各种措施和工作以确保数据处在一个持续无危险的状态;最后:数据安全职责是负责统筹、规划、管理、实施及执行其他数据安全相关工作的职位应当承担的责任,也就是在数据安全相关工作的职位的人需要承担的相应责任。当然,很多职位也做一些和数据安全没有关系的工作,该职位的人也要对这些工作负责,但这些责任不属于数据安全职责的范畴。



认责


在法治环境中,我们可以通过理解立法目的去认识数据安全责任,这些责任的内容将是社会各界各行业各领域各层级数据安全职责的原则性基础。


《数据安全法》的立法目的有五点:

一、规范数据处理活动,

二、保障数据安全,

三、促进数据开发利用,

四、保护个人、组织的合法权益,

五、维护国家主权、安全和发展利益。



同样,任何人在面对数据,甚至触手可及时:首先要具备与其任务相匹配的处理能力、熟悉相关数据处理的操作流程和标准规范,以满足数据处理活动的规范性要求;其次,需要具备一定程度的数据安全保护的知识和意识,积极采取有效的数据保护措施,以满足数据安全保障的责任要求;第三,在规范化处理数据并且保障了数据安全的基础上,对数据本质含义及关联属性进行分析、聚合,深度挖掘现有数据的潜在价值,或者通过合作等方式提高数据的流通价值,推动行业乃至社会经济的发展与进步;第四,对于数据这一新型核心生产要素而言,其所代表或关联的个人或组织在社会活动中具备其合法权利与利益,故在处理数据时应当尊重其数据主体的权利和利益;最后,也是最宏大且最重要的一点,是要有维护国家的主权、安全和发展利益的清醒认识和思想觉悟,尤其是当发生利益冲突时,必然以国家为重。


在网络空间安全中,我们通常会以一种自顶向下的设计思路来处理问题。所以,我们可以从后往前看《数据安全法》第六条的责任划分。国家网信部门,统筹协调;公安和国安等机关,依法监管;各行业各领域的主管部门,依规监管;各地区各部门,对其工作中收集和产生的数据及数据安全,负直接责任。


从逻辑关系上来看,国家也是一个组织。那么,我们可以类比《数据安全法》的要求,对一般组织的数据安全职责进行划分。由于企业内部实际上没有执法权力,故划分三个主要角色:统筹协调者、内部监管者、直接负责者。对于一家企业来说,统筹协调者就是CEO,内部监管者是帮助企业满足数据安全相关法律、法规、地方要求、行业标准与规范等的主要领导及其工作小组,直接负责者是收集和产生数据的各个部门一把手。对于一个部门来说,统筹协调者就是一把手,内部监管者是帮助部门满足集团或公司总部下达的各种相关规定的分管领导及其工作小组,直接负责者是收集和产生数据的各个项目组或一线员工。


以此类推,再大的组织,都会将从国家层面发出的对数据安全保护的责任层层分解到个人。


作为组织的一分子,找准自己的位置,明确自己的责任,尽到自己的本分,就是对国家安全最有效的维护。无论是在数据处理的收集、存储、使用、加工、传输、提供、公开等哪个环节,都要保证数据的CIA安全三要素。如果说,发现自己没有这个位置所应该拥有能力,或者说无法承担该职位所对应的责任,只有两种办法,要么改变自己,要么改变位置。




结语


《数据安全法》从今年九月一号正式生效,那天,或也将成为数据安全正式启航之日,让我们翘首以待。







推荐阅读


诸子笔会 |8月征文合集《数据安全》


赵锐:世界500强的数据治理实践

刘顺:企业数据安全体系建设实践

蔚晨:浅析数据安全治理体系

刘志诚:祛魅!数据安全认知实践再思考

杨文斌:数据安全之存储安全策略分析张永宏:网络时代数据安全的价值链建设

诸子笔会 | 7月征文合集《安全自动化》


张永宏 肖文棣 杨文斌 于闽东 孙琦 

刘志诚 蔚晨 赵锐 季奖公布


诸子笔会 | 6月征文合集《安全数字化》


张永宏 刘志诚 孙琦 李磊 赵锐 于闽东肖文棣 顾伟 侯大鹏 蔚晨 杨文斌 月奖公布


原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存