奇安信集團(tuán)網(wǎng)絡(luò)探針事業(yè)部、數(shù)據(jù)跨境衛(wèi)士負(fù)責(zé)人劉洪亮表示,數(shù)據(jù)出境是我國(guó)數(shù)據(jù)合規(guī)領(lǐng)域的典型話題�?�!对u(píng)估方法》�、《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定(征求意見(jiàn)稿)》等法規(guī)的相繼發(fā)布�,標(biāo)志著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》規(guī)定的數(shù)據(jù)出境安全評(píng)估制度正式落地,也意味著數(shù)據(jù)出境監(jiān)管的細(xì)化和加強(qiáng)�。
劉洪亮特別提醒,涉及數(shù)據(jù)出境的絕不僅限于擁有國(guó)際業(yè)務(wù)的企業(yè)����,數(shù)據(jù)交互和應(yīng)用系統(tǒng)的增多令大量的政企機(jī)構(gòu)都可能面臨數(shù)據(jù)出境的安全風(fēng)險(xiǎn)問(wèn)題。例如�,國(guó)內(nèi)某些電商企業(yè),因使用了第三方平臺(tái)或者軟件�,不知不覺(jué)間部分業(yè)務(wù)數(shù)據(jù)已經(jīng)跨境流出;在開(kāi)展數(shù)據(jù)跨境分析時(shí),國(guó)內(nèi)某市的區(qū)政府�����,被發(fā)現(xiàn)有重要數(shù)據(jù)被海外下載的情況����,成為數(shù)據(jù)被動(dòng)出境的案例。
對(duì)廣大政企機(jī)構(gòu)來(lái)說(shuō)���,經(jīng)常面對(duì)數(shù)據(jù)資產(chǎn)不清�����、數(shù)據(jù)流向不清�����、數(shù)據(jù)流向變化不清的局面���,劉洪亮表示,數(shù)據(jù)出境事關(guān)國(guó)家安全�����,企業(yè)及相關(guān)機(jī)構(gòu)在合規(guī)建設(shè)上�,需把握三個(gè)階段,解決好三大難題。
數(shù)據(jù)出境事關(guān)國(guó)家安全 三類企業(yè)機(jī)構(gòu)存在風(fēng)險(xiǎn)
目前�,跨境數(shù)據(jù)已從個(gè)人信息泛化到包括了非個(gè)人信息的一切數(shù)據(jù)范圍。數(shù)據(jù)不受限制的跨境流動(dòng)���,可能會(huì)引發(fā)用戶數(shù)據(jù)易被泄露����、濫用等問(wèn)題���,給企業(yè)帶來(lái)技術(shù)管理�、資產(chǎn)管理和組織管理上的問(wèn)題;尤其是關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)等重要數(shù)據(jù)��,涵蓋了國(guó)計(jì)民生的方方面面���。一旦處理不當(dāng)在出境過(guò)程中被非法獲取���、非法利用,將給國(guó)家安全帶來(lái)嚴(yán)重威脅���。
行業(yè)專家普遍認(rèn)為��,確保數(shù)據(jù)跨境流動(dòng)安全�,成為維護(hù)國(guó)家安全和推進(jìn)國(guó)際數(shù)據(jù)治理的重要課題。但目前數(shù)據(jù)跨境的方式多樣���,既包括將數(shù)據(jù)傳輸、存儲(chǔ)至境外���,也包括從境外可以訪問(wèn)�、調(diào)用境內(nèi)數(shù)據(jù)的情形��。對(duì)大量的政企機(jī)構(gòu)來(lái)說(shuō)��,需要改變“數(shù)據(jù)出境安全風(fēng)險(xiǎn)”僅涉及擁有國(guó)際業(yè)務(wù)的企業(yè)�,這一錯(cuò)誤認(rèn)識(shí)。
總結(jié)奇安信所處理的事件和案例�,目前涉及數(shù)據(jù)出境安全風(fēng)險(xiǎn)的主要有三種類型企業(yè)機(jī)構(gòu),分別是擁有跨國(guó)業(yè)務(wù)的企業(yè)��、由于防護(hù)不當(dāng)導(dǎo)致數(shù)據(jù)被動(dòng)跨境的政企機(jī)構(gòu)�,以及使用第三方平臺(tái)或者軟件導(dǎo)致部分?jǐn)?shù)據(jù)被動(dòng)跨境的機(jī)構(gòu)。
