近日,公安部网安局通报一起浙江公安网安部门适用《数据安全法》对违法单位罚款100万元的典型案例

根据报道,2023年3月,浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《数据安全法》第四十五条的规定,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。针对建设单位失管失察、未履行数据安全保护职责的情况,当地纪委监委依照《温州市党委(党组)网络安全工作责任制实施细则》规定,对建设单位主要负责同志、部门负责人等4人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。

该案的处罚力度引发普遍关注,数据安全的重要性再一次警醒行业。《数据安全法》第四十五条的法律责任针对的是不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的开展数据处理活动的组织、个人。对应来看,这几条规定明确的是数据安全保护义务:

开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

从满足合规以及确保让数据安全创造价值的业务目标出发,数据处理活动过程的安全性是当前数据安全建设的重点和难点。数据在组织内部因畅通无阻且缺乏监控,内部人员的种种无意识违规行为容易造成越权滥用、无序扩散、存储混乱等风险,恶意泄露以及被攻击窃取的风险也在不断增加。由于传统的网络安全机制聚焦在内外部边界部署一系列检测、监控、拦截等感知和处置措施,缺乏对于数据在内部流动的可见性,以及对数据全生命周期的形态、位置、副本等情况的变化跟踪,存在很大的数据防护盲区,而且发生了数据泄露等安全事故之后,也难以溯源分析出流转路径和事件全貌。

为了对抗数据时代的数据安全挑战,需要新的防护理念和安全架构,数据安全的左移趋势愈发强烈,需要让数据在存储、应用以及终端中都能保证数据被安全地存储、使用和共享,既要满足合规要求又要做到真正的风险识别和可控,这需要将数据防护措施从传统的边界拦截延展到数据运营全流程。更早地识别并标记组织内的数据资产,并且对数据流动的轨迹、状态的变化进行记录成为有力的突破手段,安全策略应该依据数据本身的风险变动而做出细粒度的、动态的控制。

数安行基于对以上挑战的观察思考和探索实践得出,通过在数据运营中内嵌安全属性的方式,可以实现数据安全左移的技术落地。作为是一种自动化的安全,其基本思想即是在数据运营的第一现场持续地对数据处理和使用全流程进行追踪,这样才能监测到数据变形处理流转的整个过程,直面数据的多态性和多副本性,发掘数据风险的真正源头,实现数据安全能力的延展。

着眼到落地实施层面,需要将该安全思维产品化,引用零信任理论打造安全平台,以人工智能为核心驱动,通过对数据业务全流程进行无改造映射,在不改变网络架构、不改造业务的情况下,从数据本体防护角度出发,对敏感数据内容及使用环境进行持续的检测分析,对于使用数据的主体用户也会进行身份角色验证和持续的风险评估,让平台拥有了对用户身份及授权设备进行管理和双重验证的能力。

有了对敏感数据和用户身份及风险的检测识别能力,就可以准确地识别内部的扩散风险和违规滥用风险。默认所有的人和环境都是不可信的,而且信任状态也是持续变化的,基于这种持续的、动态的风险评估,才能真正实现自适应的安全防护。最终是旨在提升数据运营过程中数据自身的安全性,保证数据运营过程中数据的安全,促进数据快速流转及安全协作共享,防范内部数据违规滥用风险。

对应于上文《数据安全法》提出的数据安全保护义务,数据安全左移正是建立健全全流程数据安全管理制度的落地方针,包括数据收集、传输、使用、存储、共享等全生命周期在内的数据流转跟踪与管控形成安全闭环。对数据处理活动定期开展风险评估,同样取决于对数据资产的识别梳理和其流动过程的动态风险及变化的可见和响应,该方法对多源异构数据使用及变化过程进行标注跟踪,支持数据使用链路的智能聚合及快速溯源,便可实时感知数据违规使用及流转风险。

总体而言,涉数据处理活动的企业需要与时俱进的数据安全策略,价值在于提供自动化的数据价值发现及数据安全服务,实现隐私数据保护、商业秘密保护和数据业务的有效平衡,帮助管理跟踪多种类型、各种来源的个人隐私数据及商业数据,促进各类数据角色的跨职能协作,满足数据使用的法律合规要求,防范内部数据违规滥用风险,让数据安全地创造价值。

(本文作者:北京数安行科技有限公司 郭灵)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。