数据安全 VS 数据合规

本篇文章，作者将系统的介绍数据合规与数据安全二者的概念及区别，帮助我们在做数据时有效区分二者的差异，希望本篇文章能对你有所帮助。

随着社会各界对于数据价值的认识体会不断加深，数据作为生产要素不断发挥着带动生产力的作用，但相应的数据隐私、数据安全、数据合规等关键事项也相继被提上日程。

特别是从2021年开始，新年第一天即施行《中华人民共和国民法典》（简称《民法典》），其中明确规定了“隐私权和个人信息保护”的相关要求。

2021年9月1日起施行的《中华人民共和国数据安全法》（简称《数据安全法》）明确规定了针对整个数据处理活动的数据安全保护责任及义务。

2021年11月1日起施行的《中华人民共和国个人信息保护法》（简称《个人信息保护法》）明确规定了个人信息处理者对于个人信息处理活动各个阶段的保护要求及个人信息主体相关权利要求等。

今天，笔者主要想聊一聊数据安全和数据合规的区别，因为很多时候笔者发现安全和合规经常放在一起讨论，就好像是一个词汇一样，实际上安全与合规有很大的不同。

一、数据安全

根据《数据安全法》中阐述，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。应保证数据生产、存储、传输、访问、使用、销毁、公开等全过程的安全，并保证数据处理过程的保密性、完整性、可用性。

1. 首先，针对数据存储过程中面临的未经授权访问数据、修改或破坏数据等安全问题，可通过高效的加密算法对数据进行加密，以保障数据的安全性。通过密钥管理服务，实现密匙全生命周期安全管理；通过存储复制、数据冗余和硬盘保护等多种策略保障数据安全。
2. 其次，针对数据传输过程中的安全问题，可采用数据基因技术构建完整的数据基因体系，确保数据传输过程中可溯源、可追踪、可关联，以保障传输数据的正确性。可利用加密传输，对数据进行加密传输并通过安全传输协议，保障数据传输安全。
3. 再次，针对数据访问环节中出现的恶意攻击与解密算法多样等情况，有可能造成数据的恶意非法访问，引发数据泄露、窃取、滥用等严重后果，可采用基于区块链等的新型访问控制及多因子认证机制对用户身份进行验证和授权。
4. 最后，针对数据使用的安全问题，可采用数据匿名化、数据脱敏等技术，保障数据在授权范围内被访问、处理，防止数据窃取、隐私泄露、损毁等安全问题发生。在数据销毁环节，常用的方法易造成数据销毁不彻底、数据内容被恶意恢复等情况，导致数据泄露等严重安全风险。因此，可采用数据关联销毁、软销毁与硬销毁结合的方式，彻底销毁或删除数据。

当然，以上仅仅只是理论层面，但具体到实施落地层面，单单数据分类分级很多地方已经碰到很多需要细究的问题了。比如各个部门关于级别的不同理解，数据关联后的级别如何制定等等问题。

同时，在数据安全之外，很多政府或者企业更多关心的是所谓的大安全，即包含数据安全、网络安全、信息安全、系统安全、内容安全的安全体系。

在这里笔者简单介绍一下各个安全的内涵以及与数据安全之间的关系，具体细节内容暂不阐述：

1）网络安全

主要指互联网及其他信息网络、计算机网络的安全运行，监控和防止针对网络攻击和来自网络的攻击，确保网络基础设施的安全运行和合法使用。

数据安全涉及网络数据的生产、传输和使用过程中的安全，保证网络数据的保密性、完整性、可用性、真实性和可控性是网络安全的主要任务。

2）信息安全

主要指信息在系统和网络传输、处理、储存过程中不被泄露或破坏，确保信息的可用性、保密性、完整性和不可否认性，包括密码系统的安全等。

其中，信息安全涉及的数据安全主要包括两方面：

1. 指数据本身的安全，一般采用现代密码算法等技术对数据进行主动保护
2. 指数据防护的安全，通常采用现代信息存储等手段对数据进行主动防护。

3）系统安全

主要指软硬件信息系统如操作系统、云系统、终端系统、应用软件系统的安全运行，保证系统不受恶意代码和其他恶意攻击，确保系统正常运行和合法使用。

数据安全是系统运行安全的要素。

4）内容安全

主要指信息内容在网络传播等过程中的真实性、可靠性、合法性。内容安全涉及用户多源数据的关联、隐私数据的窃取、社交网络对抗等安全问题。

总结以上内容，可以发现数据安全是可以使用有效的技术手段来保护资产免遭攻击。但是目前伴随着数据要素流通的持续深入，会遇到各种除了数据安全之外新的课题。

比如如何正确赋以加工使用权、数据产品能否审批通过、数据产品有无异常使用、数据跨境如何能够满足相应法律要求等等，这些都属于数据合规。

二、数据合规

数据合规指的是组织必须遵守的关于如何组织、管理和存储数据的规定。各行各业的组织都必须遵守数据合规标准，以保证客户的个人身份信息 (PII) 和财务细节的机密性，并防止他们的敏感数据落入坏人之手。

数据合规已经成为当前国内的一个研究热点，同时也已经成为各地的一个重点监管方向。

广州市国资委2021年发布了国内首个数据安全合规方面的指导文件《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》，面向监管的相关企业单位提出了数据安全合规监管方面的一些重点要求。

上海市杨浦区检察院联合多家单位于2022年1月发布了上海市首个《企业数据合规指引》，系统性提出企业数据合规所应该落实的数据安全管理与技术等方面的措施。

所以，数据合规不单单只是技术问题，它需要更加关注政策、法规和法律等，合规的作用是确保组织符合不同的监管要求。

对于合规团队而言，他们要理解那些需要遵循的法律、规则，并开发对应策略来满足这些规则。安全团队只需要保证，他们的防护和控制措施已经到位，并如预期一样发挥作用即可。

而合规建设则需要相应的证据，他们需要证据来证明已满足第三方的要求。

在这里面笔者简单阐述一下数据合规落地实践关键要素：

1）梳理合规依据

主要涉及国家法律、中央及地方政府法规、政府行业相关的规范、国家/行业/地方等标准，以及相关组织内的规章制度等都是合规重要的参考依据。这些材料的重要性不完全相同，如果相关要求存在冲突或不一致，应以上位法律法规相关要求为准。

2）合规咨询评估

主要对于所有梳理的合规依据进行相关法律法规以及标准规范等的分析解读，重点是根据组织所在的业务及地区等相关要求进行合规性分析，并提取相关的合规要点，进一步根据合规要点输出合规知识等信息以及对评估中发现的合规风险及问题提出合理的改进建议。

3）合规知识库的建设

重点根据合规咨询评估等获取的合规知识，持续进行积累和更新。

4）合规运营管理平台的建设

主要包括合规数据采集、合规数据分析及合规数据运营等基础功能组件。

合规运营管理平台主要是基于合规知识库，采用大数据分析、自然语言处理NLP、用户实体行为分析UEBA等相关技术对采集的合规数据进行深入分析，并对数据安全合规结果进行闭环处置管理。

三、结语

数据合规与数据安全是两个紧密联系又有明显区别的概念。

• 数据安全侧重的是如何防范数据被泄露、数据被破坏、数据被滥用的风险所进行的安全防护措施，重点是防范坏人做坏事。
• 数据合规则是根据数据法律法规相关要求落实数据安全相关责任与义务，本质是指导好人做好事。

​Read More