依法为数据安全保驾护航

编者按 9月1日，我国第一部有关数据安全的专门法律——数据安全法正式实施。这部法律分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面，对数据处理活动进行规制，同时也明确建立了数据分类分级保护制度，建立健全数据交易管理制度、安全审查制度，对违法行为的处罚力度加大。本期新闻洞察就该法的实施将对数据安全行业带来哪些方面影响、如何筑牢数据安全防线等邀请专家和企业家进行解读，敬请关注。

■ 中国经济时报记者 王晶晶

在数字经济时代，数据作为新兴的生产要素已成为国家基础性和战略性资源，数据安全的重要性越发凸显。9月1日起，我国首部有关数据安全的专门法律——数据安全法正式实施。生效之后，其将与网络安全法及即将实施的个人信息保护法一起，全面构筑中国信息安全领域的法律框架。

数据管理迎来有法可依、有法必依新局面

在各种数据大幅增长的背景下，数据保护和数据安全形势日益严峻。北京航空航天大学软件学院教授级高工王宝会在接受中国经济时报记者采访时表示，如今，数据从地面到空间，延伸到太空、海洋，数据范围的不断扩大，数据安全事关国家安全。现实中，一些数据资产形成集中在互联网企业，或业务事关国计民生，或存在跨国经营等情况，数据丢失、数据滥用以及敏感数据非授权访问的情况时有发生。因此，涉及到关系国计民生和经济发展的数据，亟须从国家层面出台法律来保护数据安全。

王宝会认为，数据安全法不仅保护数据安全，也推动着国家的整个数字化建设。数据安全法的实施，让数据的采集、访问和使用合规，数据价值回归到正常的法律轨道上来，为我国数据建设与发展提供了“尚方宝剑”。

国家工信安全中心监测应急所所长汪礼俊在接受中国经济时报记者采访时表示，数据安全法为我国加快推进推动数字经济发展，强化数据安全防护和管理奠定了坚实的法律基础，有利于我国数据安全保障能力和水平的提升。随着数据安全法的发布，我国数据管理正式迎来有法可依、有法必依的新局面。

在汪礼俊看来，该法主要明确了数据安全领域的四大基础制度和工作要求，值得我们重点关注。

一是把建立数据分类分级保护制度，作为我国整个数据安全制度的基础和首要工作。数据安全法将建立数据分类分级保护制度、制定重要数据目录、严格管理国家核心数据作为国家重点工作内容。数据安全法明确规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，各部门确定本部门及相关行业、领域的重要数据具体目录，加强对重要数据的保护。

二是明确了数据跨境传输要求，强调重要数据出境义务，实施数据出口管制。数据安全法的出台对我国数据跨境流动作出明确规定，在鼓励跨境数据流动的基础上，对数据出境安全管理、主管机关批准以及法律责任承担等方面进行规定，为数据出境合规工作的开展提供了重要法律依据。

三是确立了数据安全审查制度，明确了安全审查要求。数据安全法确立了数据安全审查制度，为危及国家安全数据处理活动建立了“防护网”。数据安全法规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查，对于维护我国国家安全将起到积极作用。

四是建立数据安全保护制度，明确数据安全保护义务。数据安全法明确要求，建立健全了全流程企业数据安全管理机制，切实落实数据保护主体责任。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

多措并举 筑牢数据安全防线

数据安全法的实施，将会对行业带来哪些影响？我们又应如何做好数据保护工作？

王宝会认为，数据安全实现了以后，会对很多企业，尤其是互联网头部企业和互联网创新企业带来非常大的影响。一是数据隐私成为数据安全法的一个重要分支。这要求企业必须在尊重数据隐私的情况下，在保障数据安全的情况下采集数据，因此，我国或将针对数据采集出台一系列政策。二是数据安全保护升级会推动数据本身技术革新。在数据维护中，数据备份、数据存储、云技术会成为重要考量。数据存储能力决定了我们挖掘数据的程度。他建议，从国家层面建设数据载备中心，通过对海量的数据进行备份，从各个地方末端的毛细血管有序将数据汇聚到数据载备中心。同时做好海量数据备份。另外，数据运营维护、数据联邦学习、数据隐私安全、数据脱敏以及数据交换，都会成为数据安全管理的重要方面。因此，数据安全公司将迎来发展机遇。

