行業(yè)新聞
大數(shù)據(jù)時代背景下,數(shù)據(jù)安全問題越來越多,不僅侵害了很多公民和企業(yè)的利益,也嚴重威脅著國家安全。在這樣備受關(guān)注的背景下,十三屆全國人大常委會第二十九次會議于6月10日表決通過了《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》),真可以說是一場及時雨,為各個行業(yè)、各地區(qū)、各部門的網(wǎng)絡(luò)安全保護、管理工作提供了最權(quán)威的指導和要求。
《數(shù)據(jù)安全法》全文共分為七個章節(jié),分別是第一章,總則;第二章,數(shù)據(jù)安全與發(fā)展;第三章,數(shù)據(jù)安全制度;第四章,數(shù)據(jù)安全保護義務(wù);第五章,政務(wù)數(shù)據(jù)安全與開放;第六章,法律責任;第七章,附則,共計五十一條。
這部應(yīng)運而生的法律對于從事網(wǎng)絡(luò)安全工作的部門,有哪些需要關(guān)注的要點呢?我們來學習一下。
一、明確了“管什么”?
該法對數(shù)據(jù)和數(shù)據(jù)安全做了法律上的定義,即:
l 本法所稱數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。
l 數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。
l 數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
應(yīng)該說,該法對數(shù)據(jù)的定義是比較寬泛的,不僅包括了大家通常理解的信息通信設(shè)備、系統(tǒng)中的電子形式數(shù)據(jù)和文件,還包括了其他形式的信息記錄,例如打印出來的紙質(zhì)文件、單據(jù)(典型的是銀行、醫(yī)院開具的票據(jù)、處方)、證照等,所有這些都受到該法的保護。
對數(shù)據(jù)活動的定義中除了“生產(chǎn)”環(huán)節(jié)外,涵蓋了數(shù)據(jù)處理的其它全過程。這主要是考慮到有些數(shù)據(jù)生產(chǎn)者擁有其數(shù)據(jù)的全部權(quán)力,自行對“生產(chǎn)”數(shù)據(jù)的活動負責,例如求職者編寫自己的簡歷。但是,一旦數(shù)據(jù)進入后續(xù)的環(huán)節(jié),就進入被保護的范圍,例如攻擊者竊取別人保存在電腦上的個人簡歷是違法的。此外,有些個人“生產(chǎn)”的數(shù)據(jù)涉及國家政治、經(jīng)濟、軍事等領(lǐng)域,甚至涉及他人或部門的重要信息,數(shù)據(jù)的“生產(chǎn)”者也必須承擔相關(guān)數(shù)據(jù)的保護責任。
該法對數(shù)據(jù)活動相關(guān)主體的要求是確保有效保護、確保合法利用,且有能力確保。最后一句話很重要,要求數(shù)據(jù)活動參與方要有能力。什么是能力?對一個部門來講,至少要包括管理制度、管理人員和必要的技術(shù)措施。
二、明確了“誰來管?”
l 中央國家安全領(lǐng)導機構(gòu)負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào),研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制。
l 國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。
l 公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責范圍內(nèi)承擔數(shù)據(jù)安全監(jiān)管職責。
l 工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責。
中央國家安全領(lǐng)導機構(gòu)即中央國家安全委員會,是大政方針的制定和決策部門;網(wǎng)信部門是統(tǒng)籌協(xié)調(diào)部門;公安、安全等部門按各自職責開展全領(lǐng)域的監(jiān)管執(zhí)法;工業(yè)、電信等主管部門則是要承擔本行業(yè)的具體監(jiān)管職責,需要建立必要的監(jiān)管制度、標準和技術(shù)能力。
三、明確了被監(jiān)管的責任主體
l 各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責。
不論是政府還是企事業(yè)單位、社會團體,只要在工作中收集或產(chǎn)生了數(shù)據(jù),那么就要承擔法律規(guī)定的數(shù)據(jù)安全責任。
四、要制定數(shù)據(jù)安全標準,開展數(shù)據(jù)安全檢測評估工作,規(guī)范數(shù)據(jù)交易活動。
l 國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)部門根據(jù)各自的職責,組織制定并適時修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標準。
l 國家促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展,支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動。
l 國家建立健全數(shù)據(jù)交易管理制度,規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場。
在標準方面,已有的標準如涉及數(shù)據(jù)處理環(huán)節(jié),則需進行修訂。此外,針對當前大數(shù)據(jù)時代各行各業(yè)各種新的數(shù)據(jù)活動、數(shù)據(jù)應(yīng)用,需要研究制定有針對性的數(shù)據(jù)安全標準。
