大數(shù)據(jù)時代背景下,數(shù)據(jù)安全問題越來越多��,不僅侵害了很多公民和企業(yè)的利益,也嚴(yán)重威脅著國家安全。在這樣備受關(guān)注的背景下�,十三屆全國人大常委會第二十九次會議于6月10日表決通過了《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)�,真可以說是一場及時雨�,為各個行業(yè)、各地區(qū)���、各部門的網(wǎng)絡(luò)安全保護���、管理工作提供了最權(quán)威的指導(dǎo)和要求��。
《數(shù)據(jù)安全法》全文共分為七個章節(jié)����,分別是第一章����,總則;第二章�����,數(shù)據(jù)安全與發(fā)展���;第三章���,數(shù)據(jù)安全制度;第四章��,數(shù)據(jù)安全保護義務(wù)����;第五章,政務(wù)數(shù)據(jù)安全與開放�;第六章,法律責(zé)任�;第七章,附則���,共計五十一條�����。
這部應(yīng)運而生的法律對于從事網(wǎng)絡(luò)安全工作的部門�����,有哪些需要關(guān)注的要點呢��?我們來學(xué)習(xí)一下��。
一���、明確了“管什么”?
該法對數(shù)據(jù)和數(shù)據(jù)安全做了法律上的定義�,即:
l 本法所稱數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。
l 數(shù)據(jù)處理����,包括數(shù)據(jù)的收集�����、存儲��、使用�����、加工����、傳輸���、提供����、公開等����。
l 數(shù)據(jù)安全,是指通過采取必要措施�,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力��。
應(yīng)該說,該法對數(shù)據(jù)的定義是比較寬泛的��,不僅包括了大家通常理解的信息通信設(shè)備�、系統(tǒng)中的電子形式數(shù)據(jù)和文件����,還包括了其他形式的信息記錄,例如打印出來的紙質(zhì)文件��、單據(jù)(典型的是銀行���、醫(yī)院開具的票據(jù)���、處方)、證照等����,所有這些都受到該法的保護。
對數(shù)據(jù)活動的定義中除了“生產(chǎn)”環(huán)節(jié)外����,涵蓋了數(shù)據(jù)處理的其它全過程。這主要是考慮到有些數(shù)據(jù)生產(chǎn)者擁有其數(shù)據(jù)的全部權(quán)力��,自行對“生產(chǎn)”數(shù)據(jù)的活動負(fù)責(zé),例如求職者編寫自己的簡歷����。但是,一旦數(shù)據(jù)進入后續(xù)的環(huán)節(jié)��,就進入被保護的范圍����,例如攻擊者竊取別人保存在電腦上的個人簡歷是違法的。此外����,有些個人“生產(chǎn)”的數(shù)據(jù)涉及國家政治、經(jīng)濟�����、軍事等領(lǐng)域���,甚至涉及他人或部門的重要信息�,數(shù)據(jù)的“生產(chǎn)”者也必須承擔(dān)相關(guān)數(shù)據(jù)的保護責(zé)任�。
該法對數(shù)據(jù)活動相關(guān)主體的要求是確保有效保護、確保合法利用,且有能力確保��。最后一句話很重要���,要求數(shù)據(jù)活動參與方要有能力�。什么是能力�����?對一個部門來講��,至少要包括管理制度�����、管理人員和必要的技術(shù)措施�����。
二���、明確了“誰來管?”
