“只要用户的数据还存在,DT时代网络安全需要“动态掌控”,企业的责任就不会终结。保护每一个复杂交易的数据安全,只有经营好安全体系,成为了贯穿企业经营的生命线,才能实现企业经营安全。十余位两院院士,是企业经营者的无限责任。在8月27日举行的2021北京网络安全(BCS2021)上,200多位全球重磅嘉宾,联席、奇安信集团董事长齐阐述了DT时代,围绕安全责任、产业趋势、数字城市、数据治理、车联网、密码应用等热点议题展开交流讨论。BCS被称为网络安全领域的达沃斯,企业需要重新思考自身的安全责任。
齐表示,近三年的主题词“内生安全”“安全框架”“经营安全”,最近近年,共同组成了和企业实施网络安全的“三曲”。图:北京网络安全联席、奇安信集团董事长齐工业和信息化组成员、副长刘烈宏,时代正在发生深刻的变化:数据问题让国际关系变得越来越复杂,北京市委、副市长殷勇,数据资产成为了勒索攻击的头号目标,电子信息产业集团董事长芮晓武,针对关键基础设施数字化系统的攻击愈演愈烈……这些变化标志着人类社会已经从IT时代进入了DT时代。
“DT时代的第一个特征,十三届全国政协、社会和法制副,企业经营者的安全责任,从以前的有限责任变成了无限责任。”齐认为,传统经济和DT时代的交易形式,存在着巨的差异。传统经济中,交易是“银货两讫”,交易结束后,企业经营者的责任基本也就结束了。但DT时代,几乎所有的交易都数字化了,一系列新技术、新应用、新场景和具体业务、具体用户结合在一起,共同构成了一个复杂系统。在这个复杂系统里,流动着复杂数据,发生着复杂交易。即便是交易之后,数据的流转仍在持续进行,企业经营者的安全责任并未结束。
齐引用我们的日常出行场景举了一个例子,“以前,我们打车招手即停,到了目的地,交易就结束了;现在,我们用手机打车,产生了很多数据,即使出行结束了,用车平台仍然需要对我们的隐私、资金等各种数据的安全持续负责。”
对于员工违规违法等原因导致的数据丢失,企业该承担怎样的责任,齐进行了解答:“数据泄露违法的锅,法人甩不掉。”企业法人的责任小看两方面:一是后果,如果危害了安全,责任就了;二是看过程,如果企业没有按要求必要的网络安全系统,责任也就了。这和传统的煤矿爆炸是一样的道理,如果矿场没有安全措施、制度和流程,那么矿主一定要承担主要责任。
即将在9月1日实施的《数据安全法》,强调了企业在保护数据安全中应承担的责任:企业需要制定相关制度来保障数据安全,补救数据安全风险,上报数据安全事件。如拒不遵守法律或酿成重数据泄露事故,企业将被处以十万元以上、万元以下的罚款,直接负责的主管人员和其他直接责任人员,则将被处一万元以上、十万元以下罚款。不久前,《个人信息保护法》(以下简称 " 个人信息保护法 ")正式表决通过,并将于 2021 年 11 月 1 日起施行。此次法案,对行业普遍关注的多项信息安全问题做出明确规定,在数据安全发展进程中具有里程碑意义。
分析人士认为,从不久前引发热议的《数据安全法》到《个人信息保护法》,一系列法律组合拳的出台,意味着数字经济已经告别了过去 "粗放型" 的管理模式,进入到规范化、精细化运行阶段。同样,在DT时代,企业的经营活动已经和安全、社会安全发生了密切联系,企业经营者的安全责任,从有限变成了无限,“只要用户的数据还存在,企业的责任就不会终结。”
