11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(简称“《管理条例》”),并向社会公开征求意见。《网络数据安全管理条例(征求意见稿)》提出哪些具体内容,又有哪些内容需要重点关注?如何采用相适应的防御理念和数据安全保障措施?美创科技高级数据安全咨询顾问对此进行详细解读。01《管理条例》的核心目的 从总体的角度来看,《网络数据安全管理条例(征求意见稿)》是为规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,对《网络安全法》、《数据安全法》、《个人信息保护法》的落地、细化和补充。
从管理条例不同章节的角度来看,每一章节则具有不同的核心目的:
● “总则”中明确此管理条例的立法目的、立法依据及适用范围,确立网络数据安全工作方针。● “一般规定”中对网络数据处理活动提出基本要求,起到承上启下作用。● “个人信息保护”中映射《个人信息保护法》,约束数据处理者对个人信息处理条件,保障权力主体对自身数据的唯一所有权。● “重要数据安全”中明确数据安全管理机构和数据安全负责人的具体要求,量化重要数据处理者备案内容,制定数据安全培训计划,明确数据安全评估细则等。● “数据跨境安全管理”中明确数据出境要求,量化数据出境条件,明确数据处理者向境外提供数据应履行的义务等。● “互联网平台运营者义务”中明确互联网平台运营者平台规则、隐私政策、第三方数据安全责任,量化鼓励内容和禁止行为等。● “监督管理”中规定网络数据监管机制及各部门职责分工,明确监管部门监督检查措施,强调义务主体配合的义务等。● “法律责任”中明确义务主体违法处理网络数据及不履行此管理条例规定的法律责任,规定国家机关不履行此管理条例保护义务的罚则。● “附则”中对此管理条例涉及到的术语进行定义,并予以解释说明。 02《管理条例》关键要点需知
强化边界、维护数据主权
此管理条例在总则中,更加强调数据处理活动的边界,维护国家安全、数据主权的决心,界定了只要动作行为是在我国境内开展对个人或组织数据的利用、处理、分析、评估等行为,无论境内主体、境外主体都会受到此管理条例的约束。 持续创新、人才培育
此管理条例是建立在迎合国家数字经济价值大方向的前提下,使其即可促进数据开发利用、又可保障数据安全。提出了对网络数据安全行业的创新力、人才培育、责任人技战术能力国家予以支持,体现安全行业的重要性及人才短缺性。
迎合政策、细分级别
落实国家分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,细化了数据分类分级(一般数据、重要数据、核心数据),不同级别应有不同的保护措施。 预感先知、防御强化
数据处理者需结合数据等级持续建立自身数据安全能力,保护数据在处理前、处理中、处理后数据的完整性、可用性及保密性,提前建立预感先知的应急处置机制,并采取技术措施如(备份、加密、访问控制、密码技术等),重要数据需结合三级以上网络安全等级保护和关键信息基础设施安全保护要求,核心数据需依照有关规定从严保护,强化网络产品和服务能力,对存在安全缺陷、漏洞等的及时采取补救措施。 甄别发现、限时上报
如发现安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案,发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,并进行明确数据信息等。
义务约束、权力保护
数据处理者对个人信息处理,需要建立在“告知—同意”《个人信息保护法》核心原则基础上开展,并制定针对个人信息处理者严格进行遵守及落实,明确了个人信息处理最小必要原则,同意及重新取得同意的具体要求和举证责任,当个人提出查阅、复制、更正、补充、限制处理、删除个人信息的合理请求时,数据处理者首先需要判断请求是否合理合法,在进行义务层面的满足;当请求的转移信息基于同意或订立、合同履行、不违背他人意愿、请求人身份合法等,数据处理者应当为个人制定的其他数据处理者访问、获取其个人信息提供转移服务。 职责明确、能力提升
