近日，公安部網(wǎng)安局通報一起浙江公安網(wǎng)安部門適用《數(shù)據(jù)安全法》對違法單位罰款100萬元的典型案例。

根據(jù)報道，2023年3月，浙江溫州公安網(wǎng)安部門在查處一起涉數(shù)據(jù)安全違法案件時發(fā)現(xiàn)問題。浙江某科技有限公司為浙江某縣級市政府部門開發(fā)運維信息管理系統(tǒng)的過程中，在未經(jīng)建設(shè)單位同意的情況下，將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至租用的公有云服務(wù)器上，且未采取安全保護措施，造成了嚴重的數(shù)據(jù)泄露。浙江溫州公安機關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對公司及項目主管人員、直接責任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。針對建設(shè)單位失管失察、未履行數(shù)據(jù)安全保護職責的情況，當?shù)丶o委監(jiān)委依照《溫州市黨委（黨組）網(wǎng)絡(luò)安全工作責任制實施細則》規(guī)定，對建設(shè)單位主要負責同志、部門負責人等4人分別作出批評教育、誡勉談話和政務(wù)立案調(diào)查等追究問責決定。

該案的處罰力度引發(fā)普遍關(guān)注，數(shù)據(jù)安全的重要性再一次警醒行業(yè)?！稊?shù)據(jù)安全法》第四十五條的法律責任針對的是不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護義務(wù)的開展數(shù)據(jù)處理活動的組織、個人。對應(yīng)來看，這幾條規(guī)定明確的是數(shù)據(jù)安全保護義務(wù)：

開展數(shù)據(jù)處理活動應(yīng)當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任。

開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應(yīng)當立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關(guān)主管部門報送風險評估報告。風險評估報告應(yīng)當包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。

從滿足合規(guī)以及確保讓數(shù)據(jù)安全創(chuàng)造價值的業(yè)務(wù)目標出發(fā)，數(shù)據(jù)處理活動過程的安全性是當前數(shù)據(jù)安全建設(shè)的重點和難點。數(shù)據(jù)在組織內(nèi)部因暢通無阻且缺乏監(jiān)控，內(nèi)部人員的種種無意識違規(guī)行為容易造成越權(quán)濫用、無序擴散、存儲混亂等風險，惡意泄露以及被攻擊竊取的風險也在不斷增加。由于傳統(tǒng)的網(wǎng)絡(luò)安全機制聚焦在內(nèi)外部邊界部署一系列檢測、監(jiān)控、攔截等感知和處置措施，缺乏對于數(shù)據(jù)在內(nèi)部流動的可見性，以及對數(shù)據(jù)全生命周期的形態(tài)、位置、副本等情況的變化跟蹤，存在很大的數(shù)據(jù)防護盲區(qū)，而且發(fā)生了數(shù)據(jù)泄露等安全事故之后，也難以溯源分析出流轉(zhuǎn)路徑和事件全貌。

為了對抗數(shù)據(jù)時代的數(shù)據(jù)安全挑戰(zhàn)，需要新的防護理念和安全架構(gòu)，數(shù)據(jù)安全的左移趨勢愈發(fā)強烈，需要讓數(shù)據(jù)在存儲、應(yīng)用以及終端中都能保證數(shù)據(jù)被安全地存儲、使用和共享，既要滿足合規(guī)要求又要做到真正的風險識別和可控，這需要將數(shù)據(jù)防護措施從傳統(tǒng)的邊界攔截延展到數(shù)據(jù)運營全流程。更早地識別并標記組織內(nèi)的數(shù)據(jù)資產(chǎn)，并且對數(shù)據(jù)流動的軌跡、狀態(tài)的變化進行記錄成為有力的突破手段，安全策略應(yīng)該依據(jù)數(shù)據(jù)本身的風險變動而做出細粒度的、動態(tài)的控制。

