《中華人民共和國(guó)數(shù)據(jù)安全法》（下稱“《數(shù)據(jù)安全法》”）將在9月1日落地實(shí)施，這意味著中國(guó)在數(shù)據(jù)安全方面初步建立起一套法律架構(gòu)。

在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的今天，數(shù)據(jù)正成為企業(yè)關(guān)鍵的生產(chǎn)要素，于國(guó)家而言，也是具有戰(zhàn)略價(jià)值的核心資產(chǎn)。一家企業(yè)從數(shù)字化到智能化的轉(zhuǎn)型過程，本質(zhì)是對(duì)數(shù)據(jù)的積累、挖掘以及價(jià)值釋放。新法增加了企業(yè)的安全責(zé)任，為實(shí)現(xiàn)合規(guī)，企業(yè)需要針對(duì)數(shù)據(jù)保護(hù)增加成本，規(guī)避風(fēng)險(xiǎn)。

立法并非針對(duì)某一類企業(yè)，凡涉及數(shù)據(jù)處理的企業(yè)均在這部法律的調(diào)整范疇之內(nèi)?，F(xiàn)實(shí)中，一些企業(yè)因?yàn)樾畔⒒潭雀?，或業(yè)務(wù)事關(guān)國(guó)計(jì)民生，或存在跨國(guó)經(jīng)營(yíng)等情況，對(duì)于該法的反應(yīng)更為敏感，對(duì)相應(yīng)的合規(guī)條款也更為關(guān)切。很多企業(yè)擔(dān)心：新法出臺(tái)后，過往積累的數(shù)據(jù)資產(chǎn)就像一個(gè)“歷史的包袱”，未來其合規(guī)性可能會(huì)被追溯。

政府、法律人士、數(shù)據(jù)安全技術(shù)的提供方，都在努力幫助企業(yè)達(dá)到數(shù)據(jù)的合規(guī)與安全，也試圖撫平和緩解法律給產(chǎn)業(yè)的沖擊。

國(guó)家工業(yè)信息安全發(fā)展研究中心大數(shù)據(jù)研究室主任楊玫表示，中國(guó)大數(shù)據(jù)、人工智能產(chǎn)業(yè)發(fā)展至今，在應(yīng)用層面已經(jīng)實(shí)現(xiàn)了全球領(lǐng)先，歷經(jīng)了市場(chǎng)的考驗(yàn)。從國(guó)家政策角度看，希望產(chǎn)業(yè)先由市場(chǎng)引導(dǎo)，遵循自身的規(guī)律發(fā)展，而立法相對(duì)置后一些。過去幾年，有很多出臺(tái)相關(guān)法案的呼聲，但國(guó)家選擇在今年密集出臺(tái)，其實(shí)是遵循了市場(chǎng)的選擇，并且認(rèn)為市場(chǎng)發(fā)展到這個(gè)階段，才是需要法律去規(guī)范的，才是需要安全和發(fā)展并重的。

瑞萊智慧CEO田天表示，當(dāng)前數(shù)據(jù)的價(jià)值和安全性之間存在一個(gè)鴻溝，中間的矛盾愈演愈烈，原本對(duì)于簡(jiǎn)單的數(shù)據(jù)流通和應(yīng)用，各方是可以形成共識(shí)的，隨著算法和算力的增強(qiáng)，數(shù)據(jù)本身的底層價(jià)值正在發(fā)生井噴，而與此相比，對(duì)安全性的保護(hù)和關(guān)注是滯后的。

IBM大中華區(qū)科技事業(yè)部網(wǎng)絡(luò)安全業(yè)務(wù)主管馮靚表示，短期來看，該法會(huì)給產(chǎn)業(yè)帶來一些陣痛，因?yàn)槠髽I(yè)是安全責(zé)任的主要承擔(dān)者。長(zhǎng)期來看，該法可以幫助產(chǎn)業(yè)走向健康和規(guī)范，促進(jìn)企業(yè)真正提升安全意識(shí)。過去，對(duì)很多企業(yè)來說，數(shù)據(jù)安全是個(gè)可有可無的部門，如今成為了企業(yè)不可或缺的部門，數(shù)據(jù)保護(hù)將被納入到企業(yè)整體發(fā)展戰(zhàn)略當(dāng)中。