從涉及用戶的類型來(lái)看�,很多政企用戶涉及第二類被動(dòng)出境的情況,其中包括不少的政府機(jī)構(gòu)���。奇安信在相關(guān)機(jī)構(gòu)分析運(yùn)營(yíng)商IDC流量時(shí)���,發(fā)現(xiàn)很多政府相關(guān)信息和文件被下載的情況���。第三類情況則在中小型電商平臺(tái)比較普遍。
出境合規(guī)建設(shè)的三個(gè)重要階段
根據(jù)對(duì)《評(píng)估辦法》的解讀��,以及數(shù)據(jù)出境安全評(píng)估流程的梳理��,奇安信將數(shù)據(jù)出境安全合規(guī)建設(shè)分為三個(gè)重要階段����,分別是事前的風(fēng)險(xiǎn)自評(píng)估階段、安全評(píng)估階段以及持續(xù)監(jiān)督階段����。
第一階段:風(fēng)險(xiǎn)自評(píng)估階段
摸清家底、了解現(xiàn)狀是第一步�����。企業(yè)的業(yè)務(wù)系統(tǒng)與數(shù)據(jù)資產(chǎn)眾多且復(fù)雜��,進(jìn)行數(shù)據(jù)資產(chǎn)的全面盤點(diǎn)非常重要���。此后�����,需要有技術(shù)手段對(duì)流出境外的數(shù)據(jù)進(jìn)行全面的梳理和監(jiān)測(cè)���,清晰的看到自己都有哪些數(shù)據(jù)流出境外�����,當(dāng)前流出了多少,都流向了哪里���,進(jìn)而摸清當(dāng)前數(shù)據(jù)出境的實(shí)際情況�。
第二階段:安全評(píng)估
進(jìn)行全面的風(fēng)險(xiǎn)自評(píng)估并申請(qǐng)安全評(píng)估����,并形成申請(qǐng)報(bào)告,并通過(guò)省網(wǎng)信辦上送國(guó)家網(wǎng)信部門�。
國(guó)家網(wǎng)信部門受理申報(bào)后,根據(jù)申報(bào)情況組織國(guó)務(wù)院有關(guān)部門����、省級(jí)網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評(píng)估��,數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期為2年。
第三階段:持續(xù)監(jiān)測(cè)監(jiān)督階段�。
企業(yè)的業(yè)務(wù)是持續(xù)發(fā)展的,數(shù)據(jù)是動(dòng)態(tài)變化的����,只有事前自評(píng)估是無(wú)法滿足企業(yè)持續(xù)合規(guī)的要求?����!对u(píng)估辦法》中也有明確要求���,事前評(píng)估和持續(xù)監(jiān)督相結(jié)合�����,實(shí)現(xiàn)數(shù)據(jù)出境的持續(xù)合規(guī)�����。
數(shù)據(jù)出境合規(guī)建設(shè)需解決三個(gè)難題
對(duì)于政企機(jī)構(gòu)來(lái)說(shuō)��,確保數(shù)據(jù)能滿足《數(shù)據(jù)安全法》���、《個(gè)人信息保護(hù)法》�、《評(píng)估辦法》等法規(guī)的合規(guī)要求���,需要能清晰掌握業(yè)務(wù)數(shù)據(jù)�����、個(gè)人信息���、重要數(shù)據(jù)等敏感數(shù)據(jù)的跨境流動(dòng)情況——在看清數(shù)據(jù)流向的同時(shí),能清晰���、直觀的看到帶有個(gè)人信息、重要數(shù)據(jù)的敏感數(shù)據(jù)是通過(guò)什么人����、在什么時(shí)間、在什么地點(diǎn)��、通過(guò)什么方式發(fā)送到哪里�。
但隨著數(shù)字化轉(zhuǎn)型的深化,業(yè)務(wù)上云和大數(shù)據(jù)的應(yīng)用���,使IT環(huán)境越來(lái)越復(fù)雜�,應(yīng)用系統(tǒng)越來(lái)越多,數(shù)據(jù)交互越來(lái)越多龐雜�。再加上更多的數(shù)據(jù)來(lái)源、更多應(yīng)用數(shù)據(jù)調(diào)用���、更多的外部合作���,政企機(jī)構(gòu)存在數(shù)據(jù)資產(chǎn)不清、流向不明的情況��。