在安全檢測和安全評估方面,同樣要針對數(shù)據(jù)安全制定有針對性的檢測和評估標準,開展專門的檢測、評估業(yè)務(wù)。
在數(shù)據(jù)交易方面,需要按照數(shù)據(jù)安全法完善管理制度,落實管理要求,確保數(shù)據(jù)在交易活動中處于安全的狀態(tài)。
五、著重強調(diào)要建立數(shù)據(jù)安全制度
1. 建立數(shù)據(jù)分級分類保護制度
l 根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度,對數(shù)據(jù)實行分類分級保護
l 國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。
l 各地區(qū)、各部門應(yīng)當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。
未來,國家將依據(jù)數(shù)據(jù)安全法進一步制定數(shù)據(jù)分級分類保護制度,各地區(qū)、各部門則要相應(yīng)制定數(shù)據(jù)分類分級標準、重要數(shù)據(jù)目錄,并采取技術(shù)和管理措施落實對重要數(shù)據(jù)的保護。特別是對關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數(shù)據(jù),要實行更加嚴格的管理制度。
2. 建立數(shù)據(jù)安全風險預(yù)警機制
l 建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預(yù)警機制。
l 國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預(yù)警工作。
當前,我國在國家、地方、行業(yè)層面已經(jīng)建立了網(wǎng)絡(luò)安全威脅、事件的評估、監(jiān)測、通報等相關(guān)工作機制,今后則需要在原有機制基礎(chǔ)上進行優(yōu)化完善,重點加強針對數(shù)據(jù)安全風險的信息獲取、事件監(jiān)測、分析研判和通報預(yù)警。這些工作要重點圍繞被列入國家核心數(shù)據(jù)、重點數(shù)據(jù)目錄的數(shù)據(jù)和數(shù)據(jù)活動而開展。
如果有些從事重要數(shù)據(jù)活動的政府、企事業(yè)部門尚未建立自身的數(shù)據(jù)安全風險發(fā)現(xiàn)能力,沒有參與國家相關(guān)預(yù)警機制,則需要高度重視、立即采取行動。
3. 建立數(shù)據(jù)安全應(yīng)急處置機制
l 發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應(yīng)當依法啟動應(yīng)急預(yù)案,采取相應(yīng)的應(yīng)急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息。
4. 建立數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制要求
l 對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。
l 對于維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。
國家網(wǎng)信辦等12個部委聯(lián)合制定的《網(wǎng)絡(luò)安全審查辦法》已經(jīng)在2020年6月1日生效。該辦法主要面向網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購活動,沒有專門涉及數(shù)據(jù)安全。因此,國家未來可望出臺專門的制度,對影響或可能影響國家安全的數(shù)據(jù)活動進行審查,對相關(guān)數(shù)據(jù)的出口活動進行管制。
六、明確數(shù)據(jù)保護的義務(wù)
1. 規(guī)定了數(shù)據(jù)保護義務(wù)的內(nèi)容
l 依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。
l 重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu),落實數(shù)據(jù)安全保護責任。
數(shù)據(jù)保護義務(wù)簡單來說有三個方面,即管理制度、教育培訓、技術(shù)措施和其他措施。需要注意的是,在制度建設(shè)上強調(diào)了要建立“全流程”數(shù)據(jù)安全管理制度,即要覆蓋數(shù)據(jù)活動的各個環(huán)節(jié),一旦有涉及就要有對應(yīng)的制度。
為了落實責任,法律還規(guī)定要明確重要數(shù)據(jù)的安全負責人和管理機構(gòu)。
如果一個部門發(fā)生的數(shù)據(jù)安全事件,在判斷其是否違法和衡量其違法責任的時候,就是要從其落實三方面義務(wù)的情況和是否明確了責任人和管理機構(gòu)來考察。
2、規(guī)定了數(shù)據(jù)處理者應(yīng)對數(shù)據(jù)安全風險的要求
l 開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應(yīng)當立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應(yīng)當立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。
l 重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告。