l 中央國家安全領(lǐng)導(dǎo)機構(gòu)負(fù)責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)�����,研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策��,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作���,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制���。
l 國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定�,負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。
l 公安機關(guān)�、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定��,在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)�。
l 工業(yè)、電信�����、交通�、金融、自然資源�、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)�、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。
中央國家安全領(lǐng)導(dǎo)機構(gòu)即中央國家安全委員會�,是大政方針的制定和決策部門;網(wǎng)信部門是統(tǒng)籌協(xié)調(diào)部門����;公安、安全等部門按各自職責(zé)開展全領(lǐng)域的監(jiān)管執(zhí)法�����;工業(yè)��、電信等主管部門則是要承擔(dān)本行業(yè)的具體監(jiān)管職責(zé)���,需要建立必要的監(jiān)管制度、標(biāo)準(zhǔn)和技術(shù)能力��。
三�、明確了被監(jiān)管的責(zé)任主體
l 各地區(qū)、各部門對本地區(qū)�����、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)。
不論是政府還是企事業(yè)單位�、社會團體,只要在工作中收集或產(chǎn)生了數(shù)據(jù)��,那么就要承擔(dān)法律規(guī)定的數(shù)據(jù)安全責(zé)任����。
四、要制定數(shù)據(jù)安全標(biāo)準(zhǔn)�,開展數(shù)據(jù)安全檢測評估工作,規(guī)范數(shù)據(jù)交易活動�����。
l 國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)部門根據(jù)各自的職責(zé)����,組織制定并適時修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)�。
l 國家促進數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展���,支持?jǐn)?shù)據(jù)安全檢測評估���、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動��。
l 國家建立健全數(shù)據(jù)交易管理制度����,規(guī)范數(shù)據(jù)交易行為��,培育數(shù)據(jù)交易市場�����。
在標(biāo)準(zhǔn)方面���,已有的標(biāo)準(zhǔn)如涉及數(shù)據(jù)處理環(huán)節(jié)�����,則需進行修訂���。此外���,針對當(dāng)前大數(shù)據(jù)時代各行各業(yè)各種新的數(shù)據(jù)活動��、數(shù)據(jù)應(yīng)用����,需要研究制定有針對性的數(shù)據(jù)安全標(biāo)準(zhǔn)。
在安全檢測和安全評估方面���,同樣要針對數(shù)據(jù)安全制定有針對性的檢測和評估標(biāo)準(zhǔn)����,開展專門的檢測���、評估業(yè)務(wù)���。
在數(shù)據(jù)交易方面,需要按照數(shù)據(jù)安全法完善管理制度��,落實管理要求���,確保數(shù)據(jù)在交易活動中處于安全的狀態(tài)�。
五��、著重強調(diào)要建立數(shù)據(jù)安全制度
1. 建立數(shù)據(jù)分級分類保護制度
l 根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度�,以及一旦遭到篡改、破壞����、泄露或者非法獲取����、非法利用����,對國家安全、公共利益或者個人�����、組織合法權(quán)益造成的危害程度�����,對數(shù)據(jù)實行分類分級保護
l 國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄���,加強對重要數(shù)據(jù)的保護�。
l 各地區(qū)��、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度��,確定本地區(qū)��、本部門以及相關(guān)行業(yè)����、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護����。
未來,國家將依據(jù)數(shù)據(jù)安全法進一步制定數(shù)據(jù)分級分類保護制度�����,各地區(qū)����、各部門則要相應(yīng)制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)、重要數(shù)據(jù)目錄��,并采取技術(shù)和管理措施落實對重要數(shù)據(jù)的保護���。特別是對關(guān)系國家安全�、國民經(jīng)濟命脈�����、重要民生、重大公共利益等國家核心數(shù)據(jù)�,要實行更加嚴(yán)格的管理制度。
2. 建立數(shù)據(jù)安全風(fēng)險預(yù)警機制
