数据安全系列文章（一）：聚焦法律法规，洞察数据安全内涵

根据联合国贸易发展组织（UNCTAD）统计 ，全球77%的国家（共194个国家）完成了数据数据安全和隐私立法或者已经提出法律草案。其中包括欧盟、美国、中国、俄罗斯和印度和澳大利亚、加拿大和日本等绝大数国家。随着数字化转型的不断推进与深入，数据安全与隐私问题越来越严峻，现代化的数据安全与隐私保护立法已成为全球趋势。

2018年 5月25日，欧盟正式实施《通用数据保护条例》 （GDPR）用以保护欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据以及公民享有的各项数据权利。

受GDPR的广泛影响，全球其他国家也陆续推出了各自相关的法规：巴西于2019年7月通过《通用数据保护法》（葡萄牙语简称LGPD）的最终版本，将于2021年5月生效；印度在2018年12月公布修改后的《2019年个人数据保护法（草案）》（Personal Data Protection Bill, 2019）；泰国于2020年5月正式实施《个人数据保护法》（Personal Data Protection Act，PDPA）等。同样深受GDPR影响，美国各个州在数据隐私领域上纷纷重新立法，包括加利福尼亚州 （加州），蒙佛特州、夏威夷、马里兰、马萨诸塞、密西西比和华盛顿等。其中，最具代表的是加州于2018年6月通过的《加州消费者隐私保护法》（California Consumer Privacy Act，CCPA）由于影响涉及大部分知名IT科技公司，如惠普、Oracle、Apple、Google和Facebook等，该方案从立法到颁布备受各界人士的关注。2019年10月，美国加州州长正式签署CCPA的最终法案，已于2020年1月1日正式生效。CCPA与GDPR类似，同样对企业提出更高的数据合规性要求，据IAPP和OneTrust 调查结果显示，大约仅有2%的受访者认为他们的企业已经完全做好了应对CCPA 的准备。

在执法方面，欧盟GDPR相较其他国家的法规，已经进入全面执法阶段，其典型的趋势是多数成员国已经陆续开出多张违反GDPR的罚单。其中，英国执法力度最大，英国ICO （Information Commissioner's Office）2019年于7月分别对英国航空公司和万豪国际集团由于数据泄露事件分别开出1.83亿英镑和9900万英镑的的巨额罚单。此外，Google罚款事件非常具代表性，备受关注——作为一家大型国际互联网公司，Google却已被欧盟的两个国家罚款：2019年1月被法国处罚5000万欧元，原因是执法方认为Google的隐私条款未充分体现GDPR公开透明和清晰原则；2020年3月被瑞典处罚700万欧元，原因是Google未充分履行GDPR赋予用户的数据“遗忘权”。GDPR立法与执法的严苛程度，从以上的事件可见一斑。

欧盟GDPR

欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称GDPR，是一项保护欧盟公民个人隐私和数据的法律，其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

GDPR由11章99个条款组成，是一项的“大而全”的个人数据保护框架。

第83条给出违反的罚款额度，即最高可处罚2000万欧元的行政罚款，或对企业以最高占上一财政年度全球总营业额4%的行政罚款，取两者最高值。

GDPR赋予了用户(数据主体)知情权、访问权、修正权、删除权（被遗忘权）、限制处理权（反对权）、可携带权、拒绝权等7项基本权利，其中删除权是一项引人注目的用户“特权”之一。即在第十七条中，在个人数据已不再是数据控制者和处理者的收集和处理目的等6种情况下，赋予了用户删除权。

官网提供有两个有趣的例子[1]。

Example 1：假如你加入了一个社交网站，但过了一段时间，你决定要离开这个社交网站。那么你可以行使“被遗忘权”，即要求公司删除属于你的个人数据。

Example 2：当你用你的名字使用搜索引擎搜索时，出现一个很久以前，与你有关的的债务偿还协议，但现在已无关紧要。对于一个普通人，他有权利要求删除这些网络信息。用户除了以上的权利，数据主体还拥有知情权、访问权、修正权、限制处理权（反对权）、可携带权、拒绝权等基本权利。但笔者认为，“被遗忘权”是GDPR赋予用户非常大的一项权利。我们每个人平均一年要注册10多个网站/APP，但很多网站/APP是低频访问或者后续一直不用的状态。但用户的个人数据却被互联网公司收集和存储和处理，用户感觉到“个人数据扩散不可控”。如实说，笔者对一些公司网站的“注册”有种恐惧感，例如个人数据被贩卖第三方从而收到骚扰电话或广告邮件的轰炸、另外一些“小网站”被黑客攻击造成数据泄露的概率也更高。若这些网站/APP提供一键删除注册信息的功能，作为用户，肯定乐于行使该项权利。