中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所大數(shù)據(jù)部副主任閆樹表示，中國(guó)數(shù)字經(jīng)濟(jì)受到《數(shù)字安全法》的沖擊，是一個(gè)必要的過程，因?yàn)楫a(chǎn)業(yè)發(fā)展模式本身存在一些問題，這樣的模式對(duì)企業(yè)發(fā)展有利，但觸犯了國(guó)家和個(gè)人的權(quán)益，因此需要一些合理的改變。

《數(shù)據(jù)安全法》在規(guī)制什么

中倫律師事務(wù)所合伙人陳際紅對(duì)記者表示，《數(shù)據(jù)安全法》和先前的《網(wǎng)絡(luò)安全法》，連同籌備中的《個(gè)人信息保護(hù)法》，共同構(gòu)成了中國(guó)在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面的法律“三駕馬車”，它們定位各有不同，內(nèi)容互有交叉，而《數(shù)據(jù)安全法》監(jiān)管對(duì)象，主要是數(shù)據(jù)處理活動(dòng)。

簡(jiǎn)單來說，《數(shù)據(jù)安全法》對(duì)企業(yè)的數(shù)據(jù)處理活動(dòng)，提出了五項(xiàng)監(jiān)管要求。第一，符合基礎(chǔ)性的合規(guī)要求，包括建立企業(yè)數(shù)據(jù)安全管理制度，有相應(yīng)的基礎(chǔ)措施和管理措施；第二，對(duì)數(shù)據(jù)做等級(jí)保護(hù)，需要企業(yè)做等級(jí)保護(hù)測(cè)評(píng)和備案；第三，進(jìn)行數(shù)據(jù)分級(jí)分類，企業(yè)要根據(jù)分類結(jié)果采取相應(yīng)的管理措施；第四，識(shí)別核心數(shù)據(jù)和處理數(shù)據(jù)出境問題，比如年檢、年報(bào)審計(jì)；第五，管理數(shù)據(jù)交易中介，中介要審核雙方身份、流程交易記錄、制定審核清單等。

如果企業(yè)在運(yùn)營(yíng)中沒有符合這些法規(guī)要求，出現(xiàn)了嚴(yán)重的數(shù)據(jù)泄漏問題，那么將受到一定的經(jīng)濟(jì)懲罰，處罰對(duì)象以機(jī)構(gòu)、企業(yè)為主，包括直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，企業(yè)的罰款額從百萬元至千萬元級(jí)別不等，個(gè)人的罰款額在數(shù)十萬元級(jí)別。此外，涉事企業(yè)還可能被停業(yè)整頓、吊銷營(yíng)業(yè)執(zhí)照。如果違反了國(guó)家核心數(shù)據(jù)管理制度且構(gòu)成了犯罪，還將被依法追究刑事責(zé)任。

北京瀛和律師事務(wù)所業(yè)務(wù)中心總監(jiān)高楠對(duì)記者表示，從監(jiān)管的角度看，《數(shù)據(jù)安全法》有三項(xiàng)明確，即明確了數(shù)據(jù)安全監(jiān)管的約談制度，但未明確主管部門的層級(jí)要求；明確了未履行數(shù)據(jù)安全保護(hù)義務(wù)的開展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人的法律責(zé)任；明確了違反《數(shù)據(jù)安全法》向境外提供重要數(shù)據(jù)的法律責(zé)任等等。

高楠還表示，該法輻射范圍廣泛，只要在華企業(yè)的日常經(jīng)營(yíng)活動(dòng)涉及數(shù)據(jù)生命周期的任何一個(gè)環(huán)節(jié)，境外企業(yè)涉及對(duì)中國(guó)有關(guān)聯(lián)的數(shù)據(jù)處理活動(dòng)的，皆會(huì)受到該法的規(guī)制。

那么，對(duì)于一些企業(yè)過往的數(shù)據(jù)資產(chǎn)，其合規(guī)性是否會(huì)被追溯？

陳際紅這樣認(rèn)為，合規(guī)是一個(gè)過程，新法頒布第二天企業(yè)立即合規(guī)，這也不太現(xiàn)實(shí)。通常來看，企業(yè)的實(shí)踐分兩個(gè)階段，合規(guī)之前的數(shù)據(jù)叫歷史數(shù)據(jù)，合規(guī)以后再進(jìn)行授權(quán)、分類，對(duì)應(yīng)用場(chǎng)景做嚴(yán)格限制，這是一個(gè)新的起點(diǎn)。對(duì)歷史數(shù)據(jù)可以分為繼續(xù)用的和不再用的，對(duì)于不再用的數(shù)據(jù)，企業(yè)沒必要擔(dān)心，只要不泄露，就不會(huì)對(duì)主體帶來權(quán)益侵害；對(duì)于還要使用的數(shù)據(jù)，則是需要授權(quán)的。