l 建立集中統(tǒng)一�、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告���、信息共享����、監(jiān)測預(yù)警機制�。
l 國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風(fēng)險信息的獲取、分析���、研判���、預(yù)警工作。
當(dāng)前��,我國在國家��、地方����、行業(yè)層面已經(jīng)建立了網(wǎng)絡(luò)安全威脅���、事件的評估���、監(jiān)測��、通報等相關(guān)工作機制����,今后則需要在原有機制基礎(chǔ)上進行優(yōu)化完善�����,重點加強針對數(shù)據(jù)安全風(fēng)險的信息獲取�、事件監(jiān)測、分析研判和通報預(yù)警���。這些工作要重點圍繞被列入國家核心數(shù)據(jù)�、重點數(shù)據(jù)目錄的數(shù)據(jù)和數(shù)據(jù)活動而開展��。
如果有些從事重要數(shù)據(jù)活動的政府�、企事業(yè)部門尚未建立自身的數(shù)據(jù)安全風(fēng)險發(fā)現(xiàn)能力,沒有參與國家相關(guān)預(yù)警機制,則需要高度重視�����、立即采取行動�。
3. 建立數(shù)據(jù)安全應(yīng)急處置機制
l 發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應(yīng)當(dāng)依法啟動應(yīng)急預(yù)案�,采取相應(yīng)的應(yīng)急處置措施,防止危害擴大���,消除安全隱患��,并及時向社會發(fā)布與公眾有關(guān)的警示信息�����。
4. 建立數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制要求
l 對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查����。
l 對于維護國家安全和利益���、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制����。
國家網(wǎng)信辦等12個部委聯(lián)合制定的《網(wǎng)絡(luò)安全審查辦法》已經(jīng)在2020年6月1日生效。該辦法主要面向網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購活動�����,沒有專門涉及數(shù)據(jù)安全�。因此���,國家未來可望出臺專門的制度����,對影響或可能影響國家安全的數(shù)據(jù)活動進行審查���,對相關(guān)數(shù)據(jù)的出口活動進行管制�。
六��、明確數(shù)據(jù)保護的義務(wù)
1. 規(guī)定了數(shù)據(jù)保護義務(wù)的內(nèi)容
l 依照法律���、法規(guī)的規(guī)定�����,建立健全全流程數(shù)據(jù)安全管理制度���,組織開展數(shù)據(jù)安全教育培訓(xùn)����,采取相應(yīng)的技術(shù)措施和其他必要措施��,保障數(shù)據(jù)安全���。
l 重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)���,落實數(shù)據(jù)安全保護責(zé)任。
數(shù)據(jù)保護義務(wù)簡單來說有三個方面�����,即管理制度��、教育培訓(xùn)����、技術(shù)措施和其他措施。需要注意的是��,在制度建設(shè)上強調(diào)了要建立“全流程”數(shù)據(jù)安全管理制度�,即要覆蓋數(shù)據(jù)活動的各個環(huán)節(jié)����,一旦有涉及就要有對應(yīng)的制度����。
為了落實責(zé)任,法律還規(guī)定要明確重要數(shù)據(jù)的安全負(fù)責(zé)人和管理機構(gòu)����。
如果一個部門發(fā)生的數(shù)據(jù)安全事件,在判斷其是否違法和衡量其違法責(zé)任的時候����,就是要從其落實三方面義務(wù)的情況和是否明確了責(zé)任人和管理機構(gòu)來考察���。
2��、規(guī)定了數(shù)據(jù)處理者應(yīng)對數(shù)據(jù)安全風(fēng)險的要求
l 開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強風(fēng)險監(jiān)測�����,發(fā)現(xiàn)數(shù)據(jù)安全缺陷����、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施����;發(fā)生數(shù)據(jù)安全事件時,應(yīng)當(dāng)立即采取處置措施�,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
l 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估��,并向有關(guān)主管部門報送風(fēng)險評估報告�����。
首先要求數(shù)據(jù)處理者還要有數(shù)據(jù)安全風(fēng)險監(jiān)測能力���,并且在發(fā)現(xiàn)風(fēng)險或事件的時候要立即響應(yīng)處置��,并向主管部門報告�。
重要數(shù)據(jù)處理者還需要定期做風(fēng)險評估�����,并且向主管部門報告��。
3���、對其第三方的數(shù)據(jù)處理活動的保護要求
l 收集數(shù)據(jù)����,應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑?/span>
l 從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù)��,應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源����,審核交易雙方的身份,并留存審核��、交易記錄�����。
