解读《数据安全法》，打开数据安全保护“新思路”

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》（简称《数据安全法》）。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。

数据安全法的制定，是为了保障数据安全，促进数据开发利用，保护公民、组织的合法权益，维护国家安全和发展利益。是维护国家安全的必然要求，是维护人民群众合法权益的客观需要，也是促进数字经济健康发展的重要举措。

为了能够更好的理解《数据安全法》条款，落地数据安全建设思路，绿盟科技对《数据安全法》作出更进一步解读，希望与广大安全从业者互相交流、共同探讨数据安全的最佳实践。

第一章总则

本法对数据、数据处理、数据安全给出了明确的定义，从总体国家安全观的视角提出要求，规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益。

1、法律适用范围：

• 在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。

• 在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

2、责任分工与权责：

• 一统领，三监管：中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责；公安机关、国家安全机关负责各自职责范围内承担数据安全监管职责；国家网信部门负责统筹协调网络数据安全和相关监管工作。

• 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

3、数据安全开展：

• 建立健全数据安全治理体系，提高数据安全保障能力。鼓励开展数据处理活动，但不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

• 相关行业组织按照章程，依法制定数据安全行为规范和团体标准。

• 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报，同时对投诉、举报人的相关信息予以保密。

第二章数据安全与发展

1、总体原则：

国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

2、战略要求：

• 国家实施大数据战略，推进数据的创新应用，省级以上人民政府制定数字经济发展规划。

• 国家支持开发利用数据提升公共服务的智能化水平，充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

• 全面加强数据开发利用，鼓励产业发展。

• 推进数据开发利用技术和数据安全标准体系建设。

• 促进数据安全检测评估、认证等服务的发展。

• 建立健全数据交易管理制度。

• 数据开发利用和数据安全相关教育培训。

第十九条　国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

解读

数据交易可以促进数据的流通，摆脱“数据孤岛”，发挥数据资源的经济价值。目前，在国内数据交易还面临着众多安全问题和挑战，需要规范数据资源交易行为，建立良好的数据交易秩序，促进数据交易服务参与者安全保障能力提升。

近年来，国内多地已开始率先探索大数据交易市场，如“贵阳大数据交易所”、“上海数据交易中心”、“北京国际大数据交易所”等。从交易市场化要素角度来看，其落地实施的相关配套细则并不完善，让数据发挥作用还需设计出配套制度。

相关标准的发布：

JR/T0158-2018《证券期货业数据分类分级指南》

JR/T0197-2020《金融数据安全数据安全分级指南》

GB/T39725-2020《信息安全技术健康医疗数据安全指南》

YD/T3813-2021《基础电信企业数据分类分级方法》

2、数据安全运营：

第二十二条

• 建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

解读

数据安全监督运营管理，以数据安全为中心，利用多种数据安全技术，从资产稽核、策略的优化、事件监测与处置等多维角度进行数据安全监督，7*24小时持续运营，保障数据活动的安全。

3、数据安全审查与管制：

第二十三条、第二十四条、第二十五条、第二十六条

• 建立数据安全应急处置机制和数据安全审查制度。属于管制物项的数据依法实施出口管制。在与数据和数据开发利用技术等有关的投资贸易，对中国采取歧视性的禁止、限制或者其他类似措施的，中国可以根据实际情况对该国家或者地区对等采取措施。

解读

建立应急处置机制，旨在提升企业和组织的应急响应能力，提前发现安全隐患，及时解决问题，降低应急事件带来得不良影响。我们可以从应急准备、监测与预警、应急处置和总结改进四个阶段来建设。

数据安全审查制度，数据安全主管和监管部门，定期或不定期对各级企业和组织开展数据安全检查工作，从而协助各级企业和组织，了解自身的数据安全情况，找出潜在的数据安全隐患与不足，为以后的数据安全建设提供指导性意见。

对程序源代码、算法等技术资料做为出口管制的范围；针对国外敌对势力恶意或不公平对待我国合法的数据贸易投资，可依据本法予以反制。数据安全审计、出口管制与外交反制是国家对数据利益的保障，审计取证是必要的手段。

