1.前言

本文是学习数据安全法之后的一些理解和总结，《中华人民共和国数据安全法》内容分为七章，总则中阐明了为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定了本法。法律责任章节中明确了九条违反法律规定导致数据安全风险行为的处罚细则。附则章节中指定了法律适用范围，并明确自2021年9月1日起施行本法。刨去总则、附则以及明确相应的法律责任之外，其他四章对数据安全与发展、数据安全制度建立、数据安全保护的义务以及政务数据安全与开发方面给出了指导思想，各组织提供的数据产品和数据服务应该围绕这些指导思想建立自己的数据安全治理策略和体系。

2.数据安全治理指导思想

首先数据安全法不只是明确法律责任与义务，也是国家统筹指导数字经济发展和大数据战略背景下，基于数据基础设施和数据开发利用在各个行业领域中进行创新应用。所以，本法律支持数据产业与数据安全标准协同发展，鼓励产业人才、技术和安全标准共同发展，从而推动数据产业做大做强。

其次数据安全不仅涉及到组织的发展，数据的处理也关系到国家安全，所以，针对数据安全，国家制度了一系列安全管理制度。主要制度有：

（1）数据分级分类保护制度，根据数据在经济活动中的重要程度通常分为外部公开，内部公开，秘密，机密等级，不同等级的数据实施不同程度的保护策略，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

（2）国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

（3）国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

最后数据安全保护需要遵循哪些义务，本法给出了阐述。数据获取和处理必须要合法、正当和透明，这些主要对数据控制者和处理者进行约束。合法性的基础是获取和处理数据需要获得数据主体的有效同意，在进行数据交易时，处理数据要依法合规，原则是：为了履行与数据主体的合同所必要的处理，不能超出履行合同范围；为了保护数据主体或他人重大利益所必要的处理；为了履行涉及公众利益任务所必要的处理；为履行数据控制者法定义务所必要的处理。作为数据控制者，数据收集要符合法律依据，明确收集对象、范围与目的；数据访问权利要清晰，数据披露要明确范围；数据留存的时间和内容要与数据主体达成一致。作为数据处理者，要通过合法合规正当的方法收集数据；数据主体与数据控制者要约好对数据进行处置、删除与恢复的手段；约定好数据转移的使用的方式；约定好数据存储保留的期限和方式。所有数据处理操作要遵循法律权益，不能影响数据主体的基本权利。

3.企业如何建立数据安全治理体系

企业应该根据自身业务属性建立数据安全体系，不同规模的企业也有不同的解决方案，就拿中小企业和大厂来举例。中小企业不可能大规模投入买一堆防火墙、WAF、日志防护、流量设备等，让他们从底层基础设施开始向上层搭建自己的数据安全体系这不现实，并且现实情况是数据和应用现在基本都上云了，也不需要自己搭建硬件。中小企业只需要根据自己的业务情况选择一些安全产品和服务，宗旨就是花最少的钱，办最重要的事，大厂可以根据自己的业务和安全防御体系完整性来配置或定制相应的安全产品。那么保障数据安全需要哪些重要和基础的安全能力呢？目前业界公认数据安全应该提供全生命周期保护能力，包括：

（1）数据分类分级，敏感数据识别能力；

（2）数据传输加密能力；

（3）敏感数据加密和数据存储备份与恢复能力；

（4）数据访问控制及数据操作日志审计能力；

（5）数据水印溯源和数据到期销毁能力。

面对数据全生命周期的保护需求，各个云服务提供商和安全厂商提供了相应的安全服务产品，如下图列举了数据安全全生命周期保护能力体系和部分云厂商提供的产品：

数据全生命周期保护能力体系

厂商数据安全产品图谱

通过购买产品服务获得对应的安全能力，基于这些安全能力就可以组建起适用于看护自己业务资产的安全架构体系。不管是中小企业还是大厂，都需要根据自己的业务特点建立起相应的安全架构体系，一个比较完整的安全架构体系一般包含威胁防御体系，安全平台和安全运营体系，其中数据安全是这个体系中重要组织部分。下图是一个比较成熟的安全解决方案架构：

安全解决方案架构

观察上面这个安全解决方案架构图，架构分为两层，下层是安全能力层，上层是安全运维层。其实就是基于下层各种安全能力获取安全事件数据和应用日志审计等数据，通过安全平台的分析关联能力、威胁判定机制以及应用数据API转换为安全运营需要的标准化数据，并通过安全编排与自动化响应平台采取相应的威胁防御操作和主动阻断恶意攻击等操作。从图中可以看到数据安全作为该安全体系中一个很重要的组成部分，下层能力层就是对应数据全生命周期安全能力建设，综合下层的能力构建起上层的数据安全治理中心运营体系。该运营体系围绕数据安全法中的安全制度要求建立起数据安全治理体系，包括数据分级分类管理、数据安全风险评估、数据安全监测预警、数据安全应急响应和数据安全审查等数据安全基本制度。

本篇文章只是作者研读数据安全法后，根据法规中数据安全制度和数据安全保护义务要求思考建立一个企业数据安全保护体系需要哪些基本的能力，安全体系架构应该是什么样的。具体数据全生命周期安全看护怎么实施，实施要注意哪些点，这个还需要进一步研究总结。后续也可以再发散写一篇这方面的思考。

4.总结

数据安全法可以通过“12345”点来归纳：“1”是指数据安全法是国内第一部面向数据安全的上位法。“2”是指提出了保障数据安全、保障数字经济发展的两个建设方针。“3”是指定义了三个概念，包括定义数据是指任何以电子或者其他方式对信息的记录；定义数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等；定义数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。“4”是指数据安全法包含数据安全与发展、数据安全制度、数据安全保护义务、数据安全法律责任四大主题内容，建设过程包含建立健全数据分级分类管理、数据安全风险评估、数据安全监测预警、数据安全应急响应和数据安全审查等数据安全基本制度，让数据安全能够真正落地。“5”是指数据安全法中涉及监管部门、数据处理活动的组织和个人、数据处理者、数据交易中介、数据服务提供者五种角色，并明确不同角色违反数据安全法条款要承担的法律责任和处罚。

数据安全法的发布是明确数据主体、数据处理者和数据控制者的责任义务，指导组织建立数据安全治理体系，保障数据不被滥用，充分挖掘基于大数据的应用发展潜力，确保数据安全和数字经济协调发展。