三類企業(yè)關(guān)聯(lián)密切

《數(shù)據(jù)安全法》的立法并非針對(duì)某一類特定企業(yè)，凡涉及數(shù)據(jù)處理的企業(yè)均在其中，但在實(shí)際情況中，不同企業(yè)對(duì)該法的反應(yīng)不同。目前，具有信息化程度高、業(yè)務(wù)事關(guān)國(guó)計(jì)民生、涉及跨國(guó)經(jīng)營(yíng)等特點(diǎn)企業(yè)，對(duì)于該法的反應(yīng)更為敏感。

馮靚表示，一些信息化程度高的企業(yè)明顯對(duì)新法更關(guān)注。新法籌備以來，很多企業(yè)已經(jīng)將業(yè)務(wù)上云或者上混合云，其數(shù)據(jù)并非僅存于私有數(shù)據(jù)庫(kù)或者數(shù)據(jù)中心之中。從技術(shù)上看，這些企業(yè)的數(shù)據(jù)保護(hù)工作難度較大。

馮靚還提到，一些企業(yè)信息基礎(chǔ)設(shè)施相對(duì)落后，大量數(shù)據(jù)沒有上云，反而在規(guī)范之下有更多回旋余地。當(dāng)然這并不意味著他們面臨的風(fēng)險(xiǎn)更低，企業(yè)的信息技術(shù)能力不足，更有可能出現(xiàn)數(shù)據(jù)泄露。例如某些傳統(tǒng)產(chǎn)業(yè)，自身的IT系統(tǒng)并不發(fā)達(dá)，卻往往是產(chǎn)業(yè)鏈里的重要一環(huán)。站在黑客的視角，該群體很容易成為攻擊的目標(biāo)或切入口，因?yàn)樗麄兪蔷W(wǎng)絡(luò)安全中較弱的一環(huán)。因此，安全風(fēng)險(xiǎn)就會(huì)通過這些薄弱環(huán)節(jié)危及整個(gè)產(chǎn)業(yè)鏈。

IBM大中華區(qū)科技事業(yè)部網(wǎng)絡(luò)安全大客戶銷售總監(jiān)張煒表示，從經(jīng)營(yíng)內(nèi)容來看，很多掌握涉及國(guó)家安全的信息、經(jīng)營(yíng)業(yè)務(wù)事關(guān)國(guó)計(jì)民生的企業(yè)，都在密切關(guān)注新法，并尋求改進(jìn)合規(guī)措施的技術(shù)手段。例如電信、能源、電力等行業(yè)的企業(yè)，要么屬于基礎(chǔ)設(shè)施運(yùn)營(yíng)者，要么其經(jīng)營(yíng)數(shù)據(jù)承擔(dān)著國(guó)計(jì)民生的重大安全責(zé)任，所以其IT架構(gòu)和信息安全的合規(guī)性非常重要。

當(dāng)然，這并不意味著那些只掌握個(gè)人信息數(shù)據(jù)的企業(yè)沒有責(zé)任，在數(shù)據(jù)保護(hù)上，它面對(duì)的場(chǎng)景更為復(fù)雜。張煒以快遞企業(yè)韻達(dá)為例說，這家企業(yè)在全國(guó)有兩萬多網(wǎng)點(diǎn)、20多萬快遞員，服務(wù)數(shù)量龐大的客戶群體，企業(yè)的業(yè)務(wù)數(shù)據(jù)和客戶的個(gè)人信息安全，就是韻達(dá)這樣的快遞企業(yè)關(guān)心的重中之重。

另外，跨國(guó)企業(yè)也是較為敏感的群體，該群體涉及跨境數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)。陳際紅表示，這其中涉及到數(shù)據(jù)的跨境保護(hù)問題，《數(shù)據(jù)安全法》原則上不搞數(shù)據(jù)孤島、不搞封閉，但前提是安全有序，這需要對(duì)跨境的數(shù)據(jù)進(jìn)行分類監(jiān)管，比如涉國(guó)家秘密的數(shù)據(jù)不能出境，一般的數(shù)據(jù)跨境，需要經(jīng)過國(guó)家互聯(lián)網(wǎng)信息辦公室的評(píng)估。而行業(yè)數(shù)據(jù)中，諸如醫(yī)療健康、汽車行駛、工業(yè)數(shù)據(jù)等，則由各自行業(yè)主管部門來進(jìn)行評(píng)估。