l 法律�、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的��,服務(wù)提供者應(yīng)當(dāng)依法取得許可����。
首先明確規(guī)定“任何組織、個人不得竊取或者以其他非法方式獲取數(shù)據(jù)�����。”其次�����,規(guī)定了提供特定數(shù)據(jù)處理相關(guān)服務(wù)要實現(xiàn)取得行政許可(例如某些特定行業(yè)或者特定業(yè)務(wù)等)��。強調(diào)數(shù)據(jù)交易中介機構(gòu)要對數(shù)據(jù)來源��、交易者身份進行審核���,確保合法交易���。
4、對境內(nèi)外司法部門提供數(shù)據(jù)的規(guī)定
l 公安機關(guān)�、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù),應(yīng)當(dāng)按照國家有關(guān)規(guī)定�����,經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)��,依法進行�����,有關(guān)組織、個人應(yīng)當(dāng)予以配合���。
l 非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)�����,境內(nèi)的組織����、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)���。
首先明確要依法配合我國公安��、安全機關(guān)的執(zhí)法活動����,但也強調(diào)相關(guān)執(zhí)法活動要嚴(yán)格執(zhí)行批準(zhǔn)手續(xù)��。其次明確不得擅自向境外機構(gòu)提供存儲在我國境內(nèi)的數(shù)據(jù)��。
七�、對政務(wù)數(shù)據(jù)安全做了重點規(guī)定
l 國家機關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)�,應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進行����;對在履行職責(zé)中知悉的個人隱私、個人信息���、商業(yè)秘密�����、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密�����,不得泄露或者非法向他人提供�����。
l 國家機關(guān)應(yīng)當(dāng)依照法律����、行政法規(guī)的規(guī)定,建立健全數(shù)據(jù)安全管理制度��,落實數(shù)據(jù)安全保護責(zé)任,保障政務(wù)數(shù)據(jù)安全。
l 第四十條 國家機關(guān)委托他人建設(shè)�、維護電子政務(wù)系統(tǒng)���,存儲、加工政務(wù)數(shù)據(jù)���,應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序���,并應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。受托方應(yīng)當(dāng)依照法律���、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)���,不得擅自留存、使用����、泄露或者向他人提供政務(wù)數(shù)據(jù)。
l 國家制定政務(wù)數(shù)據(jù)開放目錄����,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通����、安全可控的政務(wù)數(shù)據(jù)開放平臺,推動政務(wù)數(shù)據(jù)開放利用����。
首先規(guī)定國家機關(guān)只能在履職所需范圍內(nèi)收集和使用數(shù)據(jù),不能超范圍收集����;其次,在履職過程中知悉的個人數(shù)據(jù)����、商業(yè)數(shù)據(jù)等要給予保密,不得向他人泄露����。
另外,要求國家機關(guān)不僅要建立數(shù)據(jù)安全管理制度����,還要落實保護責(zé)任����。這就要求相關(guān)部門要具備必要的技術(shù)能力或內(nèi)部管理能力����。當(dāng)國家機關(guān)委托他人從事政務(wù)系統(tǒng)建設(shè)、數(shù)據(jù)處理活動的時候����,首先要經(jīng)過批準(zhǔn),然后要監(jiān)督受托方履行數(shù)據(jù)安全保護義務(wù)����。所選擇的受托方必須要具備數(shù)據(jù)安全保護的管理能力、技術(shù)能力����。
通過上面的介紹,不論是政府����、還是企事業(yè)單位的網(wǎng)絡(luò)安全管理者都應(yīng)該深刻認(rèn)識到國家在數(shù)據(jù)安全管理上的決心,要高度重視自身的數(shù)據(jù)安全管理工作����,簡要來講有如下幾點:
1����、建立數(shù)據(jù)安全管理制度����,完善相關(guān)數(shù)據(jù)處理流程����,明確崗位和責(zé)任人。
2����、建立數(shù)據(jù)分級分類標(biāo)準(zhǔn)和重要數(shù)據(jù)目錄,建設(shè)數(shù)據(jù)安全防護����、風(fēng)險檢測、事件監(jiān)測的技術(shù)能力����,定期開展安全評估。
3����、與主管部門建立通報預(yù)警和應(yīng)急處置機制����。
4����、開展數(shù)據(jù)安全保護意識和基本防護措施的教育培訓(xùn)。
網(wǎng)絡(luò)安全管理工作任重而道遠����,在當(dāng)前大數(shù)據(jù)時代,網(wǎng)絡(luò)安全工作的核心就在于數(shù)據(jù)安全����。我們相信,在數(shù)據(jù)安全法的引領(lǐng)下����,我國各行各業(yè)的數(shù)據(jù)安全工作水平將會迅速提高,數(shù)據(jù)對經(jīng)濟社會發(fā)展的驅(qū)動力將得到充分的保障����!
公安備案號:44030502000376