专家解读|《数据安全法》为全球数据安全治理贡献中国智慧和中国方案 – 作者:恒安嘉新

随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、人民生活产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。党中央高度重视,就加强数据安全工作和促进数字化发展作出一系列重要部署。按照党中央决策部署,贯彻总体国家安全观的要求,全国人大常委会积极推动数据安全立法工作。经过三次审议,2021年6月10日,《数据安全法》经十三届全国人大常委会第二十九次会议通过并正式发布,将于2021年9月1日起施行。

作为我国数据安全领域的基础性法律,《数据安全法》主要有以下三个特点:一是坚持安全与发展并重。设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键生产要素的数字经济发展;二是加强具体制度与整体治理框架的衔接。从基础定义、数据安全管理、数据分类分级、重要数据出境等方面,进一步加强与《网络安全法》等法律的衔接,完善我国数据治理法律制度建设;三是回应社会关切。加大数据处理违法行为处罚力度,建设重要数据管理、行业自律管理、数据交易管理等制度,回应实践问题及社会关切。

《数据安全法》完善了国家数据安全工作体制机制,规定中央国家安全领导机构负责国家数据安全工作的决策和议事协调等职责,并提出建立国家数据安全工作协调机制。在网络数据安全工作方面,专门明确国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

《数据安全法》重点确立了数据安全保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国数据安全的顶层设计。

《数据安全法》对数据分类分级制度进行了探索。《数据安全法》第二十一条规定,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护,并明确加强对重要数据的保护,对关系国家安全、国民经济命脉、重要民生、重大公共利益等内容的国家核心数据,实行更加严格的管理制度。《数据安全法》针对重要数据在管理形式和保护要求上提出了严格和明确的保护制度。在管理形式上,《数据安全法》采用目录管理的方式,明确将“确定重要数据目录”纳入国家层面管理事项,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。而各地区、各部门制定本地区、本部门及相关行业、领域的重要数据具体目录,有利于形成国家与各地方、各部门管理权限之间的合理协调机制,推动重要数据统一认定标准的建立。在保护要求上,《数据安全法》在一般保护之外,强化了重要数据、核心数据的保护要求。一是规定数据处理者开展数据处理活动应当依照法律法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;二是规定了重要数据处理者“明确数据安全负责人和管理机构”的义务,要求重要数据处理者在内部作出明确的责任划分,落实数据安全保护责任;三是规定了重要数据处理者进行风险评估的要求,重要数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

《数据安全法》建立数据安全风险评估、报告、信息共享、监测预警和应急处置机制,通过对数据安全风险信息的获取、分析、研判、预警以及数据安全事件发生后的应急处置,实现数据安全事前、事中和事后的全流程保障。《数据安全法》第二十二条规定:“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”第二十九条规定:“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施……”从制度衔接上看,数据安全风险评估、报告、信息共享、监测预警机制是国家安全制度的组成部分。《国家安全法》第四章第三节建立了风险预防、评估和预警的相关制度,规定国家制定完善应对各领域国家安全风险预案。数据安全风险评估、报告、信息共享、监测预警机制是《国家安全法》规定的风险预防、评估和预警相关制度在数据安全领域的具体落实。从保护阶段上看,数据安全风险评估、报告和信息共享构成了数据安全保护的事前保护义务,监测预警机制构成了数据安全保护的事中保护义务,数据安全事件的应急处置机制形成了对数据安全的事后保护。

《数据安全法》对数据的出境管理进行了补充和完善。一是针对重要数据完善了跨境数据流动制度,《数据安全法》在《网络安全法》第三十七条的基础之上,规定“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”既与《网络安全法》相衔接,也实现了对所有重要数据出境的安全保障。二是通过出口管制的形式限制了管制物项数据的出口,《数据安全法》第二十五条规定“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”,明确将数据出口管制纳入数据安全管理工作中,实现了与《出口管制法》的衔接,有利于从维护国家安全的角度限制相关数据的出境,对整体跨境数据流动制度进行补充。三是对外国司法、执法机构调取我国数据的情况进行了规定。《数据安全法》第三十六条首先明确“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。”同时规定“非经中华人民共和国主管机关批准”不得向境外执法或司法机构提供境内数据,并对违法违规提供数据的行为,明确了包括警告、罚款等在内的行政处罚措施。这一制度的设置体现了对于合法合规向外国司法或者执法机构提供数据的重视,明确了我国处理外国司法或者执法机构关于提供数据请求的一般原则,同时也是依法应对少数国家肆意滥用长臂管辖,防范我国境内数据被外国司法或执法机构不当获取。

