近日，公安部網(wǎng)安局通報(bào)一起浙江公安網(wǎng)安部門適用《數(shù)據(jù)安全法》對(duì)違法單位罰款100萬(wàn)元的典型案例。

根據(jù)報(bào)道，2023年3月，浙江溫州公安網(wǎng)安部門在查處一起涉數(shù)據(jù)安全違法案件時(shí)發(fā)現(xiàn)問(wèn)題。浙江某科技有限公司為浙江某縣級(jí)市政府部門開(kāi)發(fā)運(yùn)維信息管理系統(tǒng)的過(guò)程中，在未經(jīng)建設(shè)單位同意的情況下，將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至租用的公有云服務(wù)器上，且未采取安全保護(hù)措施，造成了嚴(yán)重的數(shù)據(jù)泄露。浙江溫州公安機(jī)關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對(duì)公司及項(xiàng)目主管人員、直接責(zé)任人員分別作出罰款100萬(wàn)元、8萬(wàn)元、6萬(wàn)元的行政處罰。針對(duì)建設(shè)單位失管失察、未履行數(shù)據(jù)安全保護(hù)職責(zé)的情況，當(dāng)?shù)丶o(jì)委監(jiān)委依照《溫州市黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施細(xì)則》規(guī)定，對(duì)建設(shè)單位主要負(fù)責(zé)同志、部門負(fù)責(zé)人等4人分別作出批評(píng)教育、誡勉談話和政務(wù)立案調(diào)查等追究問(wèn)責(zé)決定。

該案的處罰力度引發(fā)普遍關(guān)注，數(shù)據(jù)安全的重要性再一次警醒行業(yè)?！稊?shù)據(jù)安全法》第四十五條的法律責(zé)任針對(duì)的是不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的開(kāi)展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人。對(duì)應(yīng)來(lái)看，這幾條規(guī)定明確的是數(shù)據(jù)安全保護(hù)義務(wù)：

開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開(kāi)展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。

從滿足合規(guī)以及確保讓數(shù)據(jù)安全創(chuàng)造價(jià)值的業(yè)務(wù)目標(biāo)出發(fā)，數(shù)據(jù)處理活動(dòng)過(guò)程的安全性是當(dāng)前數(shù)據(jù)安全建設(shè)的重點(diǎn)和難點(diǎn)。數(shù)據(jù)在組織內(nèi)部因暢通無(wú)阻且缺乏監(jiān)控，內(nèi)部人員的種種無(wú)意識(shí)違規(guī)行為容易造成越權(quán)濫用、無(wú)序擴(kuò)散、存儲(chǔ)混亂等風(fēng)險(xiǎn)，惡意泄露以及被攻擊竊取的風(fēng)險(xiǎn)也在不斷增加。由于傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制聚焦在內(nèi)外部邊界部署一系列檢測(cè)、監(jiān)控、攔截等感知和處置措施，缺乏對(duì)于數(shù)據(jù)在內(nèi)部流動(dòng)的可見(jiàn)性，以及對(duì)數(shù)據(jù)全生命周期的形態(tài)、位置、副本等情況的變化跟蹤，存在很大的數(shù)據(jù)防護(hù)盲區(qū)，而且發(fā)生了數(shù)據(jù)泄露等安全事故之后，也難以溯源分析出流轉(zhuǎn)路徑和事件全貌。

為了對(duì)抗數(shù)據(jù)時(shí)代的數(shù)據(jù)安全挑戰(zhàn)，需要新的防護(hù)理念和安全架構(gòu)，數(shù)據(jù)安全的左移趨勢(shì)愈發(fā)強(qiáng)烈，需要讓數(shù)據(jù)在存儲(chǔ)、應(yīng)用以及終端中都能保證數(shù)據(jù)被安全地存儲(chǔ)、使用和共享，既要滿足合規(guī)要求又要做到真正的風(fēng)險(xiǎn)識(shí)別和可控，這需要將數(shù)據(jù)防護(hù)措施從傳統(tǒng)的邊界攔截延展到數(shù)據(jù)運(yùn)營(yíng)全流程。更早地識(shí)別并標(biāo)記組織內(nèi)的數(shù)據(jù)資產(chǎn)，并且對(duì)數(shù)據(jù)流動(dòng)的軌跡、狀態(tài)的變化進(jìn)行記錄成為有力的突破手段，安全策略應(yīng)該依據(jù)數(shù)據(jù)本身的風(fēng)險(xiǎn)變動(dòng)而做出細(xì)粒度的、動(dòng)態(tài)的控制。