明确数据安全管理机构职责,强调在此机构中,需提出决策建议、制定方案、开展监测、安排活动、处理投诉、报告情况,对数据安全负责人能力进行了要求,需具有数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,并保障数据安全负责人的特殊权力(可直接向网信办和主管、监管部门反映数据安全情况)。针对技术和管理人员每年教育培训时间不得少于20小时,更加强调了安全意识及安全能力的持续强化,如涉及处理重要数据或者赴境外上市的数据处理者,需自行或者委托数据安全服务机构开展数据安全评估,并每年与1月31日前向社区的市级网信部门提报上一年数据安全评估报告,更加强调了出境数据的严要求、高标准、可审查的机制。权力保护、强化约束明确了向境外提供数据的约束条件和数据出境的告知义务,一、出境数据条件中,首先需要通过国家网信部门组织的数据出境安全评估。其次 ,数据处理者和接收方均通过个人信息保护认证。再次,订立合同约定权力和义务,并履行法律其他条件。二、数据出境告知要求中,首先,告知境外数据接收方的名称、联系方式、处理目的、处理方式等事项,告知个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项;其次,需取得个人的单独同意,当收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。信息区分、贴近市场、行为约束此管理条例鼓励及时通信服务平台运营者区分管理个人通信信息和非个人通信信息,以及平台之间的互联互通要求,禁止平台运营者利用数据或者平台规则实施不正当竞争或者滥用市场支配地位的行为。同时,需要针对隐私政策更加贴近市场需要,听取社会声音,并建立针对差异定价、不公平竞争、阻碍市场创新的禁止行为,通过义务的持续执行及时披露制定程序、裁决程序,保障平台规则、隐私政策、 算法公平公正。互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途,需要对有关部门调取或访问公共数据、公共信息予以配合等。强化监管、关口前移更加强调国家级数据安全行动及机制,保障数据流动的同时,建立防御监督能力,如需建立健全应急处置机制、应急预案平台、网络安全信息共享平台、支撑国家网络安全事件应急响应机制及加强应急处置工作。监督管理责任部门,由国家网信办部门进行统筹协调数据安全和相关监督管理工作,由公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。行业主管部门承担本行业、本领域数据安全监管职责;明确国家建立数据安全审计制度,数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行 法律、行政法规规定的义务等情况。03 权利主体与义务主体应关注的重点《数据安全法》中明确强调“相关部门应依照本法律和有关法律 、行政法规的规定,在各自职责范围内承担数据安全监管责任”,国家网信办在职责层面对《数据安全法》提到的数据安全监管责任具有统筹协调监管的工作任务,为了更加落地实施上层法律提到的数据安全监管责任,对数据安全市场的持续良性发展进行管理、约束和保护,国家互联网信息办公室会同相关部门研究起草此管理条例。通过此草案我们可以看出,作为统筹监管的主体(网信部门)在保障各个机关单位、行业主管部门的监管职责的同时,更加强化了网信部门在数据安全中的监管权力;作为义务主体的“数据处理者”及“互联网平台运营者”具有在网络数据安全层面的细化约束及必须要履行的义务,作为权利主体的“自然人”对绝对拥有权和知情权进行了明确保护,并基于此理念反推在个人信息层面数据处理者应履行的义务。因此,此管理条例涉及到的主体包括:义务主体(数据处理者、互联网平台运营者)、权利主体(监管部门、自然人)。● 结合此管理条例,作为义务主体的数据处理者需要对自身的网络数据安全防御能力、威胁发现能力、漏洞补救能力、制度完备能力、责任人技战术能力、投诉渠道开放能力、公开透明能力等进行义务履行及强化。 ● 作为义务主体的互联网平台运营者,在结合此管理条例进行义务履行强化的前提,需要首先对互联网平台运营者的履行义务的范围进行确定,通过是否对数据进行了处理进行判定,如“是”此义务主体即是互联网平台运营者、也是数据处理者,即需要满足此管理条例中的数据处理者的要求,也同样需要满足互联网平台运营者要求(即:平台规则、平台数据安全情况、隐私政策、披露制度等),如“否”此义务主体只履行此管理条例的互联网平台运营者的义务进行能力强化。
