自2017年《中华人民共和国网络安全法》正式实施后,国内网络安全与数据合规方面的立法进程不断加快。2020年,《数据安全法(草案)》和《个人信息保护法(草案)》陆续公布并征求意见;2021年,被誉为“社会生活百科全书”的《民法典》正式施行。至此,我国在网络安全和数据保护领域的基础性法律架构已逐步建立起来。
《中华人民共和国网络安全法》
是我国网络空间法治建设的重要里程碑
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
《民法典》
对个人信息和隐私保护的详细规定,具有开创意义。在厘清“个人隐私”与“个人信息”关系的基础上,对企业收集处理个人信息提出了更为具体的要求,也为个人信息主体主张侵权提供了更为充实的法律依据。
第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外 。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
《数据安全法》草案
强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护
第三条 本法所称数据,是指任何以电子或者非电子形式对信息的记录。数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
第二十五条 开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。
第二十九条 任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。
第四十九条 涉及国家秘密的数据活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定。
《个人信息保护法》草案
侧重于对个人信息、隐私等涉及公民自身安全的保护
第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法 规的规定,并防止未经授权的访问以及个人信息泄露或者被窃 取、篡改、删除:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分级分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第五十三条 个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托 专业机构进行审计。
从以上法律法规中的各项条款来看,被要求重点保护的数据不仅仅涵盖了公民个人隐私信息,还涉及到了国家秘密和企业商业数据。近年来,数据安全相关法律法规的逐步完善,对于数据从收集、存储、使用、加工、传输等各环节的保护要求和责任越来越清晰、明确,数据保护的标准也越来越有“法”可依,有“规”可循。
那么,要保护这些敏感和重要数据数据,首先就要从数据的分类分级,以及采集、处理的合规检测开始做起,从源头区分和把控重点数据及其合规性;其次,在数据的存储、使用和传输等过程中通过一系列的防护策略,实现数据的实时监控和风险预警,降低来自内外部有意或无意的泄露风险,保证数据资源的有效开发利用。
因此,应用成熟、标准化的数据安全分类分级和合规检测,以及覆盖全生命周期的数据安全管控技术,来实现数据的合规管控与安全防护显得尤为重要。
世平信息依照国家《保密法》、《网络安全法》、等保2.0等国家和行业法律规范,从明确需要管控的敏感数据,发现和管控违法、违规使用行为入手,并在数据全生命周期(采集、存储、传输、处理、交换、销毁)中对敏感数据进行实时管控,以此形成数据资产管理、安全合规性与泄露防护场景化解决方案。
数据合规检查
世平数据库内容保密检查系统
对标《保密法》等国家保密法律法规,对存储在信息系统服务器区域、云端和大数据平台中的数据库、文件系统、应用系统及终端的涉密信息进行快速、精准的检查和定位,及时发现违规信息和行为。
世平数据安全合规检测系统
对标国家和行业标准,帮助监管机构及政府和企业依法、有效地开展个人信息、行业敏感数据及违禁传播数据等的合规风险检测。
数据统一管控
世平数据统一管控平台
通过平台化的系统架构,整合世平信息已有的分类分级、合规检测、内容管控、数据鉴权、脱敏等多项数据安全功能模块和成熟产品,在存储、网络、终端和应用四个维度对数据全生命周期的各个环节形成管控,并通过平台对外提供开放性服务接口,解决安全产品管理分散、策略冲突、职责不清等问题。
世平数据泄露防护系统
实现用户信息系统中数据资产,如涉密信息、个人信息及敏感信息的智能识别,及其在产生/采集、传输、存储、使用、共享/交换、销毁等生命周期各环节的数据泄露风险管控。
世平数据脱敏系统
可对跨部门、跨系统数据共享,开发、测试、运维、分析、培训调用数据及数据外放外发等各类场景中涉及的敏感数据,实现智能发现、自动分类、自动脱敏,消除被共享、调用数据的敏感性。
伴随着信息化、大数据产业的快速发展,个人信息和数据安全相关法律法规还将不断完善,为满足数据安全的相关法规要求,数据安全技术也将越来越规范化、成熟化,专注数据合规管控与安全防护的世平信息,也将紧抓时代发展需求,在数据合规与安全管控技术领域持续深耕,推进数据合规生态与安全防线的建立。
来源:freebuf.com 2021-03-11 11:35:23 by: 世平信息SPINFO
请登录后发表评论
注册