2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议，通过了《中华人民共和国数据安全法》（后续简称《数据安全法》）。《数据安全法》共55条，分七章，依次为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则，将对在中华人民共和国境内开展数据活动的组织、个人进行行为约束和指导。

为更好的阐述《数据安全法》可能会对数据活动参与者产生的深刻影响，本文将从数据全生命周期流转各环节深度剖析《数据安全法》内容，并对《数据安全法》建立的国家数据安全治理体系以及企业数据安全治理提出了全知科技的一些看法。

由于深度解读的篇幅较长，全知科技将分为“上、中、下”三篇文章进行阐述：

数据安全深度解读 (上) ：国家对数据安全治理的要求
数据安全深度解读 (中) ：监管落地及企业数据安全发展之道
数据安全深度解读 (下) ：全知科技一体化数据安全解决方案

请大家持续关注全知科技的栏目更新。

首先，《数据安全法》首次在法律上对数据、数据活动和数据安全给出了明确定义，明确了企业数据安全治理对象，确立了国家数据安全监管和执法范围，为我国数据安全长久发展提供了度量依据和标准。

其次，《数据安全法》强调数据经济的重要性，以及其与数据安全之间的动态平衡。《数据安全法》第七条中明确肯定了数据流动的重要特性，肯定数据有序自由流动的价值，通过对国家总体大数据战略的实施、数据基础设施的建设、数据在各行各业的创新应用发展、数据开发利用新技术的大力支持，以及数据经济发展规划的政策支持等方式，树立了数据经济在国民经济中的核心地位，促进数据作为重要生产要素在生产活动中的不可替代性，是数据安全需要进行保护的对象。

在大数据时代，任何企业或者开展业务经营都需要借助数据这个媒介来传递信息，满足业务需求，实现业务功能。

而数据作为生产要素，需要具备三个特质：

（1）数据参与生产过程，并创造价值。数据会参与到价值增值的过程中，且无法被取消（可以被替代，但相对替代方案有经济成本优势）；而为了参与生产过程，该事物可能需要提前被采集和初步的加工（消耗一定的成本）使其能更好地参与生产和使用，必要时需要建立储备体系。

（2）数据具有权属属性。即数据具有一定的获取成本。同土地、劳动力、技术和资本这些生产要素一样，数据越稀缺，其获取成本越高。

（3）数据具备流转特性。数据本身不具有价值，只有通过数据流转，参与到社会生产过程中，才能产生价值。

作为企业来说，数据同样是维持企业生产运营的最重要生产要素之一。因此，《数据安全法》对企业需要满足提出了一些基本要求，只有在满足这些要求前提下，数据才能发挥最大作用。为更好地阐述《数据安全法》对企业的要求，本文将按照数据流转全生命周期进行解读。

数据采集是企业获得数据资源的基础，即企业在权属清晰的情况下，在权属授权同意的情况下进行采集并保证采集的手段和方式合规，不得窃取或者以其他非法方式获取数据。并且，企业应从自身出发，根据最小必要原则收集和使用数据，不得超过法律和行政法规规定的目的和范围外收集和使用数据（《数据安全法》第三十二条），尤其是数据交易中介服务机构，需要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录（《数据安全法》第三十三条）。

上述要求意味着企业应对被企业数据收集全面情况有着清晰的认知，尤其是企业目前梳理收集的敏感信息类型、数量，以及收集和传输敏感数据的API接口和应用程序，即明确数据源头和数据接收方。

只有在明确数据源头和数据接收方的基础上，企业才能针对性地对数据源头进行评估，进而进行管控，在法律法规允许的范围内进行数据采集工作。例如，对第三方数据源进行背景调查、抽查第三方获得的个人信息主体授权同意记录或者与第三方数据源厂商签订数据来源合法正当性承诺函等。

数据采集后经过清洗即会存入数据库中（以结构化数据为例），而不同数据数据根据敏感程度不同应受到不同程度的安全保护。若未对存储中的数据进行适当地安全防护，则可能会造成数据安全事件。例如，将敏感数据以明文形式存储，一旦数据库被拖库，则所有敏感数据将直接暴露。又或者，企业是否按照监管要求将个人生理识别信息与其他个人信息分开存储等等。

根据《数据安全法》第二十一条规定，国家、地区、部门和行业都将根据本企业数据重要程度和一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。并且，若企业业务涉及政务数据的委托存储，则应加强数据安全保护，提升数据存储安全要求，保障政务数据的存储安全（《数据安全法》第四十条）。

因此，企业应对数据资产进行全面扫描和梳理，建立数据资产保护清单，梳理企业数据，尤其是敏感数据，并进行数据分类分级，不同级别的数据映射不同的安全管理措施和技术手段。