在汪礼俊看来，为支撑数据安全法的正式实施，国家相关配套政策文件和标准将加快出台，数据安全保障工作将加速推进，数据安全检测评估、认证等工作将快速展开。有关行业应抓紧落地数据保护行业规范，行业组织应加紧制定安全行为规范，加强行业自律。涉及数据处理活动的单位应深刻把握数据发展面临的机遇与挑战，依法建立健全数据安全管理制度，采取相应技术措施保障数据安全，为数据的共享运用和价值创造奠定坚实的基础。

做好数据安全保护工作需要国家、社会和个人的共同努力。北京国联天成信息技术有限公司总经理门嘉平在接受中国经济时报记者采访时表示，对执法单位而言，建议加大数据安全事件行政执法力度，督促数据持有人加强数据安全监测预警，提升处理突发事件的能力，对于违法数据持有人要进行严厉的处罚，形成一个更安全的氛围。

对企业而言，应强化技术手段建设，构建大数据安全保障体系。对于一些保护数据安全能力欠缺的企业，可以找专业的公司。针对影响业务运营的核心重要数据，应在数据的产生、传输、修改、使用、存储及销毁等数据生命周期过程中应用密码技术进行保护，并实施资源级细粒度的身份认证和访问控制，防止安全威胁侵害以及内部的非授权人员访问带来的业务数据安全风险问题。

对个人而言，在非必要场合，尽量少暴露个人相关信息；非必要的个人信息注册登记，尽量少参与或不参与。“个人信息保护法，2021年11月1日起施行，对个人信息也立法保护，可见个人信息的重要性。”门嘉平说。

数据安全和培训产业将迎新机遇

■ 中国经济时报记者 林春霞

数据安全已成为数字经济时代最紧迫和最基础的安全问题之一。9月1日起，《中华人民共和国数据安全法》（以下简称“数据安全法”）正式实施。这是我国数据安全领域的基础性法律，其颁布实施表明我们国家规范数据发展、维护数据安全的决心，同时也将给相关产业带来发展新机遇。

平台、企业、用户将迎三大利好

清华大学互联网产业研究院副院长刘大成在接受中国经济时报记者采访时说，数据安全法的颁布实施，将给数据运营平台、安全技术企业和终端用户等都带来利好。

刘大成表示， 一是给数据安全、数据保密的运营平台和公司带来利好和安全保障。 二是让传统规范的企业用户和消费者的权益保护有了法律依据。 三是当数据能够得到安全保护之后，数据的应用者反而会增大，推进传统制造业和服务业企业乐于去交付和使用数据和平台。

刘大成说，过去很长一段时间，存在数据滥用、野蛮生长等乱象。数据共享的前提首先就是数据的安全、保密和封装。现在有了数据安全法，从法律上对违规者起到了威慑作用，这对数据提供商来说会更加有安全感，能够保护数据提供者的合法权益，同时保证对大数据、算法和算力更大范围的使用和普及，并减少对自身隐私的伤害。

在刘大成看来，数据安全法保护了守法运营者，也更加保护了数据的使用者，“这不仅有利于数据提供者的增加，也有利于数据平台的拓展和数据应用者的增加。”

此外，刘大成认为，数据安全所带来的技术和业务使用也更加广泛，特别是随着移动互联网、大数据和人工智能的使用，人们利用网络化和数字化技术及平台的门槛越来越低。如果有数据安全法的保障，未来借助数字经济、移动互联网所形成的低技术门槛自雇职业者，如在抖音、快手等平台上推销农产品的山区农民，就可以更安全更便捷地融入到精准连接消费和生产之间的数字贸易渠道中。

数据安全和培训产业蕴藏巨大商机

中央财经大学中国互联网经济研究院副院长欧阳日辉对本报记者说，数据作为数字经济时代最核心、最具价值的生产要素，正在加速成为全球经济增长的新动力、新引擎，5G、人工智能、云计算、区块链等ICT新技术、新模式、新应用都是以海量数据为基础，数据量也呈爆发式增长态势。

数据安全将培育出一些新产业、新业态、新模式，在欧阳日辉看来，从产业发展来看，未来数据安全将独立发展成为一个很大的产业。与数据安全相关的大致可以分为两大产业，一是数据安全服务产业，二是数据安全人才培训产业。

数据安全服务产业里面包括硬件供应商、软件供应商和数据安全服务商，欧阳日辉认为，我国数据安全核心硬件和软件系统对外依存度高，存储器、存储芯片、服务器等核心硬件和自主研发的中间软件产品是我国数据产业发展的重要方向，提高软硬件国产化率，实现自主可控。