● 在结合此管理条例作为权利主体的监管部门(注:这里所指的权利是国家赋予的监管权利),需在尽到对义务主体监管职责的同时,制定符合自身特点的数据安全规划、数据安全事件应急预案、定期开展风险评估、监督检查等。● 作为另一个权利主体的自然人(注:这里所指的权利是自然人对个人信息的绝对拥有权),以《个人信息保护法》中提到“告知—同意”为核心原则,保障权利主体的自然人拥有个人信息的绝对拥有权,并结合核心原则反推建立对义务主体数据处理者的约束机制(如:采用个人权益影响最小方式、量化处理内容、提供便捷服务、风险保护等)。 04 如何建立适应发展的数据安全防御理念
从满足义务主体合规性、体系化整体性考虑防御理念。首先,要在思想侧进行转变,形成此管理条例的意识形态。一、从目前网络与数据安全市场的各厂商防御体系建设分析来看,市场大致可分两类:一是以面向攻击者所使用的攻击工具开展防御体系建设;二是以面向安全事件及攻击者的作业方法开展防御体系建设。 相对于面向攻击者所使用的攻击工具来讲,面向安全事件及攻击者作业方法开展防御体系建设要更能体现防御能力及防御效果。通过问题看本质,我们发现无论是面向攻击工具,还是面向安全事件及攻击者作业方法,都存在一个本质性的问题“样本量的大小”,由于相对于正常状态,网络与数据安全发生威胁还是小概率的,也就是说正常状态的样本量要比非正常状态的样本量多出很多,那么这就形成了一种现象,基于样本正常状态的分析要比基于非正常状态的分析更为科学、准确、覆盖面更广、可参考价值更大。 因此,在构建防御能力中,检测对象从网络与数据安全问题转变为面向检测样本足量的网络与数据安全的正常状态基于首位,其次,在对网络与数据安全非正常状态问题进行检测。如:当基于正常检测内容发现不符合正常状态,进行标记、界定,在将此信息放到检测网络与数据安全问题中轮循,在做好防范的同时,尽可能确定是什么安全问题。二、攻击组织在对目标发起攻击前,最初必不可少的一步是对目标进行持续探测,更多的还是针对于主机端口的探测。那么从防御角度来讲,需要确保正在使用的端口尽可能不被发现。因此,在此作用域中做好两件事:一方面降低或者避免在外网直接被攻击;另一方面降低或者避免被入侵后横向蠕动。三、漏洞存在是一种客观现实,即使当前漏洞全部修复也并不意味着没有漏洞,所以,在建立数据安全防御体系中,需要以与漏洞长期共存的视角出发,建立数据安全防御能力,并考虑隔离漏洞理念。既然是长期共存,我们就要让漏洞与漏洞之间互不影响,当某一漏洞被入侵,只把入侵者锁定在此应用软件本身,不会交叉感染,使风险控制在最小域中。四、管理资产首先就需要定义资产,明确我们的管理对象。资产如同坚固堡垒,边界则是堡垒中的门、窗、瞭望口等和外界的连接通道,门窗打开显然需要许可的。资产不仅仅只是被授权的被动体,这里强调,资产和边界更多应表现为一个主动体,是资产决定了可以被谁访问,而不是身份决定可以访问什么资产,一切围绕资产主动体进行展开。五、数据只有在流动中才会持续产生价值,需保障数据无边无际流动的同时,提升数据安全能力,并非为了提升安全性而去阻断数据的流动,这不利于盘活数据要素经济价值的良性发展。保障数据无边无际的流动,需要承认数据有可能流经到我们所不知道的区域中,同时数据的流通总是从高安全区域流动到低安全区域,最终流动到不受控制的区域。因此,我们需要在“未知流动”和“失控流动”中建立安全保护能力。 结合思想侧的转变及意识形态的建立,我们得出结论,结合此管理办法数据安全设计中,需要做到:
