一）加大信息安全宣传力度
　　对于政府部门来说，大数据时代下的个人信息安全问题虽然需要政府主导进行解决，但却不能完全依靠政府力量来完成各种个人信息安全问题的防范处理，针对当前国内网民信息安全素养不足的普遍性问题，政府部门还需从学校教育、媒体宣传等多方面入手，展开信息安全知识、技能的宣传教育工作，帮助网民实现个人信息安全素养的有效提升，从源头上实现对信息安全问题的有效防范。例如在教育方面，可以由教育部门对小学、中学、大学等各阶段、各学科的教学内容进行调整，将个人信息安全保护的相关知识、技能融入到教材或实践教学活动中来，使学生能够从小接触、学习信息安全知识与技能，并具备良好的信息安全素养。而在媒体宣传方面，则可以以专题节目、纪录片、网络知识科普活动等形式对网络信息安全的相关知识、技能展开宣传，并由网警部门或其他相关政府机构开通官方微博、微信账号，向公众推送各种与日常生活相关的个人信息安全保护知识，帮助其树立良好的信息安全防范意识，这样公众的信息安全素养能够得到有效提升，个人信息安全问题也会随之逐渐减少。
　　（二）健全政府网络监管机制
　　在大数据时代下，政府对于网络环境的监管是必不可少的，虽然从目前来看，政府网络监管工作存在很大的困难，但为了保护公众的生命财产安全，仍然需要在现有政府网络监管工作的基础上，建立完善的网络监管机制，使政府监管工作能够更加规范、高效。例如针对网警部门警力不足的问题，可建立专门的公民个人信息安全保护机构，与公安部门共同负责处理群众的个人信息安全问题，并对侵犯公民个人信息安全的行为展开全面监控与事前预防，一旦发现违法分子，应立即依法对其进行惩处，并将这类行为纳入到个人或企业征信体系中来，为公众提供有效警示。同时针对一些潜在的个人信息安全隐患，则可以转变工作思路，在从网络入手的同时，与公民主动进行沟通，了解社会中存在的各种个人信息窃取、泄露、交易的情况，并以此为线索对不法分子进行打击，从而降低网络监管的难度。
　　（三）强化互联网行业监管
　　大数据时代下的个人隐私信息泄露有很大一部分都来自于各网络平台系统，因此为避免公众个人信息被互联网企业所泄露，政府还需加强对整个互联网行业的监管，从行业准入方面入手对用户个人信息安全进行严格把关，将存在非法利用他人个人信息行为的用户隔绝在互联网行业之外，改变当前互联网行业内的不良风气。同时，由于整个互联网行业目前尚未形成完善的自律机制，因此政府部门还需对互联网加以引导，强调用户个人信息泄露问题的严重性，鼓励企业健康使用大数据，主动担负起保护用户个人隐私信息安全的责任，切不可为了眼前的短期利益选择“竭泽而渔”，这样整个行业都会为了长远发展而重视用户个人信息保护，而互联网企业的数据信息使用也会变得更加规范。
　　（四）加快个人信息保护立法
　　个人信息的隐私性是受到法律保护的，当前我国有关个人信息安全的相关法律体系存在着一定的不足，实际问题也比较明确，因此只要立法部门能够针对现存法律问题来加快个人信息保护的相关立法工作，那么网络个人信息法律安全保护的法律体系就必然能够得到完善。例如在个人隐私信息的使用上，就应在法律中对互联网企业的用户个人信息保护责任加以明确，只要收集并使用了用户的个人信息，就必须要承担相应的用户个人信息保护责任，无论是主动贩卖用户个人信息，还是用户个人信息因其他问题而被泄漏，互联网企业都需要承担相应的法律责任并对用户损失进行赔偿，对于一些无须长期使用的个人信息，则需要在达到收集目的后及时删除，不可继续保存或备份。而对于主动售卖用户个人信息、窃取他人个人信息等恶性违法行为，则需要将其纳入到刑法中来，强制违法分子承担相关刑事责任，并对个人信息所有者提供赔偿，这样在违法成本及风险高于个人信息商业价值后，违法行为自然就会变得越来越少。
　　（五）重视信息安全技术研发
　　防火墙、数据加密、数据备份等信息安全技术在个人信息安全保护方面能够发挥出非常重要的作用，因此未来政府部门还需与相关科研机构、高等院校进行积极合作，围绕信息安全技术及个人信息安全保护展开专项研究，在掌握各种先进信息安全防范技术的同时，结合实际需求对现有信息安全技术进行创新，实现信息安全技术水平的有效提升，这样既可以为互联网企业的平台系统安全管理提供指导帮助，同时也能够寻求互联网企业的支持，解决信息安全技术研发的相关资金问题。

