《中华人民共和国数据安全法》(下称“《数据安全法》”)已于 9 月 1 日正式落地实施,作为我国第一部有关数据的基础法,其意义无须多言。一石激起千层浪,社会各界解读不断,但重点太多等于没有重点,本文仅从灾备行业关注的角度,理一理《数据安全法》的“前世”、“今生”以及“未来”。
一、没有数据安全就没有国家安全
数据作为重要的生产要素,被国家列为基础性战略资源,回顾该法的诞生历程,可以看出“数据安全”是与“国家安全”直接联系的:
2015年-《国家安全法》第 25 条提出:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”
2017 年-《网络安全法》将数据安全纳入网络安全范畴
2018 年-《数据安全法》、《个人信息保护法》纳入人大常委会立法规划
2019 年-国家互联网信息办公室相继发布《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等多部《网络安全法》体系的下位配套文件
2020 年-《数据安全法(草案)》正式向社会公开征求意见
2021年9月1日-《中华人民共和国数据安全法》正式生效
数据安全问题横跨数据与安全两大领域,作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成部分,该法第 1 条明确立法宗旨之一为“维护国家主权、安全和发展利益”,这与《国家安全法》第 25 条国家网络与信息安全保障“主权、安全和发展利益”的宗旨相呼应。
所以,《数据安全法》的“前世”,是与国家安全息息相关的。
二、定位:数据安全领域的基础性法律
从立法定位上看,立法说明中将《数据安全法》定位为“数据安全领域的基础性法律”。
这里要明确“基础法”这一概念,作为基础法,更多的不是提供解决问题的措施,而是为问题的解决提供指导思路,后续数据安全领域的具体的法律法规都要按照基础法的思路进行制定。
已经公布的法律条文中,对灾备行业有哪些指引呢?
逐条分析,《数据安全法》给灾备行业的指引可总结为如下几点:
1.建立数据分级分类保护与安全应急处置机制(第 21、23 条)
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
2.重视重要数据保护并落实数据安全保护义务(第 27、29、30 条)
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
3.保障政务数据安全,严格规范数据处理者活动(第 39、42、45 条)
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
三、灾备行业如何技术性解题?
题目和出题思路已经给出,下一步就是如何解答了。
1.数据分级分类保护与安全应急处置机制将加速灾备市场发展
第 21 条中要求对生产数据进行分级分类,数据生产者不能仅是通过单一备份的方式将数据进行本地备份,而是要采用多层次、多策略的数据保护方法进行规划设计。例如 3-2-1 备份策略,即数据至少有 3 个副本,其中 2 个副本存储在本地的不同介质上,另外 1 个副本存储在异地设备上。
对不同重要级别的数据按需进行数据级、应用级、业务级的保护,特别要加强对重要数据的处理,要加强关键系统、数据库的本地容灾、异地灾备、云灾备的建设,在数据不丢的基础上,做到业务不停。
涉及到业务连续性的具体灾备场景,可以分为常规运维操作保障、本地故障场合应用恢复、灾难场合的业务恢复三种,相对应的业务连续性策略则有连续操作(Continuous Operations)、高可用性(High Availability)、灾难恢复(Disaster Recovery)三个方面。
2.落实重要数据安全保护义务,完善灾备制度建设
法条中多处强调要对“重要数据”进行保护,第 45 条作为《数据安全法》中为数不多的创设性法律责任条款,对开展数据处理活动者提出具体规定以及违法义务的行政处罚,最高罚款可达 1000 万。
责任越大,对数据处理者的专业灾备技能要求也越高。企业或机构在选择安全方案时,不仅要关注数据安全保护技术是否合适,还要考虑方案是否易扩展、便于管理、操作灵活,是否会影响到后续系统迁移或升级等问题。
因此,除了技术上的安全建设,还要完善相应的灾备制度建设。对于数据处理者来说,需要建立完善的风险应对机制,比如对数据进行实时风险监测、定期开展容灾备份演练等。另外组织要注重专业灾备人才的培养,比如可以开展数据安全培训、专业工程师认证等活动。
3.重点保障政务数据统一规范、互联互通、安全可控
该法第五章对政务数据安全进行单独规定,再次与国家安全相呼应。对于政务数据的安全建设,要求更高,需要构建统一规范、互联互通、安全可控的政务数据开放平台。
由于传统 IT 系统架构复杂、异构程度高,给不同政务平台间的数据传输造成阻碍,导致“数据孤岛”的问题产生。为了打通数据孤岛,可以通过数据库语义级数据复制技术,通过实时高效数据传输和多线程抓取日志并行加速,在不同数据平台间构建信息高速公路,满足“统一规范、互联互通”的要求。另外,安全可控也是出于国产化替代的角度,将基础软件、数据库、操作系统、芯片等替换成国产自主研发,保证核心技术不受制于人,推动政务数据的安全流动、开放利用。
总结
从顶层设计到逐步推动,再到最终实施,《数据安全法》由中央国家安全领导机构颁布,站位很高且推进迅速,意味着中国在数据安全方面初步建立起一套法律架构。
相关从业者除了知法、守法,更要懂法、用法,深刻理解法律实施的背景、定位,才能更好的治理和发展,拥抱开阔的未来。