9月1日,《中华人民共和国数据安全法》正式实施,连同已经实施的《网络安全法》、筹备中的《个人信息保护法》,共同构成了我国在网络安全和数据保护方面的法律“三驾马车”,为企业提供数据安全保护提供了全方位的指引。面对新的数据秩序,企业准备好了吗?
三类企业易遭受安全风险
进餐厅扫码点餐,往往就要被授权获取手机号、位置等个人信息……当网购、网约车等互联网服务全方位介入现实生活时,个人姓名、电话、住址等隐私信息,在用户自觉与不自觉中就被输出到各种平台。安全风险通过薄弱环节危及整个产业链。“一些公司内部的数据防线形同虚设,外包员工可以轻易访问房地产公司的数据库,导致用户的买房信息被转卖。”深信服数据安全产品线总经理李玉亮说。
中科院软件所区块链与边缘计算实验室首席科学家龚健分析说,不同于土地、劳动力、资本等传统生产要素,数据有成本极低、可共享、价值易变、零成本复制、非实体无消耗等特性,导致安全保护不足。
外部攻击也暗箭难防。据《2020年勒索病毒年度报告》显示,从勒索病毒拦截数量和感染勒索病毒的比例来看,广东都是位列全国第一的重灾区。2020年,全国勒索病毒拦截量28%来自广东;今年3月,全国感染勒索病毒分布中,19.64%来自广东。
《数据安全法》提及,处罚方式涉及约谈、要求整改、罚款、吊销营业执照等,经济处罚则包括二百万元以上一千万元以下罚款,构成犯罪的,依法追究刑事责任。《数据安全法》并不针对特定企业,从市场反应来看,主要有三类企业最为关注。首先是信息化、数字化程度高的企业,其次是偏基础设施类企业,还有一类则是跨境经营的企业,或在国外上市的企业。
管理与技术“双管齐下”
在专家看来,维护企业数据安全,应针对数据的采集、存储、使用、传输的每一步,都采取对应等级的安全措施。
李玉亮建议,聚焦在管理制度和安全技术两个体系。一方面,企业要用管理制度来明确,谁来负责哪些数据,哪些数据不能流出企业,哪些人可以触碰到哪些权限;从内部保护角度,要保障数据不被篡改和泄露,对外部保护角度,强化数据合规性要求。另一方面,引入新的技术来支撑管理制度。“我们会采用水印技术防止截图造成数据泄露。”大疆科技相关负责人说。
此外,“最小权限访问”及数据脱敏处理也可以借助人工智能手段完成。“数据匿名化处理后不能复原,即根据匿名化处理的数据不能反过来推断数据是谁的。”微众银行区块链首席架构师张开翔说,采取最小化原则后,企业的采集和管理数据的成本也将大大降低。
当部分企业还没有明白如何维护数据安全时,有些企业敏锐地意识到安全和隐私带来的市场机遇。如今年8月发布的荣耀Magic3Pro推出“照片分享脱敏”服务,可以去除照片拍摄数据或去除照片位置信息。
在政策助力下,数据安全产业红利加速而至。为强化数据安全的基础设施保障,今年7月,工信部发布《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》,预计到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。今年8月,《广东省数字经济促进条例》正式发布,该条例自2021年9月1日起施行。该条例单独开辟一章“数据资源开发利用保护”。
据工信部数据,2020年我国大数据产业规模超过1万亿元,业内人士估算,数据安全将占总产业规模的5%—10%,有望形成一个千亿级规模产业。目前,广东也已成长出腾讯、深信服、广州天懋、广州世安等一批实力较强的本土安全企业,招商银行、中国平安、微众银行、南方电网等一批企业则已加快区块链、隐私计算等技术研发。
随着数据采集“最小原则”观念的深入,广东一批从事视频图像采集的企业,也不再执迷于海量数据采集,而是转为帮助企业完善数据合规、构建资源管理体系。(郜小平)
凡注有"天津滨海网"或电头为"天津滨海网"的稿件,均为天津滨海网独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"天津滨海网",并保留"天津滨海网"的电头。