第四章数据安全保护义务

1、数据安全保障措施

第二十七条　

• 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

解读

依照国家法律法规及行业标准，结合企业自身的安全需求，从组织建设、人员能力、制度流程和技术工具四个维度，围绕数据生存周期（数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁）及业务风险场景，按照资产梳理、分类分级、管理流程、技术能力及持续优化的步骤，建设数据安全治理体系。同时定期开展数据安全教育培训，加强全员数据安全防护意识，提升数据安全人员专业技能。

全面落实GB/T 22239《网络安全等级保护基本要求》中安全通用和安全扩展要求内容，做好物理环境、通信网络、区域边界、计算环境、管理中心等安全管理。

对相关业务系统、操作系统、数据库、大数据组件等进行漏洞扫描，及时升级补丁或采取补救措施；充分识别风险场景，对重大安全事件，采用技术手段及时发现及时处理上报。

2、数据安全风险评估、数据出境、数据交易、取证调取

第三十条：

• 重要数据的处理者应定期开展风险评估，并向有关主管部门报送风险评估报告。

解读

数据安全风险评估在信息安全风险评估的基础上，更加重视数据资产本身的安全性，呈现出围绕数据资产、强调数据安全业务场景的特点。

通过数据资产梳理“摸清家底”，建立数据资产清单，是数据安全风险评估的基础，同时也是分类分级的基础。数据安全业务场景与数据生命周期相关联，不仅包括数据收集、传输、使用、存储、交换、销毁等过程，还包括数据的摘取、汇聚、共享外发等活动。每个数据类型都对应着多个业务场景，每个业务场景都存在着潜在的安全风险。

风险评估能够帮助企业/组织发现自身数据安全问题和短板，明确数据安全保护需求，为建设数据安全管理和技术手段指明方向，并给出解决方案。

第五章政务数据安全与开放

1、国家推进政务数据开放利用

第三十七条第四十二条

• 提高政务数据的科学性，准确性，时效性

• 制定政务数据开放目录，构建统一规范，互联互通，安全可控的政务数据开放平台

解读

依照GB/T 39477《信息安全技术政务信息共享数据安全技术要求》，对政务信息共享安全框架、数据安全技术要求、基础设施安全技术要求三部分进行安全体系建设，增强政务信息共享交换的数据安全保障能力。

2、对国家机关的要求

第三十八条至第四十一条

• 收集数据和使用数据应合法合规，对个人隐私、商密等信息依法保密。

• 建立健全数据安全管理制度，落实数据安全保护责任

• 委托他人建设、维护电子政务系统，存储、加工政务数据，受托方应当依照法律法规、合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

• 依据公正、公平、便民的原则，及时、准确的公开政务数据。

解读

• 建立数据安全管理制度，落实数据责任制。

• 采用数据源鉴别、身份鉴别、访问控制、数据加密、数据防泄露等技术手段，对个人隐私、商密等数据进行安全防护。

• 国家机关应对受托方定期进行监督检查，包括但不限于受托方的数据安全管理制度、资质审核、签订服务合同、保密协议等内容。同时建立数据流转异常监测、用户行为管控、数据外发风险告警、数据追溯等防护能力，加强受托方在数据处理、数据存储等环节的审批。

• 受托方应定期开展安全自评估，满足国家机关的数据安全要求。对于未履行数据安全保护义务的，按照法律法规、合同中规定予以惩罚。

第六章法律责任

本章主要对国家机关和国家工作人员，以及其他违反本法规定的，提出不同的处罚措施。

第七章附则

国家秘密和军事数据不在此法范围内

• 国家秘密，适用《中华人民共和国保守国家秘密法》等。

• 军事数据，由中央军事委员会制定数据安全保护办法。

结语

《数据安全法》的出台发布，填补了我国在数据安全领域法律的空白，后续各行业主管和监管部门会陆续发布数据安全相关的标准、规范，完善和细化数据安全的实施办法与具体要求，指导企业和组织进行数据安全治理体系的建设，同时定期开展数据安全风险评估工作，排查安全隐患，及时采用数据安全技术措施保障数据安全，否则必将按照《数据安全法》依法严惩。

本文探讨了数据安全法的内容，对重要条款进行了解读，绿盟科技将致力于数据安全解决方案的落地，满足各行业客户的业务保障目标和政策合规要求，为客户在数据安全建设的道路上保驾护航。

来源：freebuf.com 2021-06-25 18:07:47 by: 绿盟科技

文章版权归作者所有，未经允许请勿转载。

THE END