美国CCPA

美国已有多个州先在数据安全与隐私保护进行了立法，其中最著名的要数2018年6月加州通过《加州消费者隐私法案》（ 《California Consumer Privacy Act》, 简称《CCPA》）[2]。该法案被称为美国“最严厉和最全面的个人隐私保护法案”，将于2020年1月1日生效。

①  “个人信息”的定义？

CCPA：“个人信息”系指直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息。

解读：CCPA称为“个人信息”，其实和“个人数据”是同一个概念。受GDPR的影响，CCPA同样采用了类似宽泛的定义。根据定义，罗列了出11种个人信息类别，包括姓名、驾照等信息，也有互联网IP标识符、标识符。有特点的是，把反映消费者偏好、特征、心理倾向、偏好、倾向、行为、态度、智力、能力和资质的画像也列入了个人信息范畴。比GDPR更加广泛的“个人信息”范畴给企业个人敏感数据的梳理、治理带来了巨大的工作量和挑战。

②  用户如何行使CCPA赋予的“访问权”？

CCPA：在CCPA的1798.100中，企业从可验证消费者处收到要求访问个人信息的请求后，应立即采取措施向消费者免费披露和提供本节所要求的个人信息。个人信息的提供可通过信件或电子方式，如果以电子方式提供，信息应以便携方式提供并且在技术可行限度内采用易于使用的形式。

解读：CCPA也赋予了消费者知情权、访问权、删除权、限制处理权和拒绝权等权利。CCPA访问权的特色在于回复的“及时性”、反馈的“便携式”——邮件发送等形式，这比GDPR赋予的“访问权”更加具体。当用户需要查看或确认采集信息，无疑这条法规提供了极大的便利。但反过来说，给企业造成了一定负担。

③  CCPA如何惩罚违规的企业？

CCPA: 在1798.155中，对于法规企业，每次违规行为可能要承担高达7,500美元的民事罚款。另外在1798.145中，对于违规企业，为每个消费者每次事件赔偿不少于100美元且不超过750美元的赔偿金，以数额较大者为准。

解读：罚款最有特色的地方，考虑到消费者的损失且量化为影响的消费者数量，将赔偿每一个消费者100-750元的赔偿金，这与GDPR的罚款机制不同。若一个企业违规涉及的消费者信息有100w条，那么它至少要承担1亿美元的罚款。

我国于2017年6月1日正式实施《中华人民共和国网络安全法》 （《网络安全法》）。它是我国首部较为全面规范网络空间安全管理方面问题的基础性法律，不仅包括网络运行安全、关键信息基础设施的运行安全，同时给出数据安全与个人信息保护的基本规定。

自2019以来，我国数据安全相关立法进程明显加快：根据《网络安全法》，国家互联网信息办公室（简称“网信办”）分别于2019年5月和6月发布了《数据安全管理办法 （征求意见稿）》和《个人信息出境安全评估办法 （征求意见稿）》等法规；同年10月1号网信办正式实施《儿童个人信息网络保护规定》，对儿童个人信息安全进行特殊和更加严格的保护。2020年5月我国发布《中华人民共和国民法典》，将于2021年1月1日起实施，其首次在我国法律中明确且具体提出“隐私权”的概念，并确立隐私权范围和个人信息保护一些基本规范。2020年7月，我国对外发布《中华人民共和国数据安全法（草案）》（简称《数据安全法（草案）》），确立了数据分级分类保护、数据安全风险评估、应急处置机制和安全审查的重要制度，明确了开展数据活动必须履行数据安全保护义务等内容。2020年10月，《中华人民共和国个人信息保护法（草案）》（简称《个人信息保护法（草案）》）在人大网公开，该法律赋予必要的域外适用效力，以充分保护我国境内公民的权益，同时回应GDPR等国外法规的同等效力；同时完善和丰富了个人各项数据权利，赋予个人包括知情权、决定权、查询权、更正权、删除权等；同时相比《网络安全法》，对违法的行为加大了惩处力度。《数据安全法》和《个人信息保护法》作为两部较为综合性的法律，前者更加强调总体国家安全观，对国家利益、公共利益和个人、组织合法权益方面给予全面保护，后者则更加侧重于对个人信息、隐私等涉及公民自身安全的进行个人信息与权益的保护。

在跨境数据传输上，网信办于2022年先后公布了《数据出境安全评估办法》以及《个人信息出境标准合同办法》，至2023年3月1日《评估办法》规定的整改期届满。据公开资料的不完全统计，截止2023年底已公布通过评估的企业有29家，与国家网信办和各地省级网信办已受理的千余件申报相比，数据出境申报通过率或仅为百分之一。多数已存在数据出境业务、按规定需进行评估的企业仍然在评估流程中，而《评估办法》规定评估结果有效期仅为两年，企业面临反复而冗长的评估，可能对跨境业务造成不利影响。而2023年9月28号网信办公布的《规范和促进数据跨境流动的规定（征求意见稿）》，在上述规定的基础上进一步细化规范，适当优化了审批程序和适用范围，一定程度地明确和放松了监管要求。此外，在2023年下半年，粤港澳大湾区范围内出台了一系列数据跨境相关的地方法规和标准指南，提供了规范数据跨境活动的多种机制，走在了数据跨境规范管理落地实践的前列。