首先要求數(shù)據(jù)處理者還要有數(shù)據(jù)安全風險監(jiān)測能力,并且在發(fā)現(xiàn)風險或事件的時候要立即響應(yīng)處置,并向主管部門報告。
重要數(shù)據(jù)處理者還需要定期做風險評估,并且向主管部門報告。
3、對其第三方的數(shù)據(jù)處理活動的保護要求
l 收集數(shù)據(jù),應(yīng)當采取合法、正當?shù)姆绞剑?/span>
l 從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù),應(yīng)當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄。
l 法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當取得行政許可的,服務(wù)提供者應(yīng)當依法取得許可。
首先明確規(guī)定“任何組織、個人不得竊取或者以其他非法方式獲取數(shù)據(jù)?!逼浯危?guī)定了提供特定數(shù)據(jù)處理相關(guān)服務(wù)要實現(xiàn)取得行政許可(例如某些特定行業(yè)或者特定業(yè)務(wù)等)。強調(diào)數(shù)據(jù)交易中介機構(gòu)要對數(shù)據(jù)來源、交易者身份進行審核,確保合法交易。
4、對境內(nèi)外司法部門提供數(shù)據(jù)的規(guī)定
l 公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù),應(yīng)當按照國家有關(guān)規(guī)定,經(jīng)過嚴格的批準手續(xù),依法進行,有關(guān)組織、個人應(yīng)當予以配合。
l 非經(jīng)中華人民共和國主管機關(guān)批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。
首先明確要依法配合我國公安、安全機關(guān)的執(zhí)法活動,但也強調(diào)相關(guān)執(zhí)法活動要嚴格執(zhí)行批準手續(xù)。其次明確不得擅自向境外機構(gòu)提供存儲在我國境內(nèi)的數(shù)據(jù)。
七、對政務(wù)數(shù)據(jù)安全做了重點規(guī)定
l 國家機關(guān)為履行法定職責的需要收集、使用數(shù)據(jù),應(yīng)當在其履行法定職責的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當依法予以保密,不得泄露或者非法向他人提供。
l 國家機關(guān)應(yīng)當依照法律、行政法規(guī)的規(guī)定,建立健全數(shù)據(jù)安全管理制度,落實數(shù)據(jù)安全保護責任,保障政務(wù)數(shù)據(jù)安全。
l 第四十條 國家機關(guān)委托他人建設(shè)、維護電子政務(wù)系統(tǒng),存儲、加工政務(wù)數(shù)據(jù),應(yīng)當經(jīng)過嚴格的批準程序,并應(yīng)當監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護義務(wù)。受托方應(yīng)當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù),不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)。
l 國家制定政務(wù)數(shù)據(jù)開放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺,推動政務(wù)數(shù)據(jù)開放利用。
首先規(guī)定國家機關(guān)只能在履職所需范圍內(nèi)收集和使用數(shù)據(jù),不能超范圍收集;其次,在履職過程中知悉的個人數(shù)據(jù)、商業(yè)數(shù)據(jù)等要給予保密,不得向他人泄露。
另外,要求國家機關(guān)不僅要建立數(shù)據(jù)安全管理制度,還要落實保護責任。這就要求相關(guān)部門要具備必要的技術(shù)能力或內(nèi)部管理能力。當國家機關(guān)委托他人從事政務(wù)系統(tǒng)建設(shè)、數(shù)據(jù)處理活動的時候,首先要經(jīng)過批準,然后要監(jiān)督受托方履行數(shù)據(jù)安全保護義務(wù)。所選擇的受托方必須要具備數(shù)據(jù)安全保護的管理能力、技術(shù)能力。
通過上面的介紹,不論是政府、還是企事業(yè)單位的網(wǎng)絡(luò)安全管理者都應(yīng)該深刻認識到國家在數(shù)據(jù)安全管理上的決心,要高度重視自身的數(shù)據(jù)安全管理工作,簡要來講有如下幾點:
1、建立數(shù)據(jù)安全管理制度,完善相關(guān)數(shù)據(jù)處理流程,明確崗位和責任人。
2、建立數(shù)據(jù)分級分類標準和重要數(shù)據(jù)目錄,建設(shè)數(shù)據(jù)安全防護、風險檢測、事件監(jiān)測的技術(shù)能力,定期開展安全評估。
3、與主管部門建立通報預(yù)警和應(yīng)急處置機制。
4、開展數(shù)據(jù)安全保護意識和基本防護措施的教育培訓。
網(wǎng)絡(luò)安全管理工作任重而道遠,在當前大數(shù)據(jù)時代,網(wǎng)絡(luò)安全工作的核心就在于數(shù)據(jù)安全。我們相信,在數(shù)據(jù)安全法的引領(lǐng)下,我國各行各業(yè)的數(shù)據(jù)安全工作水平將會迅速提高,數(shù)據(jù)對經(jīng)濟社會發(fā)展的驅(qū)動力將得到充分的保障!