● 在不可靠的网络中以人、边界、资产寻求建立可靠的支撑点,并承认无边界访问的事实,并在此基础上定义出新的边界;
● 要实现基于上下文的风险动态访问策略,持续判断上下文行为的变化、持续评估信任等级;● 要保证数据无边无际的流动发挥数据最大化价值的基础上,建立防御措施;● 要基于上下文的动态访问控制,简化身份构成,把人、终端、应用、账户之外的其他动态信息从身份中剥离出来,构成上下文空间,使身份和行为在上下文空间中进行活动,并对上下文空间的身份持续开展评估,遵循“旧事物就是可信的、新事物就是不可信的”基本原则,以概率评估的基本方法来影响信任度和风险度。 05 如何采取合规措施进行数据安全建设
防御措施
首先,针对此管理条例建立义务主体内部规章制度、操作流程及责任人,规章制度与操作流程互为补充 、互为辅助,责任人按照制度及流程推进、实施。其次,针对此管理条例细化的分类分级标准(一般数据、重要数据、核心数据)开展义务主体的数据分类分级建设,结合“以人为本、工具为辅”理念进行资产梳理,使义务主体了解自身家底及安全现状,以“权益影响最小”为原则,明确资产信息,并对网络数据资产进行分类分级,明确哪些为一般数据、哪些为重要数据、哪些为核心数据,针对已形成的分类分级标准划分权限,规避超级用户权限。再次,“以网络安全防御为基石,叠加数据安全防御能力”,网络安全防御围绕等保2.0细则为抓手,以建立可信原则为理念,在纵深侧持续加固的同时,更加往积极防御能力迈进,持续动态调整自身安全策略,建立可信边界。叠加数据安全防御能力围绕数据全生命周期进行开展,划分不同的安全域,将安全产品映射到不同安全域中,并结合义务主体的真实业务场景,量化数据全生命周期每一维度可能产生的网络数据安全隐患,结合场景化叠加数据安全能力,使其可防御、可追溯、可甄别、可研判。最后,建立网络数据安全培训体系,持续赋能义务主体,形成意识形态、威胁能力、网络数据安全理念、网络数据安全体系、网络数据安全能力的整体培训赋能体系,全方位、多角度为义务主体持续赋能,实现安全防御能力移交,促进行业良性发展。技术手段● “外部防御”:建立应对爆发式增长的勒索病毒防御手段,以可信为原则,实时监控各类进程对数据文件的读写操作,并对数据资产建立防御堡垒,将主机防护、基线防护、威胁情报、诱捕等技术手段综合考虑,快速识别、阻断非法进程入侵行为。● “内部夯实”:建立数据库准入、应用访问控制、敏感数据脱敏、误操作恢复、运维审计等防御能力,解决义务主体在内部运维过程中的数据安全问题;建立业务应用于数据库间的防止外部黑客入侵的行为防护能力,快速捕获SQL注入的行为特征,建立SQL白名单策略,抵消并消除由于应用程序业务逻辑漏洞或缺陷所导致的数据库安全问题;建立审计追溯技术手段,深度解析网络流量中的数据库协议,还原数据库的操作行为,实现数据库的操作行为监控和记录,对异常访问数据库行为进行告警;梳理义务主体内部资产,结合脱敏算法建立数据分类分级,形成智能化手段,以表格列、Schema级别、业务单元等划分数据级别。● “传输加固”:在对业务系统无影响的前提下,结合原生加密技术、通用加密技术、闪电加密技术对数据进行传输存储加密,构造在数据流动中的新边界,基于真实身份权限对敏感数据进行实时动态脱敏、准入控制和审计,利用匿名化和脱敏的手段,让私有化数据可成为公开数据从而支持无边无际的流动;利用“水印”技术实现失控数据追踪的可能性,通过“数据版权水印”实现数据所有权侵犯的检测和确认,通过“流向水印”追溯确认数据的不当泄露;建立制度性审计、检查和报告,起到数据流动安全的监督作用(数据发生交易,数据产权依然由数据原始提供方所有,获得方仅仅具有数据使用权和加工权),从事后检查审计的角度让数据流动风险控制在一定范畴之内。 ● “关口前移”:通过汇聚流量信息、资产全量识别、用户行为分析建立对义务主体的资产全域管理能力、风险全域可视化能力及策略全域联动能力,实时监控安全态势动态、主动发现安全风险、联动安全设备及时处理安全隐患,并集合人员经验及智能化辅助工具动态调整安全策略。
浙公网安备 33010502006954号 
