2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》(简称《数据安全法》)。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。
数据安全法的制定,是为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。是维护国家安全的必然要求,是维护人民群众合法权益的客观需要,也是促进数字经济健康发展的重要举措。
为了能够更好的理解《数据安全法》条款,落地数据安全建设思路,绿盟科技对《数据安全法》作出更进一步解读,希望与广大安全从业者互相交流、共同探讨数据安全的最佳实践。
第一章 总则
本法对数据、数据处理、数据安全给出了明确的定义,从总体国家安全观的视角提出要求,规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
1、法律适用范围:
• 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
• 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
2、责任分工与权责:
• 一统领,三监管:中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;公安机关、国家安全机关负责各自职责范围内承担数据安全监管职责;国家网信部门负责统筹协调网络数据安全和相关监管工作。
• 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
3、数据安全开展:
• 建立健全数据安全治理体系,提高数据安全保障能力。鼓励开展数据处理活动,但不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
• 相关行业组织按照章程,依法制定数据安全行为规范和团体标准。
• 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报,同时对投诉、举报人的相关信息予以保密。
第二章 数据安全与发展
1、总体原则:
国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
2、战略要求:
• 国家实施大数据战略,推进数据的创新应用,省级以上人民政府制定数字经济发展规划。
• 国家支持开发利用数据提升公共服务的智能化水平,充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
• 全面加强数据开发利用,鼓励产业发展。
• 推进数据开发利用技术和数据安全标准体系建设。
• 促进数据安全检测评估、认证等服务的发展。
• 建立健全数据交易管理制度。
• 数据开发利用和数据安全相关教育培训。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
解读
数据交易可以促进数据的流通,摆脱“数据孤岛”,发挥数据资源的经济价值。目前,在国内数据交易还面临着众多安全问题和挑战,需要规范数据资源交易行为,建立良好的数据交易秩序,促进数据交易服务参与者安全保障能力提升。
近年来,国内多地已开始率先探索大数据交易市场,如“贵阳大数据交易所”、“上海数据交易中心”、“北京国际大数据交易所”等。从交易市场化要素角度来看,其落地实施的相关配套细则并不完善,让数据发挥作用还需设计出配套制度。
相关标准的发布:
GB/T 37932《信息安全技术 数据交易服务安全要求》
GB/T 36343《信息安全技术 数据交易服务平台 交易数据描述》
GB/T 37728《信息技术 数据交易服务平台 通用功能要求》
第三章 数据安全制度
1、数据分类分级与重点保护:
第二十一条
• 国家建立数据分类分级保护制度,依据危害程度,对数据实行分类分级保护。
• 各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
解读
数据分类分级是数据安全防护的支撑与基础,有针对性的开展数据分级防护,从而减轻资金、人员、运维精力等综合投入成本。根据数据在经济社会发展中的重要程度和危害程度进行分类分级,前提是企业和组织要充分了解和掌握自身数据的类别、范围、业务系统、业务数据流转,才能更准确的形成重要数据保护目录,并做到针对性的重点保护。
相关标准的发布:
JR/T0158-2018《证券期货业数据分类分级指南》
JR/T0197-2020《金融数据安全 数据安全分级指南》
GB/T39725-2020《信息安全技术 健康医疗数据安全指南》
YD/T3813-2021《基础电信企业数据分类分级方法》
2、数据安全运营:
第二十二条
• 建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
解读
数据安全监督运营管理,以数据安全为中心,利用多种数据安全技术,从资产稽核、策略的优化、事件监测与处置等多维角度进行数据安全监督,7*24小时持续运营,保障数据活动的安全。
3、数据安全审查与管制:
第二十三条 、第二十四条、第二十五条、第二十六条
