企业动态

    数据安全千万条，坚守合规第一条。近年来，因数据安全不合规被重罚的案例屡见不鲜。不久前，脸书（Facebook）的母公司Meta因将用户信息发送至美国，被欧盟隐私监管机构罚款13亿美元。这笔罚款是根据欧洲标志性数据隐私法《通用数据保护条例》（GDPR）所征收的最高额罚款，这是迄今为止对科技公司处以的最大罚款。

    而在2022年7月，国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规，对国内某出行巨头处以人民币80.26亿元罚款，堪称国内个人信息保护的首单顶格处罚案例，充分体现了“合规不踩线”是企业经营的重要基石。

    诊断：主体责任未压实是重要原因

    面对复杂而严峻的数据安全威胁形势，当前我国各个行业的合规落地、仍存在诸多软肋和不足，而其中最核心的原因，表现在主体责任未压实。

    2021年9月1日，《数据安全法》正式实施，该法律作为数据领域的“上位法”，确定了数据流转过程中组织、个人的安全责任和义务，明确了监管要求。同时，作为纲领性法规，为各部门、各行业、各领域在后续制定相关配套制度、措施、规范和标准过程中指明了方向，尤其强调了对主体责任的压实，推动合规建设进入快车道。

    2023年1月1日， 工信部出台的《工业和信息化领域数据安全管理办法（试行）》（简称《管理办法》）正式实施。该办法明确工信部和地方行业监管部门承担工业和信息化领域数据安全的监管职责，要求相关企业健全数据安全管理和技术保护措施及履行主体责任，全面提升数据安全的保护能力，助推数字经济高质量发展。

    《管理办法》提出，涉及重要数据和核心数据的，应当建立覆盖本企业相关部门的数据安全工作体系，设置专门的数据安全管理责任部门，企业党委或领导班子对数据安全负主体责任，主要负责人是数据安全第一责任人，分管数据安全的负责人是直接责任人，明确各部门数据安全职责及人员，建立常态化沟通与协作机制。

    奇安信集团数据安全首席科学家刘前伟认为，企业“一把手”成为数据安全第一责任人，对于压实责任具有非常重大的意义。组建“数据安全合规专项工作组”，数据合规通过一把手领导牵头，建立一个横跨公司管理、法务、技术、业务等多个部门的综合组织，才能将数据安全合规工作责任落到实处，满足监管需求，并避免安全和业务相脱节。

    应对：合规建设需要系统性构建保护体系

    做好数据安全合规建设，不仅是一个产品，也不能是简单的产品堆砌，需要基于数据访问生命周期风险分析，系统性地构建数据安全保护体系，解决各种数据安全的难题。

    今年5月，奇安信重磅发布奇安天盾数据安全保护系统（简称：奇安天盾），它能够基于六全框架，即全链路监测、全穿透识别，全兵种协同、全闭环处置以及全天候控制、全场景防护，解决各种主要的数据安全问题，做到“能看清、能管好、能防住”，实现“安全合规不踩线、业务数据不出事。”

    以数据跨境传输为例，奇安天盾通过部署跨境数据监测系统组件，通过跨境数据监测系统监测到高敏数据违规出境，将该告警信息上传到数据安全管控平台进行分析和策略调整，零信任安全网关调整该账号访问权限，限制其后续的访问，避免类似事件的发生。

    刘前伟认为，数据安全要做到持续合规，除了产品技术和运营之外，管理、组织、制度流程也至关重要。由于数据在各业务系统之间流转，需要设立高级管理层参与决策的数据安全管理部门，统筹和规划多部门之间的工作；需要设立跨组织的数据管理协调部门，确保制度、流程、技术等方面的落地。

    在这个过程中，除了企业和监管单位的努力之外，还需要充分借助外部的专业力量，依托专业数据安全公司，以及第三方法律机构的参与和支持，对合规制度流程不断完善，对人员技术能力不断提升，对各类安全风险持续跟踪及修复，才能从长远角度提升企业的数据安全水平，确保 “安全合规不踩线”，保障数字化行稳致远。