近日,国家网信办、国家发改委、工信部等十三部门联合修订了《网络安全审查办法》(以下简称《办法》)。三六零(下称“360”)专家对记者表示,该《办法》的出台,加强了法规政策之间的进一步衔接,使得我国网络安全审查制度更加完善。同时,大大提升了社会各界数据安全保护意识,对关键信息基础设施运营者以及掌握巨量数据的网络平台运营者而言,安全合规已成为“利剑高悬”的底线。
与2020年6月实施的版本相比,《办法》对制定依据、适用范围、国家安全风险评估内容、工作机制、处罚等方面均有修订和完善,比如证监会被纳入网络安全审查工作机制成员单位,将数据安全风险增加为国家网络安全风险评估的因素,将掌握超过100万用户个人信息的网络平台运营者国外上市列为网络安全审查的重要场景。
“对于国内互联网企业而言,达到100万个人用户数据的门槛并不难,因而相关企业赴国外上市的进程会有所延迟。”针对《办法》出台对互联网企业的影响,360安全专家分析称,由于网络安全审查成员单位有权依照相关程序对相关企业启动审查,对于已经赴美上市的国内企业,包括已赴港上市的企业,仍然不能存侥幸心理,需要对照网络安全审查的风险评估内容,加紧自查。
数据安全为何如此受国家重视?从经济发展的角度看,数据是所有基于互联网的商业活动的核心,以数据为中心的商业模式实现了资源要素的高效配置和高效协同。当数据累积到一定的数量级、形成规模时,收集、存储、分析和转换数据的能力都会带来额外的价值和竞争优势,也可能影响到国家安全、国民经济命脉、重要民生和重大公共利益。因此,无论是出于大国竞争的考虑,还是经济发展的目的,数据安全都是国家安全要把控的关键节点。
伴随数字化发展,网络安全风险遍布数字化场景,数据安全风险也急剧增加。“从国家的角度来说,安全风险不再停留在过去的机密文件里,而隐含在数据中,这也使得数据安全问题以全新的形态呈现出来。”在360安全专家看来,我们已经进入数字安全时代,一旦出现安全问题,影响后果将会比过去更加深远,比如,恶意攻击者能够通过毁损企业重要资产、国家关键基础设施的数据,达到破坏或瘫痪电力、交通、能源等关键基础设施、中断工业生产的目的,对总体国家安全构成重大威胁。
针对如何保护数据安全,360首席安全官杜跃进指出,要以数据为中心,以组织为单位,以能力成熟度为抓手,从传统的管理体系转向社会化治理体系,建立复合机制,从只有处罚,转变为处罚、帮助、奖励并举。
据悉,360牵头承建的大数据协同安全技术国家工程研究中心已在上海、贵州等地方,以及中国石油、中国一汽等行业共同成立了十家联合研究机构,深入不同地方和行业的具体场景,开展数据安全创新和能力建设。此外,国家工程研究中心联合贵州大数据安全工程研究中心等同行形成生态,提供DSMM(数据安全能力成熟度模型)咨询、测评和培训等服务,帮助客户提升数据安全能力和数据安全防护水平。