• 建立数据安全应急处置机制和数据安全审查制度。属于管制物项的数据依法实施出口管制。在与数据和数据开发利用技术等有关的投资贸易,对中国采取歧视性的禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或者地区对等采取措施。
解读
建立应急处置机制,旨在提升企业和组织的应急响应能力,提前发现安全隐患,及时解决问题,降低应急事件带来得不良影响。我们可以从应急准备、监测与预警、应急处置和总结改进四个阶段来建设。
数据安全审查制度,数据安全主管和监管部门,定期或不定期对各级企业和组织开展数据安全检查工作,从而协助各级企业和组织,了解自身的数据安全情况,找出潜在的数据安全隐患与不足,为以后的数据安全建设提供指导性意见。
对程序源代码、算法等技术资料做为出口管制的范围;针对国外敌对势力恶意或不公平对待我国合法的数据贸易投资,可依据本法予以反制。数据安全审计、出口管制与外交反制是国家对数据利益的保障,审计取证是必要的手段。
第四章 数据安全保护义务
1、数据安全保障措施
第二十七条
• 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
解读
依照国家法律法规及行业标准,结合企业自身的安全需求,从组织建设、人员能力、制度流程和技术工具四个维度,围绕数据生存周期(数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁)及业务风险场景,按照资产梳理、分类分级、管理流程、技术能力及持续优化的步骤,建设数据安全治理体系。同时定期开展数据安全教育培训,加强全员数据安全防护意识,提升数据安全人员专业技能。
全面落实GB/T 22239《网络安全等级保护基本要求》中安全通用和安全扩展要求内容,做好物理环境、通信网络、区域边界、计算环境、管理中心等安全管理。
对相关业务系统、操作系统、数据库、大数据组件等进行漏洞扫描,及时升级补丁或采取补救措施;充分识别风险场景,对重大安全事件,采用技术手段及时发现及时处理上报。
2、 数据安全风险评估、数据出境、数据交易、取证调取
第三十条:
• 重要数据的处理者应定期开展风险评估,并向有关主管部门报送风险评估报告。
解读
数据安全风险评估在信息安全风险评估的基础上,更加重视数据资产本身的安全性,呈现出围绕数据资产、强调数据安全业务场景的特点。
通过数据资产梳理“摸清家底”,建立数据资产清单,是数据安全风险评估的基础,同时也是分类分级的基础。数据安全业务场景与数据生命周期相关联,不仅包括数据收集、传输、使用、存储、交换、销毁等过程,还包括数据的摘取、汇聚、共享外发等活动。每个数据类型都对应着多个业务场景,每个业务场景都存在着潜在的安全风险。
风险评估能够帮助企业/组织发现自身数据安全问题和短板,明确数据安全保护需求,为建设数据安全管理和技术手段指明方向,并给出解决方案。
第五章 政务数据安全与开放
1、国家推进政务数据开放利用
第三十七条 第四十二条
• 提高政务数据的科学性,准确性,时效性
• 制定政务数据开放目录,构建统一规范,互联互通,安全可控的政务数据开放平台
解读
依照GB/T 39477《信息安全技术 政务信息共享 数据安全技术要求》,对政务信息共享安全框架、数据安全技术要求、基础设施安全技术要求三部分进行安全体系建设,增强政务信息共享交换的数据安全保障能力。
2、对国家机关的要求
第三十八条至第四十一条
• 收集数据和使用数据应合法合规,对个人隐私、商密等信息依法保密。
• 建立健全数据安全管理制度,落实数据安全保护责任
• 委托他人建设、维护电子政务系统,存储、加工政务数据,受托方应当依照法律法规、合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
• 依据公正、公平、便民的原则,及时、准确的公开政务数据。
解读
• 建立数据安全管理制度,落实数据责任制。
• 采用数据源鉴别、身份鉴别、访问控制、数据加密、数据防泄露等技术手段,对个人隐私、商密等数据进行安全防护。
• 国家机关应对受托方定期进行监督检查,包括但不限于受托方的数据安全管理制度、资质审核、签订服务合同、保密协议等内容。同时建立数据流转异常监测、用户行为管控、数据外发风险告警、数据追溯等防护能力,加强受托方在数据处理、数据存储等环节的审批。
• 受托方应定期开展安全自评估,满足国家机关的数据安全要求。对于未履行数据安全保护义务的,按照法律法规、合同中规定予以惩罚。
第六章 法律责任
本章主要对国家机关和国家工作人员,以及其他违反本法规定的,提出不同的处罚措施。
第七章 附则
国家秘密和军事数据不在此法范围内
• 国家秘密,适用《中华人民共和国保守国家秘密法》等。
• 军事数据,由中央军事委员会制定数据安全保护办法。
结语
《数据安全法》的出台发布,填补了我国在数据安全领域法律的空白,后续各行业主管和监管部门会陆续发布数据安全相关的标准、规范,完善和细化数据安全的实施办法与具体要求,指导企业和组织进行数据安全治理体系的建设,同时定期开展数据安全风险评估工作,排查安全隐患,及时采用数据安全技术措施保障数据安全,否则必将按照《数据安全法》依法严惩。
本文探讨了数据安全法的内容,对重要条款进行了解读,绿盟科技将致力于数据安全解决方案的落地,满足各行业客户的业务保障目标和政策合规要求,为客户在数据安全建设的道路上保驾护航。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。