解读《数据安全法》,聚焦企业数据安全“新风向”

所有金融机构、互联网公司和数据技术服务商共同关心的《数据安全法》,近日正式表决通过,今年9月1日开始施行。去年7月和今年4月,全国人大常委对该法草案进行了首次和二次审议。

随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心资产。合资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用,数据安全问题已成为国内外关注的焦点。在数据问题上,任何一点细微的处理不当,都会牵一发而动全身,因此这部法律的关注度,说是近几年各类法案中的“顶流”也不为过。

在此背景下,我国《数据安全法》落地的紧迫性空前,这既是维护国家安全的必然要求,也是维护人民群众合法权益的客观需要,更是促进数字经济健康发展的重要举措。同时,压在我国企业肩头的数据安全的担子也将逐渐变重。

1.企业数据安全责任加重

《数据安全法》明确了企业在保护数据安全方面的责任,对企业的数据安全建设提出了合规要求。以下方面尤其值得关注:

合规义务一:数据分类分级保护

《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”

对于企业而言,应当遵循数据监管的新路径,开展自身数据分类分级工作,或将已有的分类分级体系与国家行将出台分类分级保护制度进行有机衔接。

合规义务二:数据跨境流动的合规义务

《数据安全法》第十一条明确了国家促进数据跨境安全、自由流动的基本态度,第二十五条、二十六条、三十一条、三十六条等条文则对数据跨境流动作出了明确规定。

对于企业而言,如企业确有需要进行个人信息和重要数据的出境,则需遵守《网络安全法》、《个人信息保护法》及《数据安全法》所明确的合规义务。

合规义务三:数据安全保护义务

《数据安全法》第四章以专章的形式明确了企业开展数据处理活动的安全保护义务,可谓之企业最直观的合规义务。

对于企业而言,具体包括建立健全全流程数据安全管理制度;采取必要保障数据安全的技术措施;进行数据安全风险检测及应对,及时应对处理安全事件;采取合法、正当方式收集数据等。

合规义务四:数据处理服务的资质及合规经营

《数据安全法》第三十三条对从事数据交易中介服务机构提出保证数据来源合法合规及审核交易双方身份的法律要求。

对于企业而言,目前企业日常运营过程中数据处理活动非常普遍,关于数据处理涉及的电信牌照申请及管理将是未来行业监管及审查的重点。

合规义务五:维护数据市场秩序,禁止非法获取数据及实施反竞争行为

《数据安全法》第五十一条规定,采用不正当手段获取数据、破坏竞争秩序或损害他人合法权益的,应当依照有关法律、行政法规的规定处罚。

对于企业而言,算法共谋、大数据杀熟等行为有望得到进一步限制。这也为有关互联网企业敲响了警钟,数据合规将更加深入的嵌入企业日常经营和商事交易过程中。

2.云片助力企业数据安全合规

云片自2013年成立以来,深耕通讯服务领域,一直积极开展产品以及相关服务的安全合规工作,十分重视企业客户隐私数据的保护,根据不同国家和地区对于数据安全、隐私保护等方面的要求在业务平台和产品服务层面实现安全合规性认证。满足《数据安全法》对企业数据保护具备持续安全状态能力的要求,帮助客户构建准、快、稳的安全防护和安全可靠的数字空间。

云片业务平台层面:

  • 公安部三级等保认证

三级等保认证是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,也是国家对非银行机构的最高级认证。

  • 签署欧盟《一般数据保护条例》

欧盟《一般数据保护条例》,该条例为史上最严格的数据保护条例,云片受该条例约束,实现世界级的数据安全保护。

  • 256 位密钥证书进行 SSL/HTTPS 加密,达到网银级安全
  • RBAC权限模型严格控制,公司间数据完全隔离
  • 专业运维团队控制权限,完整内审内控机制保证客户信息安全
  • 敏感信息保护,可隐藏手机号和短信内容,保护信息安全

云片产品服务层面:

  • 云片行为验证

传统的身份认证主要依靠账户和密码,但随着黑客攻击手段以及电信诈骗的升级, 撞库、拖库等攻击手段层出不穷,网络中的危险因素越来越多。云片行为验证通过对用户的行为特征进行分析,提高机器破解难度、降低人眼识别难度,在抵御网络攻击的同时,不断调整模型自我进化,有效应对新的网络危害,防御撞库攻击、暴力破解等恶意流量攻击,守护企业以及用户线上数据安全,整个过程中不涉及收集用户隐私数据。

  • 云片OTP

企业正在面对不断进化的攻击者,随着图像识别技术的普及,传统的验证码已经不能完全保障网站的安全。云片OTP(One-time Password),是云片为用户提供的一种身份验证能力。OTP实现了生成动态验证码、发送验证码、校验验证码一体的解决方案。守护企业安全,保护资产,防止数据泄露。

  • 云片一键登录

云片一键登录,支持运营商取号服务+本机SIM卡双重认证,有效避免验证码被窃取和篡改的风险。基于运营商独有数据网络认证能力和GSMA标准规范,准确识别用户本机号码,验证过程全程加密,有效防止黄牛刷单。

  • 云片私有化部署

安全是企业发展的前提,云片支持通过私有化部署的方式,助力企业实现安全防护。企业可根据实际需求,从系统架构、操作系统、交互逻辑、短信发送与管理等多种维度进行私有化定制。保护敏感信息,数据严格加密。支持设定特有敏感词,避免发送违规内容,保证平台安全与合规。

至今,云片已累计服务超过180000+的企业客户,覆盖电商、新零售、金融、政府、教育、O2O等多个领域,成为很多企业数字化转型的坚定选择,妥善解决企业对数据安全保护的需求,为企业数字化转型和落地保驾护航。伴随着《数据安全法》的生效,我国数据活动的监管将迎来一个崭新的时代。企业也应当思考如何乘这股新时代的东风,把握机遇,向上而起。