EN

網(wǎng)絡安全管理者要重點關(guān)注《數(shù)據(jù)安全法》的哪些內(nèi)容

發(fā)布時間:2021-06-24
瀏覽量: 16258

大數(shù)據(jù)時代背景下,數(shù)據(jù)安全問題越來越多,不僅侵害了很多公民和企業(yè)的利益,也嚴重威脅著國家安全。在這樣備受關(guān)注的背景下,十三屆全國人大常委會第二十九次會議6月10日表決通過《中華人民共和國數(shù)據(jù)安全法》以下簡稱《數(shù)據(jù)安全法》)真可以說是一場及時雨,為各個行業(yè)、各地區(qū)、各部門的網(wǎng)絡安全保護、管理工作提供了最權(quán)威的指導和要求。

《數(shù)據(jù)安全法》全文共分為七個章節(jié),分別是第一章,總則;第二章,數(shù)據(jù)安全與發(fā)展;第三章,數(shù)據(jù)安全制度;第四章,數(shù)據(jù)安全保護義務;第五章,政務數(shù)據(jù)安全與開放;第六章,法律責任;第七章,附則,共計五十一條。

這部應運而生的法律對于從事網(wǎng)絡安全工作的部門,有哪些需要關(guān)注的要點呢?我們來學習一下。

一、明確了“管什么”?

該法對數(shù)據(jù)和數(shù)據(jù)安全做了法律上的定義,即:

本法所稱數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。

數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。

數(shù)據(jù)安全,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護合法利用狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。

    應該說,該法對數(shù)據(jù)的定義是比較寬泛的,不僅包括了大家通常理解的信息通信設備、系統(tǒng)中的電子形式數(shù)據(jù)和文件,還包括了其他形式的信息記錄,例如打印出來的紙質(zhì)文件、單據(jù)(典型的是銀行、醫(yī)院開具的票據(jù)、處方)、證照等,所有這些都受到該法的保護。

對數(shù)據(jù)活動的定義中除了“生產(chǎn)”環(huán)節(jié)外,涵蓋了數(shù)據(jù)處理的其它全過程。這主要是考慮到有些數(shù)據(jù)生產(chǎn)者擁有其數(shù)據(jù)的全部權(quán)力,自行對“生產(chǎn)”數(shù)據(jù)的活動負責,例如求職者編寫自己的簡歷。但是,一旦數(shù)據(jù)進入后續(xù)的環(huán)節(jié),就進入被保護的范圍,例如攻擊者竊取別人保存在電腦上的個人簡歷是違法的。此外,有些個人“生產(chǎn)”的數(shù)據(jù)涉及國家政治、經(jīng)濟、軍事等領域,甚至涉及他人或部門的重要信息,數(shù)據(jù)的“生產(chǎn)”者也必須承擔相關(guān)數(shù)據(jù)的保護責任。

該法對數(shù)據(jù)活動相關(guān)主體的要求是確保有效保護、確保合法利用,且有能力確保。最后一句話很重要,要求數(shù)據(jù)活動參與方要有能力。什么是能力?對一個部門來講,至少要包括管理制度、管理人員和必要的技術(shù)措施。

二、明確了“誰來管?”

中央國家安全領導機構(gòu)負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào),研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制

國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡數(shù)據(jù)安全和相關(guān)監(jiān)管工作。

公安機關(guān)、國家安全機關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責范圍內(nèi)承擔數(shù)據(jù)安全監(jiān)管職責。

工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責。

中央國家安全領導機構(gòu)即中央國家安全委員會,是大政方針的制定和決策部門;網(wǎng)信部門是統(tǒng)籌協(xié)調(diào)部門;公安、安全等部門按各自職責開展全領域的監(jiān)管執(zhí)法;工業(yè)、電信等主管部門則是要承擔本行業(yè)的具體監(jiān)管職責,需要建立必要的監(jiān)管制度、標準和技術(shù)能力。

三、明確了被監(jiān)管的責任主體

各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責。

不論是政府還是企事業(yè)單位、社會團體,只要在工作中收集或產(chǎn)生了數(shù)據(jù),那么就要承擔法律規(guī)定的數(shù)據(jù)安全責任。

四、要制定數(shù)據(jù)安全標準,開展數(shù)據(jù)安全檢測評估工作,規(guī)范數(shù)據(jù)交易活動。

國務院標準化行政主管部門和國務院有關(guān)部門根據(jù)各自的職責,組織制定并適時修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標準

國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展,支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務活動。

