《数据安全法》9月施行,物联网安全终于登上舞台?
人人都说“海量数据”,但全球范围内未来将产生多少数据?全社会如何应对并处理这些数据?
在IDC的报告中:2020年全球创造了59ZB的数据,其中一半以上(50.4%)的数据需要一定程度的保护,近四分之一的数据被认为是私人的或通常不向公众提供的数据,安全级别很高,但却缺乏保护。另外关键的是,与消费者相比,企业要保护的数据更多,占需要保护数据总量的85.6%。
企业的痛点在于,很多时候在发展业务和投入安全成本两者间,选择的天平很难不倾斜;
政策的难点在于,尽管提到数字经济是新的增长机会,数据的流通是科技进步的重中之重,但对数据的归属、使用数据的界限等等细节如何清晰划定,一直缺乏行之有效的法规。
在此背景下,6月10日,历经三审,第十三届全国人民代表大会常务委员会第二十九次会议表决通过《中华人民共和国数据安全法》(下称《数据安全法》),将于2021年9月1日起施行。
这是我国第一部有关数据安全的专门法律,其意义不仅在于保障国家、企业及个人的数据安全,也有望疏通关于数据流通和商业变现的路径,推动数字经济战略的向前发展。
当然,因为采用了“宜粗不宜细”的立法原则,不同行业、不同地区数据分类分级的具体规则还是要到行业主管部门和各地区国家机关中制定。
从不同角度打开数据安全管理规定
6月初,记者报道《上海市数据条例(暂定名)》初稿已经编制形成,并在数据确权上明确控制、使用、收益、分类四大权益,拟于今年9月提交市人大一审。
6月29日,《深圳经济特区数据条例》(下称《条例》)获得通过,拟自2022年1月1日起实施。《条例》涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,提及了包括数据权益归属、人脸识别数据不可滥用、自然人有权拒绝个性化推荐、大数据杀熟最高可罚5000万元等内容。
除了各个城市逐渐加快制定数据安全管理条例以外,再看细分行业里,今年5月国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》,指出运营者通过汽车收集个人信息或重要数据时,应该遵守车内处理、匿名化处理、最小保存周期等原则,收集前要征求驾驶人的同意,并且还需向相关监管机构提报相关信息,接受管理。
而其中的重要数据包括六个项目,分别涉及军事、地图测绘、充电网络、车辆类型和流量、车外音视频数据、其他影响国家安全公共利益的数据。
联系起5月特斯拉对外宣布已在中国建立数据中心,未来所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。其实这也是《规定》中列名的约束。
另外,国际上其实也有不少参考案例:例如2018年2月美国通过《云法案》,提出关于数据跨境传输、跨境调取的主权问题;例如2018年5月欧盟出台《通用数据保护条例》,提出要基于个人信息保护理由的数据跨境管控。
总而言之,物联网时代除了关注人产生的数据,分布在各行各业中传感器产生的数据,例如工业制造场景、城市交通场景、农业生产场景、家庭生活场景……这些场景中的数据同样有极大的保护和利用价值,当企业运营者意识到这一点以后,反而有望开启业绩增量的新篇章。
一些“失败”的数据资产保护案例
今年5月,美国最大的燃油管道运营商Colonial Pipeline被一个名为“黑暗面”(DarkSide)的网络犯罪团伙攻击及勒索,在被迫关闭东部沿海各州关键燃油网络基础设施后,这条负责美国东海岸45% 燃油供应的“输油大动脉”便陷入瘫痪,令美国当局迅速宣布17个州和华盛顿特区进入紧急状态,短时间内受较大影响的地区油价比前一周上涨4.3%。
根据报道指出,事件发生后Colonial Pipeline在数小时内就向黑客组织支付了500万美元的比特币赎金,以获得由对方提供的解密工具,虽然后续美国司法部表示大部分的虚拟货币赎金已追回,但是总体来看,黑客肆虐已经成为不争的事实。
在进一步的报道中有过描述,自去年10月以来,仅仅是“黑暗面”组织就对全球制造业、医疗保健和能源等关键领域的90名受害者发动了袭击。
还有一则案例是在5月底,全球最大的肉类生产商JBS股份有限公司美国分部发表声明称,该公司在当地时间5月30日遭到了有组织的网络攻击,分布在8个州的9家JBS牛肉工厂陷入瘫痪状态,而这9家工厂支撑着美国超过1/4的牛肉供应。
同样为了保护其他工厂免受破坏及尽快恢复运营,JBS最终向黑客组织支付了1100万美元的高额赎金。
大概率是因为匿名性和暴利性,近年来勒索软件攻击在全球范围内不断增多。下图是调研机构COVEWARE提供的每季度企业产生的平均支付赎金,可见连赎金都已经呈现陡然上涨之趋势。
在这样纷繁复杂的国际背景下,基于企业数据或者联网资产进行的网络攻击事件很难停止发生,没有任何一家企业可以保证能够独善其身。并且在笔者认为,世界上并不存在确保网络安全的一劳永逸的办法,不过,及时对危害事件作出回应,持续查杀漏洞并更新补丁和固件,对网络安全投入应有的资金与人力总归是必要之举。
尤其随着越来越多行业中的设备开始联网,提升大多数企业的安防意识和能力是最优先要做的事。完成此举,政策应当给予督促,企业也可以主动配合。
数据资产将体现更大的价值
《数据安全法》中提到:数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
今年5月国家工信安全中心联合华为共同研究编制的《2021年数据安全白皮书》也提到:当数据量变和质变达到一定水平,其数据价值会随之增大,数据安全将在护航数字产业发展生态中发挥关键作用。
聚焦到物联网行业,实际上企业做物联网产品或应用最终的期望,就是数据分析。不过近几年经验已经证明,单纯做数据分析的企业往往会遇上两大问题,其一是行业数据不容易获取,其二是越有用的行业数据越难获得。
比如希望做城市停车管理平台的公司,究竟能拉通多少区域、多少停车场的实时数据,进而将更为全面的可视化结果展现在消费者端,其难度可以想象。
在笔者认为,尤其是B端行业数据是具有强烈的敏感性的,在行业中有深厚积累的企业客户,在提供数据这件事上往往具有很大的顾虑。这种顾虑早前影响了他们向智能化转型的很多决策,也正因此,仅仅拥有底层数据,但缺乏先进的算力、算法对数据进行分析和应用,这些数据的价值也并未得到挖掘和培养。
所以眼下的《数据安全法》,一方面是限制住企业运营者对数据的使用权限,使其不出现危害国家利益、消费者利益等的经营活动;另一方面,大致也是希望激活数据安全服务提供市场,激活更多的数字经济应用在安全、可靠的网络环境中蓬勃发展。
从这个角度考虑,与数据资产相关的云计算、人工智能、物联网安全等领域,期待他们展开新的行动……
参考资料:
1. 新京报,《数据安全法》出台带来哪些影响和机会?专家、企业高管们这样说
2. 人民网,毕磊,首提“国家核心数据” 《数据安全法》划定数据安全风险基本“红线”
3. 通信世界全媒体,《数据安全法》亮点解读及实施展望
4. 21世纪经济报道,《数据安全法》落地催生“隐私计算”等新风口 万亿规模数据产业迎新机
5. 数据爆炸增长,失控祸及全球:2021年《中国数据安全市场研究》报告正式发布