數(shù)安行基于對(duì)以上挑戰(zhàn)的觀察思考和探索實(shí)踐得出，通過(guò)在數(shù)據(jù)運(yùn)營(yíng)中內(nèi)嵌安全屬性的方式，可以實(shí)現(xiàn)數(shù)據(jù)安全左移的技術(shù)落地。作為是一種自動(dòng)化的安全，其基本思想即是在數(shù)據(jù)運(yùn)營(yíng)的第一現(xiàn)場(chǎng)持續(xù)地對(duì)數(shù)據(jù)處理和使用全流程進(jìn)行追蹤，這樣才能監(jiān)測(cè)到數(shù)據(jù)變形處理流轉(zhuǎn)的整個(gè)過(guò)程，直面數(shù)據(jù)的多態(tài)性和多副本性，發(fā)掘數(shù)據(jù)風(fēng)險(xiǎn)的真正源頭，實(shí)現(xiàn)數(shù)據(jù)安全能力的延展。

著眼到落地實(shí)施層面，需要將該安全思維產(chǎn)品化，引用零信任理論打造安全平臺(tái)，以人工智能為核心驅(qū)動(dòng)，通過(guò)對(duì)數(shù)據(jù)業(yè)務(wù)全流程進(jìn)行無(wú)改造映射，在不改變網(wǎng)絡(luò)架構(gòu)、不改造業(yè)務(wù)的情況下，從數(shù)據(jù)本體防護(hù)角度出發(fā)，對(duì)敏感數(shù)據(jù)內(nèi)容及使用環(huán)境進(jìn)行持續(xù)的檢測(cè)分析，對(duì)于使用數(shù)據(jù)的主體用戶也會(huì)進(jìn)行身份角色驗(yàn)證和持續(xù)的風(fēng)險(xiǎn)評(píng)估，讓平臺(tái)擁有了對(duì)用戶身份及授權(quán)設(shè)備進(jìn)行管理和雙重驗(yàn)證的能力。

有了對(duì)敏感數(shù)據(jù)和用戶身份及風(fēng)險(xiǎn)的檢測(cè)識(shí)別能力，就可以準(zhǔn)確地識(shí)別內(nèi)部的擴(kuò)散風(fēng)險(xiǎn)和違規(guī)濫用風(fēng)險(xiǎn)。默認(rèn)所有的人和環(huán)境都是不可信的，而且信任狀態(tài)也是持續(xù)變化的，基于這種持續(xù)的、動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估，才能真正實(shí)現(xiàn)自適應(yīng)的安全防護(hù)。最終是旨在提升數(shù)據(jù)運(yùn)營(yíng)過(guò)程中數(shù)據(jù)自身的安全性，保證數(shù)據(jù)運(yùn)營(yíng)過(guò)程中數(shù)據(jù)的安全，促進(jìn)數(shù)據(jù)快速流轉(zhuǎn)及安全協(xié)作共享，防范內(nèi)部數(shù)據(jù)違規(guī)濫用風(fēng)險(xiǎn)。

對(duì)應(yīng)于上文《數(shù)據(jù)安全法》提出的數(shù)據(jù)安全保護(hù)義務(wù)，數(shù)據(jù)安全左移正是建立健全全流程數(shù)據(jù)安全管理制度的落地方針，包括數(shù)據(jù)收集、傳輸、使用、存儲(chǔ)、共享等全生命周期在內(nèi)的數(shù)據(jù)流轉(zhuǎn)跟蹤與管控形成安全閉環(huán)。對(duì)數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，同樣取決于對(duì)數(shù)據(jù)資產(chǎn)的識(shí)別梳理和其流動(dòng)過(guò)程的動(dòng)態(tài)風(fēng)險(xiǎn)及變化的可見(jiàn)和響應(yīng)，該方法對(duì)多源異構(gòu)數(shù)據(jù)使用及變化過(guò)程進(jìn)行標(biāo)注跟蹤，支持?jǐn)?shù)據(jù)使用鏈路的智能聚合及快速溯源，便可實(shí)時(shí)感知數(shù)據(jù)違規(guī)使用及流轉(zhuǎn)風(fēng)險(xiǎn)。

總體而言，涉數(shù)據(jù)處理活動(dòng)的企業(yè)需要與時(shí)俱進(jìn)的數(shù)據(jù)安全策略，價(jià)值在于提供自動(dòng)化的數(shù)據(jù)價(jià)值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù)，實(shí)現(xiàn)隱私數(shù)據(jù)保護(hù)、商業(yè)秘密保護(hù)和數(shù)據(jù)業(yè)務(wù)的有效平衡，幫助管理跟蹤多種類型、各種來(lái)源的個(gè)人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù)，促進(jìn)各類數(shù)據(jù)角色的跨職能協(xié)作，滿足數(shù)據(jù)使用的法律合規(guī)要求，防范內(nèi)部數(shù)據(jù)違規(guī)濫用風(fēng)險(xiǎn)，讓數(shù)據(jù)安全地創(chuàng)造價(jià)值。