广悦律师受邀为江汉大学网络安全实验室技术专家及学生作网络数据安全技术与法律融合服务实践分享

网络时代，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。

江汉大学聚焦网络安全，与行业企业联合组建网络安全实验室，开展网络管理及安全技术研究，输出专业的网络安全治理服务。为促进网络安全技术人员和学生在网络安全实务中，对网络安全技术和法律方案的融合运用，2023年3月31日，江汉大学网络安全实验室组织一场网络安全实务分享会，邀请广悦律师事务所顾问律师陈超，给实验室近50名网络技术专家和网络安全相关专业学生作网络数据安全技术与法律融合服务实践分享。

陈超律师基于在工作交流中了解获悉的江汉大学网络安全实验室在网络安全、数据安全领域的研究以及网络安全治理技术服务等情况，结合自身在之前在公安机关、互联网头部公司，从事网络安全、数据安全领域的技术应用、代码开发的经历、以及开展网络安全数据合规法律服务的实践，聚焦网络安全等级保护合规建设、数据安全合规建设、个人信息保护合规建设等，以及法律和技术在合规治理中的融合运用等，作实务经验分享。

就网络安全等保合规实施，陈超律师结合实务项目分享实施经验，既要部署网络安全组件，按照法律法规要求，需要部署安全管理平台SMP、第二代防火墙NGFW、入侵防御NIPS、网络入侵检测NIDS、主机入侵检测HIDS、网络防病毒NAV、主机防病毒HAV以及综合安全审计CSA、网络脆弱性扫描NVS、运维安全管理OSM（堡垒机），还有防DDos等安全组件，从技术侧加固网络安全，还要从法律侧开展网络安全建设，加强人员机构制度体系建设，配备安全管理人员，明晰安全管理职责，组建安全管理机构、完善安全管理制度，编制规章制度体系，建立安全管理执行台账，开展网络安全培训，组织网络安全应急演练，切实加强人员机构的网络安全意识和能力，规范网络行为，杜绝网络不当失职行为。

在数据安全合规建设中，陈超律师结合实务项目分享实施经验，数据安全问题不但需要制度保障，更需要技术推动。在数据发现、分类分级、身份鉴别、入侵防护、访问控制、数据脱敏、备份与恢复等的关键环节，通过技术建设形成数据安全能力，从人员身份的动态鉴别、数据资产精细化动态化授权、用户异常行为预警阻断、威胁风险的持续检测和响应等方面，更好的加强数据安全合规建设。在数据分级分类管理中，需要基于法律法规、行业规范对数据分级、分类的规定，制定、确立数据分级分类的规则、策略，依托信息技术建立数据分类定级自动化体系，对应用系统进行数据资产盘点，运用自动化工具，开展数据分类定级，完成网络环境下海量数据的分级分类。为保护数据拥有者的权益安全及个人隐私，通过隐私计算，实现数据的流通及数据价值深度挖掘。隐私计算在保证不泄露原始数据的前提下，对数据进行处理和计算，完成数据价值挖掘，保障数据在流通和融合过程中的“可用不可见”，实现数据所有权和数据使用权之间的分离。

针对个人信息保护合规建设，陈超律师也分享了法律与技术融合的观点、方案，对数据进行匿名化是个人信息保护治理常用的技术实现，在建立个人信息保护制度的基础上，各种脱敏和匿名化创新技术也是个人信息保护的利器，在金融行业广为应用。另外，支付标记化技术(Payment Tokenization)，通过支付标记代替银行卡号进行交易验证，有效避免银行卡号信息被泄露。支付标记化主要优势有：无须留存敏感信息，在交易中不出现持卡人卡号与卡片有效期;仅可在限定交易场景使用，支付更安全；不仅可防范交易各环节的持卡人敏感信息泄露风险，还降低了欺诈交易的发生概率。中国银联和苹果公司在2016年合作推出的移动支付方案“苹果支付”(ApplePay)就采用了支付标记化技术，有效规避了敏感信息泄露的风险。比如区块链技术，用户的私钥在本地生成，通过公钥计算发布有效的账户地址，从而阻断账户地址和账户持有人真实身份的关联。通过控制私钥，用户可以在区块链上自主完成交易，区块链技术解决中心化模式下数据控制者对数据的垄断问题，使用户拥有个人信息保护自主权，值得在个人信息保护治理中应用。