數(shù)安行基于對以上挑戰(zhàn)的觀察思考和探索實踐得出，通過在數(shù)據(jù)運營中內(nèi)嵌安全屬性的方式，可以實現(xiàn)數(shù)據(jù)安全左移的技術(shù)落地。作為是一種自動化的安全，其基本思想即是在數(shù)據(jù)運營的第一現(xiàn)場持續(xù)地對數(shù)據(jù)處理和使用全流程進行追蹤，這樣才能監(jiān)測到數(shù)據(jù)變形處理流轉(zhuǎn)的整個過程，直面數(shù)據(jù)的多態(tài)性和多副本性，發(fā)掘數(shù)據(jù)風險的真正源頭，實現(xiàn)數(shù)據(jù)安全能力的延展。

著眼到落地實施層面，需要將該安全思維產(chǎn)品化，引用零信任理論打造安全平臺，以人工智能為核心驅(qū)動，通過對數(shù)據(jù)業(yè)務(wù)全流程進行無改造映射，在不改變網(wǎng)絡(luò)架構(gòu)、不改造業(yè)務(wù)的情況下，從數(shù)據(jù)本體防護角度出發(fā)，對敏感數(shù)據(jù)內(nèi)容及使用環(huán)境進行持續(xù)的檢測分析，對于使用數(shù)據(jù)的主體用戶也會進行身份角色驗證和持續(xù)的風險評估，讓平臺擁有了對用戶身份及授權(quán)設(shè)備進行管理和雙重驗證的能力。

有了對敏感數(shù)據(jù)和用戶身份及風險的檢測識別能力，就可以準確地識別內(nèi)部的擴散風險和違規(guī)濫用風險。默認所有的人和環(huán)境都是不可信的，而且信任狀態(tài)也是持續(xù)變化的，基于這種持續(xù)的、動態(tài)的風險評估，才能真正實現(xiàn)自適應(yīng)的安全防護。最終是旨在提升數(shù)據(jù)運營過程中數(shù)據(jù)自身的安全性，保證數(shù)據(jù)運營過程中數(shù)據(jù)的安全，促進數(shù)據(jù)快速流轉(zhuǎn)及安全協(xié)作共享，防范內(nèi)部數(shù)據(jù)違規(guī)濫用風險。

對應(yīng)于上文《數(shù)據(jù)安全法》提出的數(shù)據(jù)安全保護義務(wù)，數(shù)據(jù)安全左移正是建立健全全流程數(shù)據(jù)安全管理制度的落地方針，包括數(shù)據(jù)收集、傳輸、使用、存儲、共享等全生命周期在內(nèi)的數(shù)據(jù)流轉(zhuǎn)跟蹤與管控形成安全閉環(huán)。對數(shù)據(jù)處理活動定期開展風險評估，同樣取決于對數(shù)據(jù)資產(chǎn)的識別梳理和其流動過程的動態(tài)風險及變化的可見和響應(yīng)，該方法對多源異構(gòu)數(shù)據(jù)使用及變化過程進行標注跟蹤，支持數(shù)據(jù)使用鏈路的智能聚合及快速溯源，便可實時感知數(shù)據(jù)違規(guī)使用及流轉(zhuǎn)風險。

總體而言，涉數(shù)據(jù)處理活動的企業(yè)需要與時俱進的數(shù)據(jù)安全策略，價值在于提供自動化的數(shù)據(jù)價值發(fā)現(xiàn)及數(shù)據(jù)安全服務(wù)，實現(xiàn)隱私數(shù)據(jù)保護、商業(yè)秘密保護和數(shù)據(jù)業(yè)務(wù)的有效平衡，幫助管理跟蹤多種類型、各種來源的個人隱私數(shù)據(jù)及商業(yè)數(shù)據(jù)，促進各類數(shù)據(jù)角色的跨職能協(xié)作，滿足數(shù)據(jù)使用的法律合規(guī)要求，防范內(nèi)部數(shù)據(jù)違規(guī)濫用風險，讓數(shù)據(jù)安全地創(chuàng)造價值。