加入收藏 |

解读《数据安全法》,打开数据安全保护“新思路”

作者:引自“绿盟科技” 时间:2021-10-10 点击数:

2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(简称《数据安全法》)。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。


《数据安全法》的制定,是为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。是维护国家安全的必然要求,是维护人民群众合法权益的客观需要,也是促进数字经济健康发展的重要举措。


为了能够更好的理解《数据安全法》条款,落地数据安全建设思路,我们对《数据安全法》作出更进一步解读,希望与广大安全从业者互相交流、共同探讨数据安全的最佳实践。


第一章 总则

本法对数据、数据处理、数据安全给出了明确的定义,从总体国家安全观的视角提出要求,规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。


1、法律适用范围:

• 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

• 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。


2、责任分工与权责:

• 一统领,三监管:中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;公安机关、国家安全机关负责各自职责范围内承担数据安全监管职责;国家网信部门负责统筹协调网络数据安全和相关监管工作。

• 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。


3、数据安全开展:

• 建立健全数据安全治理体系,提高数据安全保障能力。鼓励开展数据处理活动,但不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

• 相关行业组织按照章程,依法制定数据安全行为规范和团体标准。

• 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报,同时对投诉、举报人的相关信息予以保密。


第二章 数据安全与发展

1、总体原则:

国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。


2、战略要求:

• 国家实施大数据战略,推进数据的创新应用,省级以上人民政府制定数字经济发展规划。

• 国家支持开发利用数据提升公共服务的智能化水平,充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

• 全面加强数据开发利用,鼓励产业发展。

• 推进数据开发利用技术和数据安全标准体系建设。

• 促进数据安全检测评估、认证等服务的发展。

• 建立健全数据交易管理制度。

• 数据开发利用和数据安全相关教育培训。


第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

解读

数据交易可以促进数据的流通,摆脱“数据孤岛”,发挥数据资源的经济价值。目前,在国内数据交易还面临着众多安全问题和挑战,需要规范数据资源交易行为,建立良好的数据交易秩序,促进数据交易服务参与者安全保障能力提升。


近年来,国内多地已开始率先探索大数据交易市场,如“贵阳大数据交易所”、“上海数据交易中心”、“北京国际大数据交易所”等。从交易市场化要素角度来看,其落地实施的相关配套细则并不完善,让数据发挥作用还需设计出配套制度。


相关标准的发布:

GB/T 37932《信息安全技术 数据交易服务安全要求》

GB/T 36343《信息安全技术 数据交易服务平台 交易数据描述》

GB/T 37728《信息技术 数据交易服务平台 通用功能要求》


第三章 数据安全制度

1、数据分类分级与重点保护:

第二十一条

• 国家建立数据分类分级保护制度,依据危害程度,对数据实行分类分级保护。

• 各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

解读

数据分类分级是数据安全防护的支撑与基础,有针对性的开展数据分级防护,从而减轻资金、人员、运维精力等综合投入成本。根据数据在经济社会发展中的重要程度和危害程度进行分类分级,前提是企业和组织要充分了解和掌握自身数据的类别、范围、业务系统、业务数据流转,才能更准确的形成重要数据保护目录,并做到针对性的重点保护。


相关标准的发布:

JR/T0158-2018《证券期货业数据分类分级指南》

JR/T0197-2020《金融数据安全 数据安全分级指南》

GB/T39725-2020《信息安全技术 健康医疗数据安全指南》

YD/T3813-2021《基础电信企业数据分类分级方法》


2、数据安全运营:

第二十二条

• 建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

解读

数据安全监督运营管理,以数据安全为中心,利用多种数据安全技术,从资产稽核、策略的优化、事件监测与处置等多维角度进行数据安全监督,7*24小时持续运营,保障数据活动的安全。


3、数据安全审查与管制:

第二十三条 、第二十四条、第二十五条、第二十六条

• 建立数据安全应急处置机制和数据安全审查制度。属于管制物项的数据依法实施出口管制。在与数据和数据开发利用技术等有关的投资贸易,对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施。

解读

建立应急处置机制,旨在提升企业和组织的应急响应能力,提前发现安全隐患,及时解决问题,降低应急事件带来得不良影响。我们可以从应急准备、监测与预警、应急处置和总结改进四个阶段来建设。


数据安全审查制度,数据安全主管和监管部门,定期或不定期对各级企业和组织开展数据安全检查工作,从而协助各级企业和组织,了解自身的数据安全情况,找出潜在的数据安全隐患与不足,为以后的数据安全建设提供指导性意见。


