您现在的位置:首页>>新闻中心>>公司新闻
新闻中心

我为《数据安全管理办法》征求意见稿找找茬


国家互联网信息办公室于5月28日发布《数据安全管理办法(征求意见稿)》(以下简称“管理办法”),向社会公开征求意见。该管理办法作为《中华人民共和国网络安全法》(以下简称《网络安全法》) 的下位法,着重规范了网络运营者对于个人信息和重要数据的安全管理义务。


在本管理办法中,对利用网络开展数据收集、存储、传输、处理、使用等活动统一规范为“数据活动”。除纯粹家庭和个人事务外,在中国境内开展数据活动的行为都必须遵守该管理办法。因此管理办法公布后,有从业者便称这比GDPR还要严格。


通过仔细研究与学习管理办法、《网络安全法》等法律法规,我们针对管理办法中的几点问题,抛砖引玉,提出来供行业人士讨论。


缺少数据分级要求


管理办法中要求采用数据分类措施保护数据,但是忽略了分级的重要性。对于个人敏感信息,只提到了个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。同时,根据2017年12月全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》标准个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。显而易见,公民个人信息是有敏感度的区别的。



同样,对于重要数据,根据数据的重要程度(敏感程度)必然同样存在级别划分。所以,管理办法应对数据分级做明确要求,并要求针对不同分级的数据,采取不同强度的保护措施。



数据安全防范技术要求过于简练,覆盖度不够


管理办法第六条指出,网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护,履行数据安全保护义务。而《中华人民共和国网络安全法》第四十二条要求网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。维护网络数据的完整性、保密性和可用性。



面对日益复杂的数据安全问题,作为《网络安全法》的下位法,本管理办法在技术要求方面反而比网安法更笼统和简洁,实在说不过去。虽然此处用了“等措施”来兜底一切技术,但还是应该明确必要的技术手段。比如,对于数据使用的留痕,也就是审计的要求,是非常基础的要求,在管理办法中却被省略到“等措施”里。况且,“等措施”的理解也有模糊的地方,是表示“与”的关系,还是“或”的关系?容易使人产生理解偏差。


同时在管理办法中关于数据使用的场景覆盖度也有不足。只提到了数据收集、存储、传输、处理、使用等活动,而对于数据的运维、以及数据销毁阶段等场景和周期的防护都没有被提及。


数据安全负责人机制还需明确三权分立


管理办法要求网络运营者指定数据安全负责人。但是这个角色是管理维度和责任维度的角色。从数据安全防范的实际操作来看,需要明确定义数据安全技术防范工作的“三权分立”概念,即安全管理员、审计管理员、系统管理员这三个角色。这三个角色相互制约,才能杜绝账户权限过大带来的各类数据安全问题。所以,管理办法中,最好能明确这种“三权分立”的要求。



对重要数据的防护要求模糊


管理办法用了大篇幅内容介绍个人数据的安全管理,但是针对企业以及政府等业务中存在的大量高度敏感、高度重要的数据却十分珍惜笔墨。显然,将管理个人数据安全的手段用于重要数据保护必然不够。针对高度重要的数据必须采取对应更安全可靠的防范技术,确保其数据安全。


所以管理办法中应该明确,对重要数据的防护不应低于对同敏感级别的个人信息的防护。甚至可以要求对高敏感数据,采用“金库模式”进行运营。该管理模式的核心就是对涉及用户敏感信息的人为操作,需遵循“关键操作、多人完成、分权制衡”的原则,实现操作与授权分离,确保所有敏感操作都有严格的控制与审计记录。



切实落地恐面临较大困难


数据安全的落地需要遵循“三分技术七分管理”的黄金准则。管理办法中对数据安全的管理制度做出了诸多明确要求。这些要求,都是具有“落地性”的。但是对于这三分技术,当前来说,落地的前提还比较薄弱。比如对于敏感数据的加密,就存在可行性、性能等多方面的问题。尤其是针对已上线的、基于进口数据存储管理系统的场景。


数据安全因其高技术壁垒,准入门槛很高,目前国内专注于数据安全的原厂家数量还很少。导致技术难度偏低的产品同质化严重,而难度高的产品的供应商不多、创新度也不够。这都会影响到本管理办法的落地。


缺乏政策性的引导与扶持


核心技术和产品的研发是需要巨大投入的。迄今为止,国家在对数据安全创业公司的政策扶持,融资环境等方面是远远不够的。比如总部位于北京的两家数据安全领域的领导公司,均表示从没有拿过政府补贴,全靠自己努力和少量的融资生存下来。而国外的数据安全创业公司如Gardium、Imperva、Information、Greensql等,他们专注数据安全中更细分的领域,产品线更窄,但是他们的融资额度却是国内厂家的数十倍之多(数亿美元)。这种穷日子,使得我们很难持续投入研发,开发出真正优质好用的产品。


《网络安全法》作为国家网络安全的基本法,提到要扶持和鼓励数据安全产业。本管理办法作为专注于数据安全保护的下位法规,也应该参考《网络安全法》,在政策上扶持和鼓励数据安全创业公司,让这个跑道有更多的运动员,才能促使我国的数据安全真正落地。


综上,管理办法作为国家层面出台的第一部数据安全管理层面的法规,已经考虑到了数据安全的方方面面,具有重要的里程碑的意义。经过完善,必将对提高我国整体数据安全防护能力产生重要作用。


中安威士(北京)科技有限公司简介:作为中电科(中国网安)旗下数据安全公司,中安威士专注于数据安全15年,专注于数据安全的方案落地。对数据的全生命周期、数据的存管用(存储、管理、使用)的全场景实现安全防护。防护能力包括对数据访问行为的留痕、控制、风险预警,也包括对敏感数据的字段级加密,脱敏等。涵盖关系型数据库和大数据平台中的数据。我们最新的产品方向是HADOOP大数据平台的安全、数据安全态势感知。另外主营数据库审计、数据库防火墙、数据库脱敏、数据库加密。围绕数据安全的产品系列完整性和性能,在业内首屈一指。2018年承担了国家信息中心,建设银行等企业的数据安全建设任务,并引入近亿元中电科(中国网安)投资基金,正式成为网络安全国家队成员。


中安威士:保护核心数据,捍卫网络安全


来源:中安威士



Copyright © 2016 中安威士(北京)科技有限公司 版权所有 京ICP备14001844号-1