2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,自2021年9月1日起施行。《数据安全法》使数据处理、使用安全有法可依。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。信息化条件下,万事万物都将数字化,以数字化形式存在于各类网络、终端、信息应用系统中,打破了传统物理载体和空间的限制,万事万物在数字化层面有了相互影响的基础,关系更加密切,带来了前所未有的便利,同时,数字化形式可以反向映射,对物理实体世界产生影响,这种影响广泛而深入,因此,数据本身和处理数据的方法已经成为战略性、基础性的资源。工作和生活使人们习惯了电脑、手机、智能手环、智能家居等信息化设备,在不知情的情况下默认了这些信息化设备对工作、生活中的数据进行采集、加工、利用、转让、大数据整合分析、深度挖掘……直到《数据安全法》的发布施行,操作系统弹出了蓝色对话窗口,告知用户电脑上的个人数据会传输到其他地方。并不是说以前不采集,只是采集行为从来不告知用户。用户不关心的前提是用户不知情,用户不了解采集了哪些与自身相关的数据?这些数据去了哪里?被哪些人或组织接触过?会被如何使用?知道到越多,则安全意识越强,从根本上不利于数据采集行为,因此,产生数据采集行为的厂商并不会主动履行告知义务,甚至会刻意隐瞒相关行为。因此,《数据安全法》必将对国家安全、社会公共利益和个人信息产生重大影响。 现实世界中一些数据的重要性与安全强相关,比如身份证、住址、工作信息等,数字世界中无论是网络、网站、应用、服务器、电脑、手机等信息化设备,其中直接关乎信息安全的是数字证书。 沟通交流合作、甚至是知识认知都建立在信任之上,离开了信任一切都无从谈起,而信任关系的建立是以数字证书为基础的。以电脑操作系统中的数字证书为例,恶意软件往往会导入伪造的数字证书,甚至是最高信任的根证书,使得操作系统安全防护瞬间破防。
一段文字可以写在纸上,刻在石头上,刷在墙上,用火柴棒摆成。传统条件下表达形式可以如此多样,信息化条件下表现形式更加丰富。一段信息可以被编码成word文档,可以嵌入图片中,可以表现为一段语音,一旦数字化,传播几乎不可阻挡,对保密安全来说是一项巨大的挑战。
除了形式多样,不必要的数据冗余常常是信息泄露的主要起源。例如:办公软件中的备份、缓存、云存储等。这种情形很容易导致“原件在此处,副本满网传”的问题。
针对上述数据安全方面的风险,从根本上消除风险主要在三个方面: 一是源头管控,避免数字化; 二是数据加密技术,实现加密存储、加密传输、加密处理; 三是载体物理安全防护技术,实现数据载体自毁、物理零信任网络等。
|