一、侵害个人信息权益的归责原则      (一)《个人信息保护法》中的归责原则      根据《个人信息保护法》第69条第1款之规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。《个人信息保护法》对个人信息处理者采用了过错推定的归责原则,但并未规定侵害个人信息权益的侵权责任实行因果关系推定,据此,个人信息主体在起诉时只需要提出相应证据证明被告存在侵害个人信息权益的行为的高度盖然性即可,个人信息处理者如不能证明自己没有过错,则应当承担侵权责任。      值得探讨的是受托人的归责原则。根据《个人信息保护法》的规定,受托人并非“个人信息处理者”,那其在处理个人信息的过程中造成信息主体损害的,还能适用《个人信息保护法》第69条第1款规定的过错推定的归责原则吗?对此我们认为将受托人的侵权行为分为如下两种类型:      一是受托人处理个人信息的行为超出了超出约定的处理目的、处理方式。一旦受托人超出与委托人合同所约定的处理目的和处理方式,则受托人实际上自主决定了信息的处理目的与处理方式,此时受托人因为这种自主决定而落入《个人信息保护法》对者“个人信息处理”定义的范畴,也即此时受托人已成为“个人信息处理者”,理应适用《个人信息保护法》第69条第1款。      二是受托人处理个人信息的行为未超出约定的处理目的与处理方式,但是其超出约定的处理期限、个人信息种类、保护措施或者其他行为造成信息主体损害的,我们认为这种情况宜按照《民法典》第1165条第1款之规定,适用过错责任原则。同时委托人还可以根据合同约定主张受托人的违约责任。      (二)《通用数据保护条例》中的归责原则      根据《通用数据保护条例》第82条第1款、第2款之规定,任何因违法本《条例》而遭受物质或非物质损害的个体,有权为所受损失从数据控制者或处理者处获得赔偿;任何涉及诉讼的数据控制者,都应对违反本《条例》所造成的损害负责,而数据处理者只有在未履行本《条例》规定的数据处理者义务或违背数据控制者的合法指令时,才对造成的损害负责。      从上述规定可知,《通用数据保护条例》为数据控制者和数据处理者确立了无过错责任(按照侵权责任构成的四要件说),受损害的信息主体在要求数据控制者或处理者承担责任时无需证明其存在过错。二、侵害个人信息权益的免、减责事由      (一)《民法典》中规定的免、减责事由      侵害个人信息权益的“个人信息处理”对信息主体应承担侵权责任。根据《民法典》总则编的规定免责事由包括不可抗力、正当防卫和紧急避险。后两者对“个人信息处理”而言较为少见,比较常见的通常是不可抗力,诸如地震、洪水导致存储个人信息的设备损坏,使得个人信息灭失等。      《民法典》侵权责任编还规定了受害人故意、自甘冒险、自主行为这三种适用于所有侵权行为的免责事由,也同样适用于侵害个人信息权益的情形。      同时根据《民法典》第1036条的规定,在侵害个人信息权益的诉讼中,“个人信息处理”可以通过举证明明存在如下事由而免责:      1.在自然人或者其监护人同意的范围内合理处理人脸信息;2.合理处理该自然人自行公开的或者其他已经合法公开的个人信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;3.为维护公共利益或者该自然人合法权益,合理实施的其他行为。      另根据《民法典》第1173条的规定,被侵害人对同意损害的发生或者扩大有过错的,可以减轻侵权人的责任。例如在信息处理者因为第三人非法侵入其计算机信息系统窃取个人信息后,已经及时采取补救措施,并依法告知了被收集者并向有关部门报告。但被收集者并没有及时采取措施诸如修改密码、转移资金等,而导致同一损失发生或扩大的,则信息处理者可以减轻责任。      (二)《通用数据保护条例》中的免责事由      由于《通用数据保护条例》对信息处理主体做了数据控制者和数据处理者的二元划分,且二者承担的责任也不同,故二者的免责是有也一并存在差异。      对于数据控制者而言,根据《通用数据保护条例》第82条之规定,由于损害必须是因违反《条例》所致,故数据控制者只有证明自己并非因从事违反《通用数据保护条例》的非法处理行为而造成损害,或者证明损害是由于处理者超越控制者的授权所致,才能免责。      对于数据处理者,由于其只是为控制者处理个人数据,故其只要证明时按照控制者的合法指令处理且未违反《通用数据保护条例》给其施加的义务,就能免责,相应责任由控制者承担。      需要注意的是《通用数据保护条例》第82条第2款强调了处理者违背或超越的是控制者的“合法指令”(lawful instructions of controller),故此,只要控制者的指令是不合法的,那么即便处理者完全按照控制者的指令处理,也需要承担责任。三、小结      综上所述,我国的“个人信息处理者”承担的是过错推定的侵权责任,而《通用数据保护条例》则给信息控制者和信息处理者施加了无过错责任,在规制程度上更为严格。