数据交易制度的确立使得数据依法有序流动成为现实。数据是数字经济时代的重要生产要素,而数据交易则是满足数据供给和需要的最主要方式,明确数据交易的法律地位,是满足现实需求、助力数字经济发展的重要表现,是当前数据交易制度发展的制度基础。《数据安全法》第十九条规定国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。此外,《数据安全法》还在第三十三条规定了数据交易中介服务机构的主要义务,规定从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。《数据安全法》为数据交易制度提供了兼顾安全和发展的原则性规定,有利于在保障安全基础上,促进数据有序流动,激励相关主体参与到数据交易活动中来,充分释放数据红利。

随着《数据安全法》的正式出台,我国网络法律法规体系实现进一步完善,为后续立法、执法、司法相关实践提供了重要法律依据,为数字经济的安全健康发展提供了有力支撑。

作者:方禹 中国信息通信研究院互联网法律研究中心主任

转载请注明来源:“网信中国”微信公众号

2.jpg

恒安嘉新(北京)科技股份公司是具有“云—网—边—端”整体解决方案的通信网安全领军企业,专注于网络空间安全综合治理领域,主营业务是向电信运营商、安全主管部门等政企客户提供基于互联网和通信网的网络信息安全综合解决方案及服务。

“没有网络安全就没有国家安全。”网络空间是国家**的新疆域,网络空间安全事关国家安全和国家发展,是把我国建设成为网络强国的有力保障。基于安全与业务的伴生性以及威胁的复杂性,政府、电信、金融、能源等领域对于网络空间安全综合治理产品均存在广泛而迫切的需求。为此,公司自主研发了具有网络空间安全监测预警、威胁研判、追踪溯源、态势感知和应急处置等能力的产品,可用于构建支撑全天候全方位的网络空间安全态势感知和防御体系。

公司是国家高新技术企业,以“支持国家、服务社会、助力行业、合作共赢”为经营理念,矢志成为网络空间安全基础能力的搭建者和网络空间安全生态的引领者。凭借多年的技术和经验积累、卓越的产品和服务质量以及良好的品牌形象和业界口碑,公司产品广泛布局在除港澳台外全国 31 个省、自治区和直辖市,为安全主管部门和电信运营商监测核心网、骨干网、城域网 3,480 个核心网络节点。基于采集点的广泛布局和安全技术的长期积累,公司的网络安全数据采集和分析效率位居行业前列,公司为电信运营商和安全主管部门提供的网络安全数据实时分析能力超过 500Tbps。

公司连续五届入选 CNCERT “网络安全应急服务支撑单位(国家级)”,并为“新中国成立70周年系列活动”、“十九大”、“两会”、G20 杭州峰会、世界互联网大会、“一带一路”峰会、上合峰会、金砖国家领导人峰会、中国国际进口博览会等提供国家级网络安全保障服务;同时,根据 CNCERT 于 2019 年 7月发布的结果,公司是2019年度全国31个省级分中心联合推荐的国家级支撑单位。此外,公司也是“国家网络与信息安全信息通报机制技术支持单位”、“工业信息安全应急服务支撑单位”,参与建设了“计算机病毒防御技术国家工程实验室研究室”和“计算机病毒防治技术国家工程实验室”,在网络空间安全领域拥有突出的行业公信力和品牌影响力。

公司高度重视自主研发能力的培育和建设,并围绕互联网和通信网一体化的海量数据实时处理技术、具有深度学习能力的智能安全引擎技术 、“云—网—边—端”综合管控技术等三大核心技术,构建了自主可控的知识产权体系和产品体系。截至 2020 年9月,公司共申请发明专利106项,其中16项已取得专利权(含1项美国专利);拥有计算机软件著作权142项和作品著作权2项;参与制定180 项国家、行业、团体标准,其中32项行业标准已完成发布。

来源:freebuf.com 2021-06-17 15:51:32 by: 恒安嘉新

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论