近日��,公安部網安局通報一起浙江公安網安部門適用《數據安全法》對違法單位罰款100萬元的典型案例。
根據報道,2023年3月,浙江溫州公安網安部門在查處一起涉數據安全違法案件時發(fā)現問題����。浙江某科技有限公司為浙江某縣級市政府部門開發(fā)運維信息管理系統的過程中���,在未經建設單位同意的情況下�����,將建設單位采集的敏感業(yè)務數據擅自上傳至租用的公有云服務器上��,且未采取安全保護措施�����,造成了嚴重的數據泄露。浙江溫州公安機關根據《數據安全法》第四十五條的規(guī)定����,對公司及項目主管人員、直接責任人員分別作出罰款100萬元�、8萬元���、6萬元的行政處罰。針對建設單位失管失察���、未履行數據安全保護職責的情況���,當地紀委監(jiān)委依照《溫州市黨委(黨組)網絡安全工作責任制實施細則》規(guī)定,對建設單位主要負責同志�、部門負責人等4人分別作出批評教育、誡勉談話和政務立案調查等追究問責決定�。
該案的處罰力度引發(fā)普遍關注,數據安全的重要性再一次警醒行業(yè)�����?!稊祿踩ā返谒氖鍡l的法律責任針對的是不履行本法第二十七條、第二十九條����、第三十條規(guī)定的數據安全保護義務的開展數據處理活動的組織、個人���。對應來看��,這幾條規(guī)定明確的是數據安全保護義務:
開展數據處理活動應當依照法律��、法規(guī)的規(guī)定�����,建立健全全流程數據安全管理制度���,組織開展數據安全教育培訓���,采取相應的技術措施和其他必要措施,保障數據安全���。利用互聯網等信息網絡開展數據處理活動����,應當在網絡安全等級保護制度的基礎上���,履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構�����,落實數據安全保護責任。
開展數據處理活動應當加強風險監(jiān)測��,發(fā)現數據安全缺陷�����、漏洞等風險時�����,應當立即采取補救措施�;發(fā)生數據安全事件時,應當立即采取處置措施�,按照規(guī)定及時告知用戶并向有關主管部門報告。
重要數據的處理者應當按照規(guī)定對其數據處理活動定期開展風險評估���,并向有關主管部門報送風險評估報告�����。風險評估報告應當包括處理的重要數據的種類����、數量,開展數據處理活動的情況�,面臨的數據安全風險及其應對措施等。
從滿足合規(guī)以及確保讓數據安全創(chuàng)造價值的業(yè)務目標出發(fā)�����,數據處理活動過程的安全性是當前數據安全建設的重點和難點�。數據在組織內部因暢通無阻且缺乏監(jiān)控,內部人員的種種無意識違規(guī)行為容易造成越權濫用���、無序擴散����、存儲混亂等風險����,惡意泄露以及被攻擊竊取的風險也在不斷增加。由于傳統的網絡安全機制聚焦在內外部邊界部署一系列檢測���、監(jiān)控����、攔截等感知和處置措施����,缺乏對于數據在內部流動的可見性,以及對數據全生命周期的形態(tài)�、位置、副本等情況的變化跟蹤���,存在很大的數據防護盲區(qū)����,而且發(fā)生了數據泄露等安全事故之后����,也難以溯源分析出流轉路徑和事件全貌。
為了對抗數據時代的數據安全挑戰(zhàn)���,需要新的防護理念和安全架構�,數據安全的左移趨勢愈發(fā)強烈���,需要讓數據在存儲����、應用以及終端中都能保證數據被安全地存儲����、使用和共享���,既要滿足合規(guī)要求又要做到真正的風險識別和可控,這需要將數據防護措施從傳統的邊界攔截延展到數據運營全流程�。更早地識別并標記組織內的數據資產,并且對數據流動的軌跡����、狀態(tài)的變化進行記錄成為有力的突破手段,安全策略應該依據數據本身的風險變動而做出細粒度的����、動態(tài)的控制。
數安行基于對以上挑戰(zhàn)的觀察思考和探索實踐得出�����,通過在數據運營中內嵌安全屬性的方式�,可以實現數據安全左移的技術落地。作為是一種自動化的安全����,其基本思想即是在數據運營的第一現場持續(xù)地對數據處理和使用全流程進行追蹤,這樣才能監(jiān)測到數據變形處理流轉的整個過程����,直面數據的多態(tài)性和多副本性��,發(fā)掘數據風險的真正源頭����,實現數據安全能力的延展�����。
著眼到落地實施層面�,需要將該安全思維產品化�����,引用零信任理論打造安全平臺����,以人工智能為核心驅動,通過對數據業(yè)務全流程進行無改造映射�,在不改變網絡架構、不改造業(yè)務的情況下�,從數據本體防護角度出發(fā),對敏感數據內容及使用環(huán)境進行持續(xù)的檢測分析���,對于使用數據的主體用戶也會進行身份角色驗證和持續(xù)的風險評估��,讓平臺擁有了對用戶身份及授權設備進行管理和雙重驗證的能力���。
有了對敏感數據和用戶身份及風險的檢測識別能力�,就可以準確地識別內部的擴散風險和違規(guī)濫用風險�。默認所有的人和環(huán)境都是不可信的,而且信任狀態(tài)也是持續(xù)變化的�,基于這種持續(xù)的、動態(tài)的風險評估�,才能真正實現自適應的安全防護。最終是旨在提升數據運營過程中數據自身的安全性���,保證數據運營過程中數據的安全���,促進數據快速流轉及安全協作共享,防范內部數據違規(guī)濫用風險���。
對應于上文《數據安全法》提出的數據安全保護義務�����,數據安全左移正是建立健全全流程數據安全管理制度的落地方針�,包括數據收集、傳輸����、使用、存儲�����、共享等全生命周期在內的數據流轉跟蹤與管控形成安全閉環(huán)���。對數據處理活動定期開展風險評估,同樣取決于對數據資產的識別梳理和其流動過程的動態(tài)風險及變化的可見和響應���,該方法對多源異構數據使用及變化過程進行標注跟蹤���,支持數據使用鏈路的智能聚合及快速溯源,便可實時感知數據違規(guī)使用及流轉風險�����。
總體而言�����,涉數據處理活動的企業(yè)需要與時俱進的數據安全策略,價值在于提供自動化的數據價值發(fā)現及數據安全服務�,實現隱私數據保護、商業(yè)秘密保護和數據業(yè)務的有效平衡���,幫助管理跟蹤多種類型��、各種來源的個人隱私數據及商業(yè)數據��,促進各類數據角色的跨職能協作�����,滿足數據使用的法律合規(guī)要求�����,防范內部數據違規(guī)濫用風險�,讓數據安全地創(chuàng)造價值���。