2021年6月10日，报道，十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。      数字化改革推动我国生产模式的变革，随着经济数字化、政府数字化、企业数字化的建设，数据已经成为我国政府和企业最核心资产。合资企业、跨境贸易、多厂商全球合作的模式变迁，数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。      根据公开报道，2021年全球数据泄露的平均损失成本为1145万美元，2021年数据泄露事件达到7098起，涉及151亿条数据记录，比2021年增幅284%，数据泄漏事件影响大、损失重。      有专家言论，对数据掌控、利用以及保护能力，已成为衡量国家之间竞争力的核心要素。一、外力驱动和内部需求，促使数安法落地1.外力驱动      2021年3月23日，时任美国总统特朗普正式签署了《澄清域外合法使用数据法》，法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件，无论服务提供者的通信、记录或其他信息是否存储在美国境内，要求服务商根据该法案进行调取并提供相关证据。      2021年5月25日，欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外，只要处理的是欧盟境内居民的数据，均适用此法案，对数据实施长臂管理。      目前全球已有近100个国家和地区制定了数据安全保护的法律，数据安全保护专项立法已成为国际惯例。

图1 全球数据安全保护立法情况(部分)面对欧美国家将数据主权从物理边界转向技术边界，将会直接影响到第三方国家的主权，在数据跨境流动愈加频繁的今天，必须尽快完善我国相关法律法规，保护我国国家利益、跨国公司以及公民个人利益。2.内部需求      当前全球经济传统经济增长缓慢，尤其是2021年全球“新冠疫情”给经济带来了沉重的打击。迫切需要通过新的经济增长点拉动内需，增加就业，而数字经济正是切入点和发动机，国家将发展数字经济提升到国战略高度则水到渠成。      近年来数字经济增速也证明了数字经济发展空间的巨大，中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示，我国数字经济的总体规模已从2005年的2.62万亿元增长至2021年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2021年36.2%。      可见，数字经济已成为我国国民经济增长要素的重要一员。