数据安全体系包括边界安全、访问控制和授权、数据保护、审计监控等体系，欧阳日辉还表示，数据安全包含数据的采集、处理、检索、传输、交换、安全存储、显示、扩散等环节。数据安全是一个很长的产业链，在这个产业链里面，不仅需要很高端的人才，也需要具备一定技能的普通人才。发展数据安全产业，最终还是要靠高水平、高素质的人才来支撑，数据安全的竞争归根结底是人才竞争。当前，入侵监测和软件开发人才稀缺，中小企业的网络安全专岗人员需求量很大，一线城市是数据安全人才需求的重点区域。

“我国关于数据安全产业已经初步形成了产业链，随着数据安全法颁布实施，产业链或将升级并朝着更高端的阶段去发展。”欧阳日辉说。

构建数据全生命周期的安全治理体系

■ 中国经济时报记者 王晶晶

当前，数据安全上升至国家战略高度。《中华人民共和国数据安全法》（下称“数据安全法”)9月1日起已经开始实施。该法的实施说明数据作为一种新型的、独立的保护对象已经获得立法上的认可。作为我国数据安全领域的基础性法律，该法受到业内人士广泛关注。

蒲惠智造CEO王克飞对中国经济时报记者表示，数据安全法的实施，无疑会促进我国数据安全治理体系的进一步完善，这既离不开党和政府的政策引导，也需要相关企业积极主动参与到数字经济各行业的标准体系建设中来。在此方面，蒲惠智造积极参与《离散型企业制造执行过程云化规范》行业标准的制订工作，助力中小企业走上数字化转型之路。

蒲惠智造运营总监应春红以工业数据为例对中国经济时报记者表示，正所谓“技术无国界、数据有边界”，从微观层面分析，工业数据安全关系到企业财产能否得到保障；从宏观层面分析，工业数据安全直接关系到国家经济安全，而且工业互联网为产业数字化提供了关键基础设施支撑和产业生态基础。所以鼓励发展自主可控的“国潮”工业互联网产业具有非常重要的现实意义，同时，还需要一批自主可控的第三方平台企业来制定相关的行业标准，引领行业健康发展。

门嘉平是北京国联天成信息技术有限公司总经理，长期从事于信息安全领域的他把数据看做企业生存的命根子。在接受中国经济时报记者采访时，门嘉平表示，数据是应用业务系统的核心，承载着企业客户资源、人事、财务、物料、生产等各种信息，尤其是在数字时代，数据的重要性不言而喻。数据安全法提出对数据全生命周期各环节的安全保护义务和责任，不但让数据安全做到了有法可依，还促进了以数据为关键要素的数字经济发展和数据安全市场发展。

其中，数据安全法第22条明确国家建立数据安全风险评估、报告、信息共享、监测预警机制，实现事前风险评估、报告和信息共享以及事中监测预警。

门嘉平对此表示，以上举措从简单的安全产品堆砌到数据安全治理，是从安全产品向安全服务的重大转变。他介绍，安全服务中大部分业务是为数据安全能力服务的，包括数据安全咨询服务、数据安全检测评估服务、数据安全能力认证服务、数据安全技术标准规范建设服务、数据安全人才培训服务等方面的服务供应。只有让数据安全服务与数据安全技术能力建设相结合，才能更好地建设企业数据安全防护能力。

“这不但需要专业化的数据安全风险评估人才和队伍，还需要专业化的技术手段相配合，给国内专业安全服务市场带来巨大的发展机会。”门嘉平说。在他看来，参与数据安全市场活动的组织应该加强数据安全意识，结合业务应用需求，从数据分级分类到风险评估与管控、身份鉴权到访问控制、行为监控与预测到追踪溯源、应急响应到事件处置，从管理层面和技术层面建设数据安全的有效防护机制，保障数字产业蓬勃健康发展，为数据安全市场创造千亿级发展空间。

如何对数据做好有效的安全保护措施？门嘉平表示，一方面，从技术层面而言，数据安全离不开数据库的安全，对数据库的脆弱性管理、安全威胁管控、访问控制、加解密管理、脱敏处理、数据库操作与访问审计等都是关系数据安全的技术措施。

另一方面，在数据安全保护层面，要实施从以网络为中心转向以数据为中心的全生命周期保护策略。即实施数据分类分级，对数据全生命周期状态进行梳理，根据不同的数据敏感等级以及数据使用状态，统筹规划相应数据保护策略，确保数据安全全程可控。

监 制 丨 王辉 李丕光 王彧 刘卫民

主 编丨毛晶慧 编 辑丨马 原