閆樹也對(duì)此表示，跨境數(shù)據(jù)雖然被納入了法律，但配套制度和處理機(jī)制尚未建立完善，要等到有關(guān)部門建立相關(guān)機(jī)制，包括對(duì)數(shù)據(jù)分級(jí)分類、出臺(tái)重要數(shù)據(jù)目錄等一些細(xì)則后，才能實(shí)施有效監(jiān)管。

運(yùn)用技術(shù)的解決手段

長(zhǎng)期致力于企業(yè)安全策略與技術(shù)方案的企業(yè)，也對(duì)產(chǎn)業(yè)提出了一系列應(yīng)對(duì)方案。馮靚認(rèn)為，從企業(yè)經(jīng)營(yíng)的角度看，完善數(shù)據(jù)安全策略、利用科技力量提前預(yù)防類似數(shù)據(jù)泄露事件的發(fā)生，可以有效降低風(fēng)險(xiǎn)，最大限度減少損失。

馮靚建議，企業(yè)需要健全數(shù)據(jù)安全制度，確定數(shù)據(jù)安全保護(hù)義務(wù)，建立數(shù)據(jù)分級(jí)分類制度，再根據(jù)定級(jí)規(guī)定義務(wù)。針對(duì)數(shù)據(jù)的采集、存儲(chǔ)、使用、傳輸?shù)拿恳徊剑疾扇?shù)據(jù)所對(duì)應(yīng)等級(jí)的有效的安全措施。

一些常見的措施包括：在數(shù)據(jù)的采集階段，使用加密技術(shù)保持?jǐn)?shù)據(jù)的完整性，同時(shí)遵循“最小目的原則”；在數(shù)據(jù)的存儲(chǔ)階段根據(jù)數(shù)據(jù)等級(jí)采取不同的存儲(chǔ)保護(hù)措施，在數(shù)據(jù)的使用階段遵循“最小權(quán)限訪問”及“從不信任，永遠(yuǎn)驗(yàn)證”原則，杜絕非授權(quán)訪問，避免明文，進(jìn)行脫敏、掩碼處理，或者加水印、禁止截屏等；在數(shù)據(jù)的傳輸階段監(jiān)控追蹤數(shù)據(jù)流向，限定傳輸方式等。

瑞萊智慧CEO田天表示，企業(yè)可以借助技術(shù)的手段，實(shí)現(xiàn)價(jià)值與安全之間的彌合。對(duì)于數(shù)據(jù)的采集、加工、流通過程中的保護(hù)手段，正在形成一個(gè)供應(yīng)鏈，其中一項(xiàng)新興技術(shù)是隱私計(jì)算，這屬于促進(jìn)數(shù)據(jù)流通的關(guān)鍵技術(shù)。田天介紹說，隱私計(jì)算可以通過改變數(shù)據(jù)交互與融合的模式和形態(tài)，讓數(shù)據(jù)在流通過程中實(shí)現(xiàn)“可用不可見”，從而處于一個(gè)安全的環(huán)境之中。

閆樹也表示，谷歌、Intel等企業(yè)開創(chuàng)了隱私計(jì)算產(chǎn)業(yè)的潮流，目前，國(guó)外企業(yè)在學(xué)術(shù)研究和開源生態(tài)上也比較活躍，國(guó)內(nèi)隱私計(jì)算技術(shù)也正在逐步走向成熟，一些產(chǎn)品在特定場(chǎng)景下已基本具備可用性。

目前，中國(guó)多個(gè)地方政府正在積極規(guī)劃和實(shí)施技術(shù)攻關(guān)，并把隱私計(jì)算作為重點(diǎn)，比如應(yīng)用在數(shù)據(jù)流通和共享的交易所，或者賦能數(shù)字政府和數(shù)字社會(huì)等。不過，隱私計(jì)算目前還無法解決數(shù)據(jù)流通之前和之后的權(quán)屬問題和應(yīng)用上的問題，未來面臨更多數(shù)據(jù)方、更大數(shù)據(jù)量、更復(fù)雜的場(chǎng)景時(shí)，技術(shù)的性能指標(biāo)仍需要優(yōu)化加強(qiáng)。