从2021年，国务院发布的《促进大数据发展行动纲要》开始，2021年国务院发布《科学数据管理办法》，2021年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，2021年3月12日，公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，数据安全政策导向明确，国家数据战略清晰。因此，亟需一部国家的基本法，为中国数字经济的安全发展保驾护航。      上述背景下数安法诞生，恰逢其时，维护了我国的数据主权，保障了国家的安全、促进了经济健康发展。      二、数安法要点解读和提炼数安法的发布标志着我国将数据安全保护的政策要求，通过法律文本的形式进行了明确和强化。      本法一共七章五十五条，其中 “总则”、“法律责任”及“附则”三章属于常规章节，另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。

图2 数安法七个章节我们对数安法进行深入解读后，为大家提炼出40个要点。(一)总则的要点      1)适用范围:在中国境内开展数据活动的组织和个人。      2)定义:定义数据是指任何以电子或者非电子形式对信息的记录。      3) 保护要求:_取必要措施，对数据进行有效保护和合法利用，并持续保持其安全能力。      4) 责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范，并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。      5) 特别的对行业组织提出了制定安全行为规范，加强行业自律，指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带，对各行业都形成了法律约束，杜绝了数据的随意共享和流转。(二)数据安全与发展要点      6) 发展原则:国家统筹发展和安全，坚持保障数据安全与促进数据开发利用并重。      7) 战略要求:省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。      8) 标准体系:国家主管部门负责相关标准和体系的制定。      9) 评估认证:国家促进数据安全检测评估、认证等服务的发展，支持专业机构依法开展服务。      10) 人才培养:要_取多种方式培养数据开发利用技术和数据安全专业人才。      11)特别地，加强了公共服务的要求，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。(三)数据安全制度要点      12) 分类分级:国家建立数据分类分级保护制度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。      13) 风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。      14) 应急处置:要建立数据安全应急处置机制。      15) 安全审查:要建立数据安全审查制度。      16) 出口管制:对属于管制物项的数据依法实施出口管制，可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权，即我国数据是否在境内，依然受到中国法律的保护。(四)数据安全保护义务要点      17) 管理制度:在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。      18) 风险监测:对出现缺陷、漏洞等风险，要_取补救措施;发生数据安全事件，应当立即采取处置措施，并按规定上报。      19) 风险评估:定期开展风险评估并上报风评报告。      20) 数据收集:任何组织、个人收集数据必须_取合法、正当的方式，不得窃取或者以其他非法方式获取数据。      21) 数据交易:数据服务商或交易机构，要提供并说明数据来源证据，要审核相关人员身份并留存记录。      22) 经营备案:数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。      23) 配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，未经批准，不得提供。      24) 特别的，对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。(五)政务数据安全与开放要点      25) 管理制度:建立健全全流程数据安全管理制度，落实数据安全保护责任。      26) 存储加工:委托他人存储、加工或提供政务数据，应当经过严格审批，并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。      27) 数据开放:构建统一政务数据开放平台，发布数据开放目录，推动政务数据开放利用。      28) 适用主体:法律、法规授权的具有管理公共事务职能的组织。(六)法律责任要点      29) 不履行规定保护义务:责令改正和警告，给予单位5万至50万元罚款，给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的，给予单位50万至200万元罚款，最高责令吊销相关业务许可证或者吊销营业执照，给予负责人5万至20万元罚款。      30)危害国家安全和损害合法权益的:给予200万至1000万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，构成犯罪的，追究刑事责任。      31)向境外提供重要数据的:由有关主管部门责令改正，给予警告，可以并处10万至100万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的，给予100万至1000万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予10万至100万元罚款。      32) 交易来源不明的数据:没收违法所得，对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款，最高责令吊销营业执照;对主管和直接责任人1万至10万元罚款。      33) 拒不配合数据调取的:由有关主管部门责令改正，给予警告，可以并处5万元至50万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。      34) 国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。      35)未经审批向境外提供组织数据的:由有关主管部门给予警告，可以并处10万至100万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的，给予100万至500万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予5万至500万元罚款。      36) 国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊，依法给予处分。      37)窃取或非法获取数据的:依照有关法律、行政法规的规定处罚。      38) 给他人造成损害:依法承担民事责任，构成犯罪的，依法追究刑事责任。(七)附则要点      39) 涉及国家秘密的数据:依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。      40) 涉及军事秘密的数据:由中央军事委员会依据本法另行制定。      数安法是继《网络安全法》提出数据的概念后，国家在数据安全立法层面的一个重大里程碑，注定了是中国数字经济高速发展的压舱石和定海神针。三、数据安全建设的几点建议      数安法作为数据安全管理的基本大法，给我们指明了方向和提供法律保障。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源，都应当依法建立健全数据安全管理制度，采取相应技术措施保障数据安全。

