9月7日上午,由北京天空卫士网络安全技术有限公司与中伦律师事务所主办,上海安言信息技术有限公司承办的“2022数据安全技术大会法律法规分论坛”以线上直播的方式在北京召开。
《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等法律法规的实施,旨在规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。通过促进数据依法合理有效利用,充分发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济,更好服务我国经济社会发展。
在本次论坛上,来自中伦律师事务所、普华永道、天空卫士、神州云科、上海安言的多位资深专家结合法律政策和实践经验,为我们带来数据安全“技术+合规”的内容分享。
数据出境遵法律要遵从“三件套”,申报时“一看二慢三通过”
随着我国数据跨境传输机制“三件套”(《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》)的陆续出台,可以预计,自2022年下半年开始,我国将进入数据跨境活动强监管时代,企业也将面临数据跨境合规方案落地的严峻挑战。中伦律师事务所 高级合伙人 陈际红对数据安全出境相关法规遵从做了介绍。包括对数据跨境传输机制“三件套”的全面理解和选择、企业数据跨境方案的制定和实施、“法律+技术”如何配合和实施。陈律师提到"我们把这个数据出境落地方案分成七步法,企业按照七步法可以有效的开展数据出境的相应的落地。这七步分别是:数据盘点和分类分级、出境相关业务场景识别与收集、选择适配出境机制、风险自评估、合规整改、再次评估、去网信办申报安全评估。”
《个人信息保护法》落地支撑的法宝——以人为中心的数据安全体系
每一个人都是信息的主体,在数字化转型中,大量的个人信息被收集。我们的个人信息在不知情,或者没有征得个人信息主体的同意下,被大量收集。数据安全合规已经不单纯的是一个技术性的问题,还涉及到了管理、规章、制度,权益等内容。北京天空卫士网络安全技术有限公司合伙人、高级技术总监 杨明非 给我们带来 《从个人信息保护法到企业数据安全治理最佳实践》为主题的内容分享。杨明非提到“数据安全治理是实现《个人信息保护法》落地的最佳方式和技术。在数据安全建设的技术能力上,天空卫士可以实现“五能”,分别是为能识别、能控制、能阻断、能追溯、能审计,这五个能力形成一个持续性的闭环,这样,企业无论是基于合规、还是基于数字化转型的支撑、数据安全治理的能力的评估,企业围绕着这五个方面一定能有一个非常好的方式和方向去建设自己的数据安全的体系,这里最重要的一点就是需要以数据为中心构建数据安全体系。天空卫士以人为中心的数据安全体系,可以对《个人信息保护法》实现技术落地支撑。
将律师的话转换成技术的活儿
在隐私保护强监管与复杂个人信息处理场景双重驱动下,企业的隐私保护治理面临巨大挑战,面对挑战,那么企业具备什么样的能力,才能做好隐私治理的数字化的工作呢?或者说才能建设出适用于自己的隐私治理的数字化的平台呢?普华永道管理咨询 合伙人 叶天斌从技术落地的视角与我们分享了企业如何通过数字化的手段来应对一系列数据合规的挑战。叶总讲到“企业合规工作非常难,可以说是如履薄冰。我们根据实践,总结了三个基础能力和四大数字化能力。三个基础能力,包括对法律的熟悉能力、对标准的解读能力、企业应用场景适配能力,就是说能够把律师的话,转换成技术的活儿。四大数字化能力,是指看得要远,手脚要快,脑子要灵,心胸要大。”
应用安全也好,数据安全也好,都属于可管、可控、可观测的部分
《数据安全法》的实施, 提高了社会整体的数据安全保护水平, 促进了行业建康发展, 要想加强数据安全法的执行,数据安全当然是一个必不可少的技术门类或者话题,而安全的基础是可视、可观测。神州云科 副总裁, 通明湖研究院副院长 吴静涛就 《数据安全前提之可观测性》为大家做了主题分享。什么是数据安全的可观测性呢?吴静涛讲到:“我们可以将互联网理解为地面交通,道路上行驶的汽车,我们在路上在走的时候有红绿灯体系,有收费站体系,路上还有警察在做巡逻,除此之外,还有一些违章拍摄的摄像头,实际上是构建了一套非常完善的监控体系、可视化体系,我们通常在科技上称为可观测性的体系。这个原理用到互联网上就是数据安全前提之可观测性。”目前通明湖研究院在致力于在传统数据中心、云中心和云原生的环境中, 都可以实现无探针的可观测能力, 减少黑箱存在, 为数据安全提供可见可管的前提。"
《个人信息保护法》《网络安全法》《数据安全法》等多部法律法规构成我国信息及数据安全领域的基础法律框架。在大合规背景下,对于企业来说,数据合规必然会面临更大的外部监管压力。数据安全合规是数据安全的基线,而不是行业的最高目标。我们的目标是通过技术手段筑牢数据合规“堤坝”,在保障数据安全合规的前提下,促进业务的快速发展。