國家建立健全數(shù)據(jù)交易管理制度,規(guī)范數(shù)據(jù)交易行為,培育數(shù)據(jù)交易市場。

在標準方面,已有的標準如涉及數(shù)據(jù)處理環(huán)節(jié),則需進行修訂。此外,針對當前大數(shù)據(jù)時代各行各業(yè)各種新的數(shù)據(jù)活動、數(shù)據(jù)應用,需要研究制定有針對性的數(shù)據(jù)安全標準。

在安全檢測和安全評估方面,同樣要針對數(shù)據(jù)安全制定有針對性的檢測和評估標準,開展專門的檢測、評估業(yè)務。

在數(shù)據(jù)交易方面,需要按照數(shù)據(jù)安全法完善管理制度,落實管理要求,確保數(shù)據(jù)在交易活動中處于安全的狀態(tài)。

五、著重強調(diào)要建立數(shù)據(jù)安全制度

1. 建立數(shù)據(jù)分級分類保護制度

根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度,對數(shù)據(jù)實行分類分級保護

國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。

各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。

未來,國家將依據(jù)數(shù)據(jù)安全法進一步制定數(shù)據(jù)分級分類保護制度,各地區(qū)、各部門則要相應制定數(shù)據(jù)分類分級標準、重要數(shù)據(jù)目錄,并采取技術(shù)和管理措施落實對重要數(shù)據(jù)的保護。特別是對關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數(shù)據(jù),要實行更加嚴格的管理制度。

2. 建立數(shù)據(jù)安全風險預警機制

建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。

國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。

當前,我國在國家、地方、行業(yè)層面已經(jīng)建立了網(wǎng)絡安全威脅、事件的評估、監(jiān)測、通報等相關(guān)工作機制,今后則需要在原有機制基礎上進行優(yōu)化完善,重點加強針對數(shù)據(jù)安全風險的信息獲取、事件監(jiān)測、分析研判和通報預警。這些工作要重點圍繞被列入國家核心數(shù)據(jù)、重點數(shù)據(jù)目錄的數(shù)據(jù)和數(shù)據(jù)活動而開展。

如果有些從事重要數(shù)據(jù)活動的政府、企事業(yè)部門尚未建立自身的數(shù)據(jù)安全風險發(fā)現(xiàn)能力,沒有參與國家相關(guān)預警機制,則需要高度重視、立即采取行動。

3. 建立數(shù)據(jù)安全應急處置機制

發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息。

4. 建立數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制要求

對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。

對于維護國家安全和利益、履行國際義務相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制。

國家網(wǎng)信辦等12個部委聯(lián)合制定的《網(wǎng)絡安全審查辦法》已經(jīng)在2020年6月1日生效。該辦法主要面向網(wǎng)絡產(chǎn)品和服務的采購活動,沒有專門涉及數(shù)據(jù)安全。因此,國家未來可望出臺專門的制度,對影響或可能影響國家安全的數(shù)據(jù)活動進行審查,對相關(guān)數(shù)據(jù)的出口活動進行管制。

六、明確數(shù)據(jù)保護的義務

1. 規(guī)定了數(shù)據(jù)保護義務的內(nèi)容

依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。

重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構(gòu),落實數(shù)據(jù)安全保護責任。

數(shù)據(jù)保護義務簡單來說有三個方面,即管理制度、教育培訓、技術(shù)措施和其他措施。需要注意的是,在制度建設上強調(diào)了要建立“全流程”數(shù)據(jù)安全管理制度,即要覆蓋數(shù)據(jù)活動的各個環(huán)節(jié),一旦有涉及就要有對應的制度。

為了落實責任,法律還規(guī)定要明確重要數(shù)據(jù)的安全負責人和管理機構(gòu)。

如果一個部門發(fā)生的數(shù)據(jù)安全事件,在判斷其是否違法和衡量其違法責任的時候,就是要從其落實三方面義務的情況和是否明確了責任人和管理機構(gòu)來考察。

2、規(guī)定了數(shù)據(jù)處理者應對數(shù)據(jù)安全風險的要求

開展數(shù)據(jù)處理活動應當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應當立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告

首先要求數(shù)據(jù)處理者還要有數(shù)據(jù)安全風險監(jiān)測能力,并且在發(fā)現(xiàn)風險或事件的時候要立即響應處置,并向主管部門報告。

重要數(shù)據(jù)處理者還需要定期做風險評估,并且向主管部門報告。

3、對其第三方的數(shù)據(jù)處理活動的保護要求

收集數(shù)據(jù),應當采取合法、正當?shù)姆绞剑?/span>

從事數(shù)據(jù)交易中介服務的機構(gòu)提供服務,應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄

