网络数据处理活动中安全义务的解读与实践

目前，数据安全成为热点，国际国内均希望通过法律手段加强数据安全保障，一方面要保障国家安全，另一方面要保障公众权益，同时还要推动数据的应用，保障组织的权益。《数据安全法》《个人信息保护法》《网络安全法》等法律法规从不同切入点规定了数据活动中的安全义务。

近日，国家市场监督管理总局、国家标准化管理委员会发布了2022年第6号标准公告，正式公布《信息安全技术 网络数据处理安全要求》（GB/T 41479-2022，以下简称《要求》），对网络环境融合场景下数据活动的安全要求作出规范，是落实前述法律的合规要求的重要指导和参考，应当引起相关企业组织的重视。

《要求》对落实网络数据活动的安全义务，按照数据识别、分类分级、风险防控、审计追溯的逻辑顺序，明确了总体要求：

01 数据识别

网络运营者应识别数据处理中涉及的数据，包括个人信息、重要数据和其他数据，形成数据保护目录。

数据成为了新时代的生产要素，是企业的业务驱动马达，呈现出海量、快速、复杂的特征。业务数据爆发式地增长，参与数据处理活动的人员、系统、流程网状交织，数据的流动速度加快，数据本身的属性多元、状态千变万化，这就导致企业很难全面掌握自身的数据情况，无主数据、僵尸数据、影子资产等成为潜藏的安全威胁。

数据识别主要是帮助企业梳理清查组织内的数据类型、数量以及分布位置，采用自动化工具来发现和梳理全类型、多来源的数据资产。通过创建数据资产的全景视图，企业可以直观地看到或者检索不同维度的个人信息、重要数据、业务数据、特殊领域数据等，这不仅是数据安全工作的前提，其实也是高效进行数据活动开展业务的基础。

02 分类分级

网络运营者应按照相关国家标准，根据合同规定和业务运营需要，对所识别的数据进行分类分级管理。

“眉毛胡子一把抓”的强管控思维已经不再适应数据流动创造价值的大数据时代，等级保护思想全面贯穿网络安全建设体系，有针对性地对不同对象进行区别保护是安全工作细粒度、高效能的表现。将识别后的敏感数据进行筛选，根据数据的类型、价值、重要程度分门别类，根据数据使用过程中的敏感程度对数据进行分级，进而为不同级别的数据提供不同程度的安全防护。

分类分级的效率和质量是后续数据安全工作的关键决定因素，在实践中也需要考量按照数据量级、敏感程度、对业务的影响程度等维度进行分级的策略，以平衡合规成本与商业目的实现。通过建立适用于各行各业合规要求的数据分类分级模型，快速自动帮助企业实现海量数据源的数据分类分级工作，要求对数据内容进行深度识别、覆盖全面的数据格式、支持数据血亲关系抽取、数据链路关联关系识别，值得一提的是，基于小数据机器学习能力搭建的数据引擎可以针对企业的特殊业务数据做出精细分类。

03 风险防控

网络运营者开展数据处理时，应按照合同约定履行数据安全保护义务，开展数据处理活动应加强风险监测，发现数据安全缺陷、漏洞等风险时，应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施，加强数据安全防护，保护数据免受泄露、窃取、篡改、损毁、不正当使用等；对重要数据和敏感个人信息进行重点保护，应按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

在分类分级的基础上，针对不同的数据类型和级别采取对应的技术和安全措施，完善相关制度、机制。风险防控的重点在于，首先是防护的有效性，不能在量级大、流程复杂、角色众多的数据处理环境中存在防护盲区，传统的单点防护与分块治理在大数据时代已经逐渐显现乏力。其次是对业务的无侵入性，数据必须保持流转才能创造价值，安全的切入不能阻碍业务的效率，这也是很多传统安全策略的弊端。

基于零信任的数据安全架构，无需对网络及应用做任何改造，实现应用系统的访问及数据使用安全。对非法设备或非授权访问自动隐藏关键业务，对合法用户及授权设备进行持续的数据安全风险评估，基于无感数据安全沙箱以及微隔离存储等技术，为用户建立多种安全级别的应用系统访问及数据使用环境，建立应用系统与用户之间的零信任数据安全通道。精准识别用户身份，动态定义应用系统访问边界，自适应调整应用系统访问权限，防控各种越权访问、身份仿冒、违规下载等危险行为，保证业务数据在线使用及流出安全。

04 审计追溯

网络运营者应对数据活动全生存周期进行记录，确保可审计、可追溯。

如今数据安全工作的一大困境就在于，数据往往在内部就已经出现多次的越权滥用、格式转换、隐写变形，边界处的防护失效，逃逸数据无法被追踪溯源，当发生数据泄露事件，企业也很难察觉是哪个环节出了岔。

上述零信任数据安全架构针对于数据本体而不是存储数据的系统，通过打标签的方式对数据处理过程进行全链路跟踪，支持数据使用链路的智能聚合及快速溯源，实时感知数据违规使用及流转风险。

总体来看，《要求》既是网络运营者开展网络数据处理活动的技术与管理的安全合规指引，也是主管监管部门和第三方评估机构监管和评估的有力参考，有利于推动进一步落实我国大数据发展战略，促进数字经济的健康发展。

（本文作者：北京数安行科技有限公司 郭灵）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。