我為《數據安全管理辦法》征求意見稿找找茬

發布時間:2019-06-09


國家互聯網信息辦公室于5月28日發布《數據安全管理辦法(征求意見稿)》(以下簡稱“管理辦法”),向社會公開征求意見。該管理辦法作為《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》) 的下位法,著重規范了網絡運營者對于個人信息和重要數據的安全管理義務。


在本管理辦法中,對利用網絡開展數據收集、存儲、傳輸、處理、使用等活動統一規范為“數據活動”。除純粹家庭和個人事務外,在中國境內開展數據活動的行為都必須遵守該管理辦法。因此管理辦法公布后,有從業者便稱這比GDPR還要嚴格。


通過仔細研究與學習管理辦法、《網絡安全法》等法律法規,我們針對管理辦法中的幾點問題,拋磚引玉,提出來供行業人士討論。


缺少數據分級要求


管理辦法中要求采用數據分類措施保護數據,但是忽略了分級的重要性。對于個人敏感信息,只提到了個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。同時,根據2017年12月全國信息安全標準化技術委員會發布的《信息安全技術個人信息安全規范》標準個人敏感信息指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。顯而易見,公民個人信息是有敏感度的區別的。

同樣,對于重要數據,根據數據的重要程度(敏感程度)必然同樣存在級別劃分。所以,管理辦法應對數據分級做明確要求,并要求針對不同分級的數據,采取不同強度的保護措施。


數據安全防范技術要求過于簡練,覆蓋度不夠


管理辦法第六條指出,網絡運營者應當按照有關法律、行政法規的規定,參照國家網絡安全標準,采用數據分類、備份、加密等措施加強對個人信息和重要數據保護,履行數據安全保護義務。而《中華人民共和國網絡安全法》第四十二條要求網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。維護網絡數據的完整性、保密性和可用性。


面對日益復雜的數據安全問題,作為《網絡安全法》的下位法,本管理辦法在技術要求方面反而比網安法更籠統和簡潔,實在說不過去。雖然此處用了“等措施”來兜底一切技術,但還是應該明確必要的技術手段。比如,對于數據使用的留痕,也就是審計的要求,是非常基礎的要求,在管理辦法中卻被省略到“等措施”里。況且,“等措施”的理解也有模糊的地方,是表示“與”的關系,還是“或”的關系?容易使人產生理解偏差。


同時在管理辦法中關于數據使用的場景覆蓋度也有不足。只提到了數據收集、存儲、傳輸、處理、使用等活動,而對于數據的運維、以及數據銷毀階段等場景和周期的防護都沒有被提及。


數據安全負責人機制還需明確三權分立


管理辦法要求網絡運營者指定數據安全負責人。但是這個角色是管理維度和責任維度的角色。從數據安全防范的實際操作來看,需要明確定義數據安全技術防范工作的“三權分立”概念,即安全管理員、審計管理員、系統管理員這三個角色。這三個角色相互制約,才能杜絕賬戶權限過大帶來的各類數據安全問題。所以,管理辦法中,最好能明確這種“三權分立”的要求。

對重要數據的防護要求模糊


管理辦法用了大篇幅內容介紹個人數據的安全管理,但是針對企業以及政府等業務中存在的大量高度敏感、高度重要的數據卻十分珍惜筆墨。顯然,將管理個人數據安全的手段用于重要數據保護必然不夠。針對高度重要的數據必須采取對應更安全可靠的防范技術,確保其數據安全。


所以管理辦法中應該明確,對重要數據的防護不應低于對同敏感級別的個人信息的防護。甚至可以要求對高敏感數據,采用“金庫模式”進行運營。該管理模式的核心就是對涉及用戶敏感信息的人為操作,需遵循“關鍵操作、多人完成、分權制衡”的原則,實現操作與授權分離,確保所有敏感操作都有嚴格的控制與審計記錄。


切實落地恐面臨較大困難


數據安全的落地需要遵循“三分技術七分管理”的黃金準則。管理辦法中對數據安全的管理制度做出了諸多明確要求。這些要求,都是具有“落地性”的。但是對于這三分技術,當前來說,落地的前提還比較薄弱。比如對于敏感數據的加密,就存在可行性、性能等多方面的問題。尤其是針對已上線的、基于進口數據存儲管理系統的場景。


數據安全因其高技術壁壘,準入門檻很高,目前國內專注于數據安全的原廠家數量還很少。導致技術難度偏低的產品同質化嚴重,而難度高的產品的供應商不多、創新度也不夠。這都會影響到本管理辦法的落地。

缺乏政策性的引導與扶持


核心技術和產品的研發是需要巨大投入的。迄今為止,國家在對數據安全創業公司的政策扶持,融資環境等方面是遠遠不夠的。比如總部位于北京的兩家數據安全領域的領導公司,均表示從沒有拿過政府補貼,全靠自己努力和少量的融資生存下來。而國外的數據安全創業公司如Gardium、Imperva、Information、Greensql等,他們專注數據安全中更細分的領域,產品線更窄,但是他們的融資額度卻是國內廠家的數十倍之多(數億美元)。這種窮日子,使得我們很難持續投入研發,開發出真正優質好用的產品。


《網絡安全法》作為國家網絡安全的基本法,提到要扶持和鼓勵數據安全產業。本管理辦法作為專注于數據安全保護的下位法規,也應該參考《網絡安全法》,在政策上扶持和鼓勵數據安全創業公司,讓這個跑道有更多的運動員,才能促使我國的數據安全真正落地。


綜上,管理辦法作為國家層面出臺的第一部數據安全管理層面的法規,已經考慮到了數據安全的方方面面,具有重要的里程碑的意義。經過完善,必將對提高我國整體數據安全防護能力產生重要作用。

上一條:《中國大數據企業排行榜V6.0》發布,數據庫安全領域中安威士排名第二 下一條: 我國首部《密碼法》表決通過,2020年1月1日正式實施!
江苏快3 - 一定牛