世平信息：《数据安全法》与数据安全能力对应分析

《数据安全法》（以下简称“数安法”）表决通过已过多日，离9月1号开始实施的脚步也越来越近了，数安法之于《网络安全法》终于作为一个独立的立法单元对数据安全进行了重点关注与落地。最近网络上有很多解读数安法的文章，多数是偏向于法律法规条款的解释，那么针对其中的条款又有哪些产品可以实现有效的应对，是本文分析的一个重点维度。

数安法对数据作出了明确的定义，任何以电子或者其他方式对信息的记录都称为数据，综合市面上的数据类型，涉密数据、个人信息、重要数据等都是较为常见的敏感数据类型，也是数据安全产品及技术重点保护监管的对象。

数据安全市场发展多年，诞生了不少优秀的数据安全产品，此次数安法颁布实施之后，数据安全市场上的诸多优秀产品也真正意义上实现了有法可依、尊法落地。

接下去的篇幅将针对数安法中的部分条款及所对应的数据安全产品和能力进行梳理和分析。

划重点一：第一章第三条

本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

该条款明确了什么叫数据，什么是数据安全，首次明确定义了“数据处理”这个概念，将“数据全生命周期”演变为“数据处理”其中的一个重要组成环节，基于此，我们构建的数据安全产品图谱，应该考虑其全局性，是一个全方位的、综合的产品图谱体系。

划重点二：第一章第七条

国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

数安法制定的一个重要目标是：保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。数据是要依法流动的，也只有流动的数据才能体现其价值，因此我们构建的数据安全产品是要能保障数据在有序自由流动的场景下实现数据的保密性、可用性、完整性（也就是我们通常说CIA），这个对数据安全显得更为重要。

数安法条款及数据安全能力（技术、产品、服务）对应分析

条款：第二章第十八条　国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

能力对应：数据安全风险评估服务、数据安全合规检测（终端、网络、存储、数据库）

条款：第三章第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

能力对应：数据资产梳理、统一管控平台、数据库加密、数据防泄漏（终端、网络、存储）、数据安全模型

条款：第三章第二十二条　国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

能力对应：统一管控平台、主机监控与审计

条款：第三章第二十四条　国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

能力对应：数据安全采集过滤（个人隐私、涉密数据、重要数据）、外发辅助审核、内容保密检查（数据库、邮件、网络、终端）、打刻保密检查、主机监控与审计、电子台账管理……

条款：第四章第二十九条　开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

能力对应：统一管控平台、API安全网关、API安全监测、数据库审计、综合脆弱性评估

条款：第四章第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

能力对应：数据安全风险评估服务

条款：第五章第三十八条　国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

能力对应：数据防泄漏（存储、网络、使用）、动/静数据脱敏、数据库防火墙、数据外发管控、数据透明加解密、涉密数据保密检查……

条款：第五章第四十条　国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。