未来如何做好数据安全建设?政企在进行数据安全能力建设时，考虑数据安全、访问控制以及数据保护三个层面。      形象的说，数据安全的首要目标是需要找数据在哪里?数据的主体是谁?访问控制是目前主流的数据安全能力之一，首要目标是数据使用者如何证明具备相应的数据权限?数据保护是更高层面的建设框架，首要目标是组织或个人如何确保数据已经被保护好了?      对于IT和信息安全从业人员来说，数据安全能力建设是最艰巨的任务之一。      关于数据安全能力的建设，安恒信息首席科学家刘博提到:在业务层面，应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全体系;在技术层面，应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力4大核心数据能力的建设;最终建立“数据安全运营”的全过程自适应安全支撑能力，直至达到整体智治的安全目标。1.建立健全管理组织体系和组织架构      企业数据安全管理的成败，主要取决主要领导是否重视?意识是否提升?全员是否参与?是否建立了一套完善数据安全管理组织?这是数据安全的重要保障。要形成“管理层重视、一把手负责、全员参与”的管理模式。

2.建立完善的数据安全技术体系和落地      传统方式已经无法适应新时代数据安全需要，面临安全的新态势、新要求，在继续做好业务安全的基础之上，通过智能化管理平台，在技术层面实现对风险核查(Check)能力、数据梳理(Assort)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力4大核心能力的建设，在业务层面，实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。

3.引进下一代技术，实现流程自动化      人工智能和机器学习将是未来数据安全工作的关键，目前，多数大型企业正在寻求使某些法规遵从流程自动化，包括数据定位和提取，自动化是大型企业保持对大量存储在数据中心和云中的结构化和非结构化数据兼容的唯一方式。

对于数据安全能力建设较为薄弱的企业，建议考虑零信任模式作为一种安全策略，有了“零信任”，企业将着眼于数据管理的整个生命周期，并将关注点从数据安全本身扩展到企业整体信息安全框架。4.政府需落实数据安全保护责任，推动政务数据开放利用      政务数据安全与开发作为数安法的独立章节，要求我国政府在落实数据安全保护责任的同时，推动政务数据开放利用。如何实现数据要素安全、高效的共享开放，刘博谈到，个人隐私保护、敏感数据使用、数据确权等难题都成了数据要素市场化的“拦路虎”，我们可以通过引入“数据安全岛”模式，利用安全计算沙箱、安全多方计算、区块链等技术，实现原始数据不出本地，只交换计算结果，做到数据共享的“可用不可见”，解决数据信任和隐私保护、溯源等难题，让流动的数据成为驱动数字经济发展的新动能。

四、数据安全的未来      数据安全在未来仍将是一个重大挑战，人工智能、机器学习和零信任模型的创造性应用将帮助IT和信息安全从业保护数据，以及确保组织和个人数据合规，助力国家数据安全战略落地实施。      我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化，提升社会数据资源价值，相信随着《数据安全法》的出台、落地实施，数据资源将会迸发出更强的活力。安恒信息站在时代与理论的前沿，提出以“CAPE”数据安全能力框架为核心的数据安全管控体系，包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能