因此�,政企機(jī)構(gòu)在數(shù)據(jù)出境領(lǐng)域面臨著三個(gè)難題:第一個(gè)難題就是如何厘清數(shù)據(jù)資產(chǎn),明確自己數(shù)據(jù)資產(chǎn)的屬性�����、量級(jí);第二個(gè)難題是如何明細(xì)數(shù)據(jù)流向;第三個(gè)難題是從網(wǎng)絡(luò)上流動(dòng)的數(shù)據(jù)如何持續(xù)監(jiān)測(cè)�����,同時(shí)避免數(shù)據(jù)被動(dòng)出境�����。
合規(guī)建設(shè)離不開(kāi)技術(shù)手段支撐
無(wú)論是風(fēng)險(xiǎn)自評(píng)估階段,還是持續(xù)監(jiān)督階段����,都需要有技術(shù)手段進(jìn)行支撐,否則企業(yè)就無(wú)法在事前了解現(xiàn)狀�,日常運(yùn)行中由于業(yè)務(wù)變化導(dǎo)致出境數(shù)據(jù)發(fā)生變化也無(wú)法及時(shí)掌握。
2022年5月18日���,奇安信對(duì)外發(fā)布了數(shù)據(jù)跨境衛(wèi)士��,它是基于政企的訴求研發(fā)的一款產(chǎn)品�,可以在兩個(gè)重要階段協(xié)助企業(yè)進(jìn)行數(shù)據(jù)出境的合規(guī)建設(shè)��,幫助企業(yè)清晰掌握業(yè)務(wù)數(shù)據(jù)��、重要數(shù)據(jù)��、個(gè)人信息等敏感數(shù)據(jù)跨境流動(dòng)詳情�,做到對(duì)跨境數(shù)據(jù)流轉(zhuǎn)的可知�、可視、可查���。
憑借領(lǐng)先流量采集與還原能力�����、數(shù)據(jù)跨境傳輸檢測(cè)能力�����、數(shù)據(jù)跨境內(nèi)容識(shí)別能力���、數(shù)據(jù)跨境敏感數(shù)據(jù)檢測(cè)能力���,數(shù)據(jù)跨境衛(wèi)士可以幫助政企機(jī)構(gòu)實(shí)現(xiàn)保障合規(guī)、可查可驗(yàn)����、看清流向、持續(xù)監(jiān)測(cè)等四方面價(jià)值��。
首先是助力合規(guī)���,根據(jù)《數(shù)據(jù)安全法》��、《個(gè)人信息保護(hù)法》��、《網(wǎng)絡(luò)安全法》���、《數(shù)據(jù)出境安全評(píng)估辦法》跨境數(shù)據(jù)監(jiān)管等合規(guī)要求����,進(jìn)行網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)的發(fā)現(xiàn)和合規(guī)性檢查;其次是可查可驗(yàn)����,清晰掌握業(yè)務(wù)數(shù)據(jù)、重要數(shù)據(jù)以及個(gè)人信息等敏感數(shù)據(jù)跨境流動(dòng)詳情;第三是看清流向����,可以全面了解WHO(什么人)、WHEN(什么時(shí)間)���、WHERE(什么地點(diǎn))�、HOW(什么方式)���、WHAT(什么數(shù)據(jù))等整個(gè)數(shù)據(jù)跨境流轉(zhuǎn)的整個(gè)過(guò)程��,實(shí)現(xiàn)全局掌控;最后是持續(xù)監(jiān)測(cè)����,持續(xù)監(jiān)測(cè)企業(yè)通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)跨境流動(dòng)的詳情���,及時(shí)發(fā)現(xiàn)出境數(shù)據(jù)的變化情況���,助力企業(yè)持續(xù)合規(guī)。
當(dāng)前�����,我國(guó)數(shù)據(jù)跨境需求逐漸凸顯�����。根據(jù)國(guó)家互聯(lián)網(wǎng)信息辦公室對(duì)外的數(shù)據(jù)顯示�����,從2017年到2021年�����,我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模從27萬(wàn)億元增長(zhǎng)到超45萬(wàn)億元���,穩(wěn)居世界第二���。數(shù)字經(jīng)濟(jì)發(fā)展動(dòng)能正在加速釋放�,對(duì)外數(shù)字經(jīng)濟(jì)將迎來(lái)極大的發(fā)展空間�,數(shù)據(jù)跨境傳輸?shù)男枨笾饾u增多,在經(jīng)濟(jì)交流過(guò)程中合法合規(guī)使用數(shù)據(jù)����,將成為國(guó)家安全和企業(yè)發(fā)展的重中之重。奇安信預(yù)計(jì)����,數(shù)據(jù)跨境安全將有上百億元的市場(chǎng)規(guī)模。
比.jpg)