法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務應當取得行政許可的,服務提供者應當依法取得許可。

首先明確規(guī)定“任何組織、個人不得竊取或者以其他非法方式獲取數(shù)據(jù)?!逼浯?,規(guī)定了提供特定數(shù)據(jù)處理相關(guān)服務要實現(xiàn)取得行政許可(例如某些特定行業(yè)或者特定業(yè)務等)。強調(diào)數(shù)據(jù)交易中介機構(gòu)要對數(shù)據(jù)來源、交易者身份進行審核,確保合法交易。

4、對境內(nèi)外司法部門提供數(shù)據(jù)的規(guī)定

公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù),應當按照國家有關(guān)規(guī)定,經(jīng)過嚴格的批準手續(xù),依法進行,有關(guān)組織、個人應當予以配合。

非經(jīng)中華人民共和國主管機關(guān)批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

首先明確要依法配合我國公安、安全機關(guān)的執(zhí)法活動,但也強調(diào)相關(guān)執(zhí)法活動要嚴格執(zhí)行批準手續(xù)。其次明確不得擅自向境外機構(gòu)提供存儲在我國境內(nèi)的數(shù)據(jù)。

七、對政務數(shù)據(jù)安全做了重點規(guī)定

國家機關(guān)為履行法定職責的需要收集、使用數(shù)據(jù),應當在其履行法定職責的范圍內(nèi)依律、行政法規(guī)規(guī)定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密,不得泄露或者非法向他人提供。

 國家機關(guān)應當依照法律、行政法規(guī)的規(guī)定,建立健全數(shù)據(jù)安全管理制度落實數(shù)據(jù)安全保護責任,保障政務數(shù)據(jù)安全。

第四十條 國家機關(guān)委托他人建設、維護電子政務系統(tǒng),存儲、加工政務數(shù)據(jù),應當經(jīng)過嚴格的批準程序,并應當監(jiān)督受托方履行相應的數(shù)據(jù)安全保護義務。受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數(shù)據(jù)。

國家制定政務數(shù)據(jù)開放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺,推動政務數(shù)據(jù)開放利用。

首先規(guī)定國家機關(guān)只能在履職所需范圍內(nèi)收集和使用數(shù)據(jù),不能超范圍收集;其次,在履職過程中知悉的個人數(shù)據(jù)、商業(yè)數(shù)據(jù)等要給予保密,不得向他人泄露。

另外,要求國家機關(guān)不僅要建立數(shù)據(jù)安全管理制度,還要落實保護責任。這就要求相關(guān)部門要具備必要的技術(shù)能力或內(nèi)部管理能力。當國家機關(guān)委托他人從事政務系統(tǒng)建設、數(shù)據(jù)處理活動的時候,首先要經(jīng)過批準,然后要監(jiān)督受托方履行數(shù)據(jù)安全保護義務。所選擇的受托方必須要具備數(shù)據(jù)安全保護的管理能力、技術(shù)能力。

通過上面的介紹,不論是政府、還是企事業(yè)單位的網(wǎng)絡安全管理者都應該深刻認識到國家在數(shù)據(jù)安全管理上的決心,要高度重視自身的數(shù)據(jù)安全管理工作,簡要來講有如下幾點:

1、建立數(shù)據(jù)安全管理制度,完善相關(guān)數(shù)據(jù)處理流程,明確崗位和責任人。

2、建立數(shù)據(jù)分級分類標準和重要數(shù)據(jù)目錄,建設數(shù)據(jù)安全防護、風險檢測、事件監(jiān)測的技術(shù)能力,定期開展安全評估。

3、與主管部門建立通報預警和應急處置機制。

4、開展數(shù)據(jù)安全保護意識和基本防護措施的教育培訓。

網(wǎng)絡安全管理工作任重而道遠,在當前大數(shù)據(jù)時代,網(wǎng)絡安全工作的核心就在于數(shù)據(jù)安全。我們相信,在數(shù)據(jù)安全法的引領下,我國各行各業(yè)的數(shù)據(jù)安全工作水平將會迅速提高,數(shù)據(jù)對經(jīng)濟社會發(fā)展的驅(qū)動力將得到充分的保障!



熱點內(nèi)容

開始試用任子行產(chǎn)品
申請試用

20年公安服務經(jīng)驗

7*24小時應急響應中心

自主知識產(chǎn)權(quán)的產(chǎn)品裝備

專家級安全服務團隊

網(wǎng)絡空間數(shù)據(jù)治理專家

榮獲國家科學技術(shù)二等獎

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號
公司微博