数据生产和使用包括但不限于数据的使用、委托处理、共享、转让、公开披露等环节。

数据生产和使用环节，是数据安全治理最重要的环节之一，在这个环节极易因为如下问题造成数据泄漏：

（1）身份认证漏洞。如未对传输敏感数据的API接口和应用系统设置身份认证机制，或者身份认证机制薄弱，未使用双因素认证等等；

（2）敏感数据暴露面过大。如数据可以被内部人员或外部第三方访问获取到的应用层界面；

（3）敏感数据暴露面脆弱性未管理。如未脱敏、伪脱敏或脱敏规范不合规、API接口缺乏身份认证、敏感数据非必要透出或透出过多等问题；

（4）数据权限管理有缺陷。如对数据访问权限进行最小化的权限分配，实施细粒度（字段级）的访问控制策略；

（5）数据账号管理不完善。如暴露了密码或已被破解的账号、账号共用、未回收的特权账号等；

（6）未建立审计和监控机制。如对数据的异常访问行为和异常数据流动进行识别和监控、预警；

因此，企业应定期对数据风险展开全面评估工作，风险评估报告应当包括本组织掌握的重要数据的种类、数量、收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等。尤其是对于重要数据处理服务提供商，《数据安全法》将强制性要求定期开展风险评估工作，并向主管部门进行报送（《数据安全法》第三十条）。

若企业承担政务数据的加工处理、共享和转让等工作，则应严格履行数据安全保护义务，因为企业承受需要通过国家机关的审核，并承受来自国家机关的监督（《数据安全法》第四十条）。

《数据安全法》将此法适用范围限制于我国境内数据活动（《数据安全法》第二条），但是数据作为生产要素，也将积极参与社会各方面的生产活动，因此《数据安全法》也积极鼓励数据跨境流动。但是，《数据安全法》在数据跨境流动提出了严格要求，即数据跨境安全、自由流动（《数据安全法》第十一条），并且对属于管制物项的数据依法实施出口管制（《数据安全法》第二十五条）。

在此基础上，《数据安全法》第三十六条还对数据境内执法和域外执法权进行了限定，对境外执法机构要求调取存储于我国境内的数据，需采取先报告，后审批，批准后方可提供（国际条约规定除外）。

所以，对于企业来说，数据是否在流转过程中出境，数据出境是否合规，出境数据是否加密，是否存在重要数据出境等等数据出境风险，是企业的关注重点。并且，企业应具备发现如上出境风险的能力，例如，对流转中的敏感数据、传输和接受数据的接口和应用系统等的数据流量进行分析和监控，设立出境白名单机制，一旦发现数据违规出境即可预警。

《数据安全法》的发布，不仅给予了企业很多技术层面的指导，也给企业数据安全管理提出了很多要求。

首先，企业应设立数据安全负责人和管理机构，落实数据安全保护责任，尤其是重要数据所在企事业单位（《数据安全法》第二十七条）。

其次，企业应建立健全全流程数据安全管理制度、（《数据安全法》第二十七条），将数据安全保护责任落实到企业生产经营各个环节。这些制度包括了数据安全总体治理纲要、数据分类分级规范、数据安全审计制度、数据脱敏展示规范等等。

然后，企业应开展数据安全教育培训活动（《数据安全法》第二十七条），将数据安全与企业的培训考核制度有机结合，通过提高数据安全意识来提升企业总体数据安全治理水平。

最后，企业应建立健全数据安全应急处置和数据泄漏溯源机制。在《数据安全法》第二十三条规定，国家会建立数据安全应急处置机制，在数据安全事件发生时启动数据安全应急预案。

综上，企业也应建立数据安全应急响应机制，更重要的是，建立数据泄漏溯源机制，一旦发生数据安全事件，即可启动应急预案，尤其是可以通过对应用层数据的异常流向、用户异常访问行为、数据访问频次异常、数据获取量异常等等数据流转异常现象，进行应用层数据自动化分析溯源，快速定位数据泄漏源头和数据泄漏影响面，将安全事件给组织带来的负面影响降低到最小。

《数据安全法》首次在法律上对数据、数据活动和数据安全给出了明确定义，确立了国家数据安全监管和执法范围。

《数据安全法》树立了数据经济在国民经济中的核心地位，促进数据作为重要生产要素在生产活动中的不可替代性。

在大数据时代，任何企业或者开展业务经营都需要借助数据这个媒介来传递信息，满足业务需求，实现业务功能。所以，企业只有充分认识到数据流转中的安全要点，从底层开始进行数据安全治理，才能高效合规地进行数据安全建设。

下篇文章，全知科技将为您解读监管落地及企业数据安全发展之道。