在数据互联互通与数据交易上，中共中央国务院于2022年年底发布《关于构建数据基础制度更好发挥数据要素作用的意见》、2023年2月发布《数字中国建设整体布局规划》，国家数据局于2023年10月25日的正式成立标志着国家数字化发展迈出关键一步。该机构的宗旨是整合数据要素资源、在各个领域驱动数字创新引领的技术进步与市场发展。而在2023年的最后一天，国家数据局会同网信办、工信部、科技部等部门联合印发《“数据要素×”三年行动计划(2024—2026年)》，是其自成立以来的首次重磅发声。

随着相关法规的逐步实施与完善，那么数据安全问题就已经不再仅仅是企业“关起门”来处理的内部问题，同时也是国家监管部门参与进来的监管问题。现阶段，企业的数据安全建设在满足内部数据安全需求的同时，也必须遵循法律法规的合规性条款。现阶段，对企业数据安全提出了哪些新的要求？我们从如下几个方面进行分析：

需要保护的数据范围更大：原先企业以重要资产的数据安全防护为视角，重点保护的数据对象是企业敏感数据，同时也包括一小部分个人隐私数据，比如用户的登录密码与口令等。而现在，企业需要保护三类敏感数据，包括企业敏感数据、个人隐私数据和国家敏感数据。后两者受法规的监管与保护：欧盟GDPR、美国CCPA的法规中明确表示公民的个人隐私数据受保护；我国法规监管对象不仅包括个人隐私数据，还包括各类国家敏感数据，法规上也称为“重要数据”，比如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。法规定义的个人数据/个人信息不是传统意义上的身份证号、手机号、地址等个人基本信息，还包括设备的IP地址、MAC地址、Cookie信息，范围非常宽广，这给企业的敏感数据识别和保护构成巨大的挑战。

涵盖的应用场景更加多种多样：原先企业以重要资产的数据为数据安全保护对象，主要的面向的是数据库和机密文档等环境。而现在，法规监管的基本单位是数据，而不仅是数据库和文档的数据，还包括大数据平台、文档、云、终端，甚至发展中的5G、区块链等新型环境的符合法规定义的个人隐私与重要数据。

涵盖数据的全生命周期：原先企业数据安全主要面向数据传输和数据存储过程。现在，数据安全覆盖数据的全生命周期的各个环节，包括数据采集、传输、存储、处理、交换和销毁。比如在数据采集时，必须遵循最小可用、征得用户同意等合规性原则，进行相应数据安全建设。

在合规视角下，数据安全的需求和驱动力发生了根本性的改变，数据安全保护的数据对象范畴变得更大，数据安全覆盖的应用场景将变得更加多样，数据安全需求将覆盖数据的全生命周期。为了更好应对合规性带来的挑战，一方面企业需要从传统单点的数据安全建设转变成体系化的数据安全建设，另一方面为了应对三类重要合规场景带来新的挑战，包括用户

隐私数据安全合规、企业内部数据安全治理、企业间数据安全共享与计算，亟需需要引入一些前沿的数据安全技术实现困境的破局。

绿盟科技，结合客户需求，总结出了一套“知、识、控、察、行”的数据安全治理新方法[3]。

• 知：分析政策法规、梳理业务及人员对数据的使用规范，定义敏感数据；

• 识：根据定义好的敏感数据，利用工具对全网进行敏感数据扫描发现，对发现的数据进行数据定位、数据分类、数据分级。

• 控：根据敏感数据的级别，设定数据在全生命周期中的可用范围，利用规范和工具对数据进行细粒度的权限管控。

• 察：对数据进行监督监察，保障数据在可控范围内正常使用的同时，也对非法的数据行为进行了记录，为事后取证留下了清晰准确的日志信息。

• 行：对不断变化的数据做持续性的跟踪，提供策略优化与持续运营的服务。

针对“知、识、控、察、行”，绿盟科技分别落地并实现了数据安全产品及服务。分别针对“数据分级分类保护”、“数据流转检测”、“数据安全检查”、“数据安全流转“形成了一套完整的解决方案，构建了基于分类分级的数据流转监测、控制和审计的数据安全保障体系，以及服务于数据要素流通的隐私计算。

分级分类保护：数据安全运营平台、数据脱敏/水印、数据库审计/运维、堡垒机、数据安全网关等。

数据流转监测：API审计、数据防泄漏DLP。

数据安全检查：检查工具箱。

数据安全流转：数据保险箱、“数安湖“隐私计算平台。

在接下来的系列文章中，我们将针对数据安全全生命周期用到的技术以及应用场景进行介绍。欢迎感兴趣的读者关注。