《数据安全法》深度解读 | 企业应如何开展数据保护工作？

2021年6月10日，十三届全国人大常委会第二十九次会议，表决通过了《数据安全法》，且将从2021年9月1日起施行。

互联网+时代，数智科技带来了万物互联，各类网络攻击引发的数据泄露事件接踵而至，据不完全统计，每年因数据泄露造成的损失高达上千亿，数据安全已成为事关国家安全与社会经济发展的重大问题。

《数据安全法》的颁布绝不仅仅只意味着我国有了对数据安全保护的专项法律，也体现出国家对数据安全的重视，这意味着从此数据活动在我国将步入正规化，数据安全必将迎来新一轮的发展。要知道，数据作为信息安全的核心要素，一直以来都是网络机密信息的载体，数据安全影响的不仅仅是个人、企业，甚至直接决定了国家安全。

作为数据领域的基础性法律，《数据安全法》立足数据安全工作的实际，聚焦数据安全领域的突出问题，确立了数据分类分级管理，数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确相关主体的数据安全保护义务。

应对《数据安全法》的颁布，企业该如何开展数据安保工作？

《数据安全法》的出台把数据安全上升到了国家安全层面，基于总体国家安全观，将数据要素的发展与安全统筹起来，为我国的数字化转型提供法治保障。在条例中，数据安全保护责任和业务涉及数据活动的全流程，数据伴随着业务和应用，在不同载体间流动和留存，贯穿信息化和业务系统的各层面、各环节，因此《数据安全法》第三条明确指出，要确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 

条款中指出的“持续安全状态能力”符合中国信通院在“数字化时代零信任安全蓝皮报告中”所提出的零信任安全理念：永不信任，持续验证，这是传统的基于边界的安全防护做不到，而零信任是企业建立持续安全状态能力的解决方案。

《数据安全法》十四条指出，国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

数字化转型是企业发展的重要基础建设环节，也是“互联网+”背景下企业的必经之路，新技术、新生态都将让经济环境发生巨变，而数字化转型的成功有利于提高企业的核心竞争力，如何快速落实企业数字化的成功转型，满足企业对数据安全和监管的要求是推进数据基础设施建设的关键。

加强数据风险监管、并对数据进行分级分类管理和保护，可以在保证数据安全、个人隐私的前提下，使数据价值最大化。

《数据安全法》第二十一条明确了国家建立数据分类分级保护制度，确定了数据分类分级的基本原则，要求制定重要数据目录，并明确了核心数据的定义与管理要求；同时在第二十二和二十三条明确了国家建立集中统一数据安全风险评估、报告、信息共享、监测预警机制和建立数据安全应急处置机制。

对于重要数据的保护，要满足从事前到事后的全方位保护，从事前对身份的统一集中管理，并赋予相对应的权限来满足数据的安全需求，做到持续动态的身份认证满足对数据的实时控制，同时集中审计可以记录用户访问行为，满足数据全程处于防护状态下。

基于数据安全违规场景，法律更加细化了违规法律责任，在《数据安全法》第二十七、二十九、三十、三十三条中对违法的数据活动制定了一系列的法律措施，促使数据活动更加正规正当，从而维护公民的个人隐私以及数据安全。对于违反国家核心数据管理制度，危害国家主权、安全和发展利益的，将被依法处罚，情节严重的甚至会追究刑事责任。