我爲《數據安全管理辦法》徵求意見稿找找茬

 

國家互聯網信息辦公室於5月28日發佈《數據安全管理辦法（徵求意見稿）》（如下簡稱「管理辦法」），向社會公開徵求意見。該管理辦法做爲《中華人民共和國網絡安全法》(如下簡稱《網絡安全法》) 的下位法，着重規範了網絡運營者對於我的信息和重要數據的安全管理義務。

 

在本管理辦法中，對利用網絡開展數據收集、存儲、傳輸、處理、使用等活動統一規範爲「數據活動」。除純粹家庭和我的事務外，在中國境內開展數據活動的行爲都必須遵照該管理辦法。所以管理辦法公佈後，有從業者便稱這比GDPR還要嚴格。

 

經過仔細研究與學習管理辦法、《網絡安全法》等法律法規，咱們針對管理辦法中的幾點問題，拋磚引玉，提出來供行業人士討論。

 

缺乏數據分級要求

 

管理辦法中要求採用數據分類措施保護數據，可是忽略了分級的重要性。對於我的敏感信息，只提到了我的信息是指以電子或者其餘方式記錄的可以單獨或者與其餘信息結合識別天然人我的身份的各類信息，包括但不限於天然人的姓名、出生日期、身份證號碼、我的生物識別信息、住址、電話號碼等。同時，根據2017年12月全國信息安全標準化技術委員會發布的《信息安全技術我的信息安全規範》標準我的敏感信息指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易致使我的名譽、身心健康受到損害或歧視性待遇等的我的信息。顯而易見，公民我的信息是有敏感度的區別的。

 

 

一樣，對於重要數據，根據數據的重要程度（敏感程度）必然一樣存在級別劃分。因此，管理辦法應對數據分級作明確要求，並要求針對不一樣分級的數據，採起不一樣強度的保護措施。

 

 

數據安全防範技術要求過於簡練，覆蓋度不夠

 

管理辦法第六條指出，網絡運營者應當按照有關法律、行政法規的規定，參照國家網絡安全標準，採用數據分類、備份、加密等措施增強對我的信息和重要數據保護，履行數據安全保護義務。而《中華人民共和國網絡安全法》第四十二條要求網絡運營者不得泄露、篡改、毀損其收集的我的信息；未經被收集者贊成，不得向他人提供我的信息。可是，通過處理沒法識別特定我的且不能復原的除外。網絡運營者應當採起技術措施和其餘必要措施，確保其收集的我的信息安全，防止信息泄露、毀損、丟失。維護網絡數據的完整性、保密性和可用性。

 

 

面對日益複雜的數據安全問題，做爲《網絡安全法》的下位法，本管理辦法在技術要求方面反而比網安法更籠統和簡潔，實在說不過去。雖然此處用了「等措施」來兜底一切技術，但仍是應該明確必要的技術手段。好比，對於數據使用的留痕，也就是審計的要求，是很是基礎的要求,在管理辦法中卻被省略到「等措施」裏。何況，「等措施」的理解也有模糊的地方，是表示「與」的關係，仍是「或」的關係？容易令人產生理解誤差。

 

同時在管理辦法中關於數據使用的場景覆蓋度也有不足。只提到了數據收集、存儲、傳輸、處理、使用等活動，而對於數據的運維、以及數據銷燬階段等場景和週期的防禦都沒有被說起。

 

數據安全負責人機制還需明確三權分立

 

管理辦法要求網絡運營者指定數據安全負責人。可是這個角色是管理維度和責任維度的角色。從數據安全防範的實際操做來看，須要明肯定義數據安全技術防範工做的「三權分立」概念，即安全管理員、審計管理員、系統管理員這三個角色。這三個角色相互制約，才能杜絕帳戶權限過大帶來的各種數據安全問題。因此，管理辦法中，最好能明確這種「三權分立」的要求。

 

 

對重要數據的防禦要求模糊

 

管理辦法用了大篇幅內容介紹我的數據的安全管理，可是針對企業以及政府等業務中存在的大量高度敏感、高度重要的數據卻十分珍惜筆墨。顯然，將管理我的數據安全的手段用於重要數據保護必然不夠。針對高度重要的數據必須採起對應更安全可靠的防範技術，確保其數據安全。

 

因此管理辦法中應該明確，對重要數據的防禦不該低於對同敏感級別的我的信息的防禦。甚至能夠要求對高敏感數據，採用「金庫模式」進行運營。該管理模式的核心就是對涉及用戶敏感信息的人爲操做，需遵循「關鍵操做、多人完成、分權制衡」的原則，實現操做與受權分離，確保全部敏感操做都有嚴格的控制與審計記錄。

 

 

切實落地恐面臨較大困難

 

數據安全的落地須要遵循「三分技術七分管理」的黃金準則。管理辦法中對數據安全的管理制度作出了諸多明確要求。這些要求，都是具備「落地性」的。可是對於這三分技術，當前來講，落地的前提還比較薄弱。好比對於敏感數據的加密，就存在可行性、性能等多方面的問題。尤爲是針對已上線的、基於進口數據存儲管理系統的場景。

 

數據安全因其高技術壁壘，准入門檻很高，目前國內專一於數據安全的原廠家數量還不多。致使技術難度偏低的產品同質化嚴重，而難度高的產品的供應商很少、創新度也不夠。這都會影響到本管理辦法的落地。

 

缺少政策性的引導與扶持

 

核心技術和產品的研發是須要巨大投入的。迄今爲止，國家在對數據安全創業公司的政策扶持，融資環境等方面是遠遠不夠的。好比總部位於北京的兩家數據安全領域的領導公司，均表示從沒有拿過政府補貼，全靠本身努力和少許的融資生存下來。而國外的數據安全創業公司如Gardium、Imperva、Information、Greensql等，他們專一數據安全中更細分的領域，產品線更窄，可是他們的融資額度倒是國內廠家的數十倍之多（數億美圓）。這種窮日子，使得咱們很難持續投入研發，開發出真正優質好用的產品。

 

《網絡安全法》做爲國家網絡安全的基本法，提到要扶持和鼓勵數據安全產業。本管理辦法做爲專一於數據安全保護的下位法規，也應該參考《網絡安全法》，在政策上扶持和鼓勵數據安全創業公司，讓這個跑道有更多的運動員，才能促使我國的數據安全真正落地。

 

綜上，管理辦法做爲國家層面出臺的第一部數據安全管理層面的法規，已經考慮到了數據安全的方方面面，具備重要的里程碑的意義。通過完善，必將對提升我國總體數據安全防禦能力產生重要做用。

 

中安威士(北京)科技有限公司簡介：做爲中電科（中國網安）旗下數據安全公司，中安威士專一於數據安全15年，專一於數據安全的方案落地。對數據的全生命週期、數據的存管用（存儲、管理、使用）的全場景實現安全防禦。防禦能力包括對數據訪問行爲的留痕、控制、風險預警，也包括對敏感數據的字段級加密，脫敏等。涵蓋關係型數據庫和大數據平臺中的數據。咱們最新的產品方向是HADOOP大數據平臺的安全、數據安全態勢感知。另外主營數據庫審計、數據庫防火牆、數據庫脫敏、數據庫加密。圍繞數據安全的產品系列完整性和性能，在業內數一數二。2018年承擔了國家信息中心，建設銀行等企業的數據安全建設任務，並引入近億元中電科（中國網安）投資基金，正式成爲網絡安全國家隊成員。

 

中安威士：保護核心數據，捍衛網絡安全

 

來源：中安威士