对程序源代码、算法等技术资料做为出口管制的范围;针对国外敌对势力恶意或不公平对待我国合法的数据贸易投资,可依据本法予以反制。数据安全审计、出口管制与外交反制是国家对数据利益的保障,审计取证是必要的手段。


第四章 数据安全保护义务

1、数据安全保障措施

第二十七条 

• 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

解读

依照国家法律法规及行业标准,结合企业自身的安全需求,从组织建设、人员能力、制度流程和技术工具四个维度,围绕数据生存周期(数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁)及业务风险场景,按照资产梳理、分类分级、管理流程、技术能力及持续优化的步骤,建设数据安全治理体系。同时定期开展数据安全教育培训,加强全员数据安全防护意识,提升数据安全人员专业技能。


全面落实GB/T 22239《网络安全等级保护基本要求》中安全通用和安全扩展要求内容,做好物理环境、通信网络、区域边界、计算环境、管理中心等安全管理。


对相关业务系统、操作系统、数据库、大数据组件等进行漏洞扫描,及时升级补丁或采取补救措施;充分识别风险场景,对重大安全事件,采用技术手段及时发现及时处理上报。


2、 数据安全风险评估、数据出境、数据交易、取证调取。

第三十条:

• 重要数据的处理者应定期开展风险评估,并向有关主管部门报送风险评估报告。

解读

数据安全风险评估在信息安全风险评估的基础上,更加重视数据资产本身的安全性,呈现出围绕数据资产、强调数据安全业务场景的特点。


通过数据资产梳理“摸清家底”,建立数据资产清单,是数据安全风险评估的基础,同时也是分类分级的基础。数据安全业务场景与数据生命周期相关联,不仅包括数据收集、传输、使用、存储、交换、销毁等过程,还包括数据的摘取、汇聚、共享外发等活动。每个数据类型都对应着多个业务场景,每个业务场景都存在着潜在的安全风险。


风险评估能够帮助企业/组织发现自身数据安全问题和短板,明确数据安全保护需求,为建设数据安全管理和技术手段指明方向,并给出解决方案。


第五章 政务数据安全与开放

1、国家推进政务数据开放利用

第三十七条 第四十二条

• 提高政务数据的科学性,准确性,时效性。

• 制定政务数据开放目录,构建统一规范,互联互通,安全可控的政务数据开放平台。

解读

依照GB/T 39477《信息安全技术 政务信息共享 数据安全技术要求》,对政务信息共享安全框架、数据安全技术要求、基础设施安全技术要求三部分进行安全体系建设,增强政务信息共享交换的数据安全保障能力。


2、对国家机关的要求

第三十八条至第四十一条

• 收集数据和使用数据应合法合规,对个人隐私、商密等信息依法保密。

• 建立健全数据安全管理制度,落实数据安全保护责任。

• 委托他人建设、维护电子政务系统,存储、加工政务数据,受托方应当依照法律法规、合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

• 依据公正、公平、便民的原则,及时、准确的公开政务数据。

解读

• 建立数据安全管理制度,落实数据责任制。


• 采用数据源鉴别、身份鉴别、访问控制、数据加密、数据防泄露等技术手段,对个人隐私、商密等数据进行安全防护。


• 国家机关应对受托方定期进行监督检查,包括但不限于受托方的数据安全管理制度、资质审核、签订服务合同、保密协议等内容。同时建立数据流转异常监测、用户行为管控、数据外发风险告警、数据追溯等防护能力,加强受托方在数据处理、数据存储等环节的审批。


• 受托方应定期开展安全自评估,满足国家机关的数据安全要求。对于未履行数据安全保护义务的,按照法律法规、合同中规定予以惩罚。


第六章 法律责任

本章主要对国家机关和国家工作人员,以及其他违反本法规定的,提出不同的处罚措施。


第七章 附则

国家秘密和军事数据不在此法范围内

• 国家秘密,适用《中华人民共和国保守国家秘密法》等。

• 军事数据,由中央军事委员会制定数据安全保护办法。


结语

《数据安全法》的出台发布,填补了我国在数据安全领域法律的空白,后续各行业主管和监管部门会陆续发布数据安全相关的标准、规范,完善和细化数据安全的实施办法与具体要求,指导企业和组织进行数据安全治理体系的建设,同时定期开展数据安全风险评估工作,排查安全隐患,及时采用数据安全技术措施保障数据安全,否则将按照《数据安全法》依法严惩。





Copyright© 2019 All Rights Reserved.郑州大学网络管理中心版权所有