研讀網路安全法律法規,提升技術管理者 「法」 商
每部法規都有法律等級,從憲法到法律,到行政法規,再到地方性的條例和部門規章制度。那麼,網路安全相關的法律法規分別對應什麼法律等級?了解不同法律法規的等級層次,可以幫助我們更好的理解國家在立法過程中的目的。
一、網路和數據安全相關法律法規的研讀
從2013年發布的《徵信管理條例》,到2015年的《中華人民共和國國家安全法》,再到與網路安全相關的《網路安全法》《密碼法》《網路安全審查辦法》等,與數據業務相關的《數據安全法》《個人資訊保護法》等,甚至對一些生物資訊(如人臉識別)的約束,從時間順序來看,我們國家在整體國家安全的高度已經逐步完成基本的法律制度布局,而網路安全和數據安全則是整體安全空間的一個細分維度,在理解這一系列法律法規制度時,可以從這個國家安全核心綱領的角度去思考,就可以更容易的理解和體會。
雖然現在《數安法》和《個保法》強調要促進數據交易流通,但是數據確權問題作為數據交易核心的要件目前仍未有定論,數據確權制度尚未建立。隨著各個行業的不斷發展,分工合作不斷的細化,任何一個企業要想充分利用數據,使得數據產生更高的價值,就不能僅使用自己單一的數據,但想要融合使用更多數據,又會涉及到個人數據安全的問題,特別是《個保法》出台之後,對於個人資訊數據的安全已經上升到了法律層面。如果不能解決數據確權問題,將會限制數據的交易。
2021年10月24日,復旦大學特聘教授、重慶市原市長黃奇帆在由中國金融四十人論壇主辦的第三屆外灘金融峰會上發表演講,對數據確權如何做給出了建議,覆蓋了**所有權、使用權、所有權、交易權以及管轄權。**根據該建議,包括處理能力、數據處理方案等等一系列數據建設,都將可以進行交易。也說明了目前國家正在加緊制定相關法規標準,推動並建立數據資源的確權、開放、流通以及交易的相關制度。
對於技術管理者自身的幾點建議
隨著國家在網路和數據方面的法律法規不斷的健全,而且國家在法律法規中也明確要求公司需要保障網路安全和建立數據治理體系,作為技術管理者來講,需要不斷的學習,持續提升自己,推動公司在網路和數據方面進一步滿足國家的各方面要求。以下是對於技術管理者的幾點建議:
1.技術管理者個人需要提升 「法商」
對於技術管理者而言,很多時候關注的是技術體系、架構以及對於業務的支撐等方面,但是既然法律層面對於公司有了諸多要求,那麼作為技術管理者必須要在這方面有更多的學習和思考,學法懂法用法,這也是未來大勢所趨。
在不遠的將來,具備 「法商」 是對技術管理者的基本要求。
2. 將網路安全和數據安全作為生命線
企業負責人是安全的第一負責人,而技術管理者則是安全的直接負責人,一旦出了事,企業負責人和技術管理者首當其衝,但是企業負責人往往還要考慮到經營的其他方面因素,可能會對網路安全和數據安全重視程度不足,因此,技術管理者有義務要讓企業負責人充分認識到網路安全和數據安全的重要性。
在持續考慮網路安全和安全體系建設的基礎上,持續綜合思考產品的設計,平衡產品的多方面因素和利弊權衡,儘可能將網路安全和數據安全納入到產品的內生要求中去。而且不同部門有不同業務指標,當業務指標有衝突時,應該以公司利益最大化和風險可控化為原則。
另外,還需要全方位的培訓並堅決要求執行到位。這點看起來容易但執行起來卻很難。哪怕是看似簡單的一個小點,執行起來也會出現諸多問題,而一旦出現安全問題,首先要承擔責任的就是技術管理者以及企業負責人。
三、對於網路和數據安全體系建設的重點建議
理清網路情況、系統資產、數據資產等
理清網路情況、系統資產、數據資產,是做好安全體系建設的基礎,並且在建設和運營過程中也需要持續進行。這些梳理工作說起來簡單但實施起來十分困難,可以認為是一家公司IT綜合治理能力的側面體現。而且初步梳理完成之後,還需要制定相關的整改和梳理措施,推動資產的治理更加有序,在處置的過程往往同時需要具備耐心和細心,並且避免犯錯引起事故。
儘可能窮舉所有的應對並且制定執行計劃
事實上,我們是無法窮舉所有的應對的,但是要儘快能把所想到的問題和應對都思考出來,根據輕重緩急來制定具體的執行計劃。對於危害性高、漏洞嚴重的儘快補洞。簡單先做,複雜後做,做的過程中可以分步做或者以迭代的方式做,邊做邊收割。
系統性、全局性的思考數據安全體系建設
數據安全體系建設必要具備全局性和系統性思維。以行業內從事數據生產和運營的類似公司為例,從數據流向來看,可以初步分為**「輸入」、「加工處理」 和「輸出」**三個階段。
**在數據 「輸入」 階段,**數據主要來自於兩大塊,第一個是自有的業務數據,第二個是第三方的數據,不論是來自哪方的數據,都要保證合法合規。
數據 「加工處理」 階段是公司運營和生產的重點。數據加工處理從下到上需要考慮四個層面的問題:**合規保障、安全保障、效率保障和生產運營。**每個層面其中,都包括很系統很複雜的體系設計。
**最後一個階段是數據 「輸出」,**有些公司即使沒有商業輸出,也可能會出現數據交換的需求,也可以認為是廣義的 「輸出」。數據除了遵守國家對應的法律法規之外,還需要遵守行業規範。如果是涉及金融數據的話,需要遵守人行的要求規範,目前個人徵信機構是在金融領域個人數據輸出的標準通道。
營銷類平台一般有三類,**第一個就是建一個自己的營銷平台,**並且對接媒體方和廣告主,在目前的階段也需要通過確保個人授權鏈條的完整;**第二個是使用外部的大平台做投放運營,**比如抖音,這時候需要特別注意的是,儘可能通過平台的人員標籤進行運營投放。**第三個就是隱私計算,**目前這個是廣告營銷領域的一個方向。
如果是報告類和企業類的輸出,則可以通過各地的數交所和企業徵信,它們都是國家認證的通道。
必須圍繞結合實際業務
任何公司最後還是要依賴主營業務來持續經營下去,因此在做安全的同時,也必須要考慮實際業務情況,確保業務平穩有序推進。
考慮供應鏈安全問題
Ø 採購網路產品和服務的考量
網路產品和服務是否滿足《網路安全審查辦法的要求》,這些網路產品和服務包括但不限於:雲服務、CDN、安全服務、安全設備等。
Ø 採購外部軟體服務的考量
◆考慮軟體國產化(信創)◆考慮安全維護的費用◆考慮外包和內部服務之間的數據安全◆考慮外部公司的維護帳號的管理◆合約中對於法律權責的要求
Ø 採購外部數據服務的考量
◆考慮合作方的數據是否合規合法◆考慮合作方是否能夠提供《數安法》和《個保法》的相關要求。
