大数据时代背景下,数据安全问题越来越多,不仅侵害了很多公民和企业的利益,也严重威胁着国家安全。在这样备受关注的背景下,十三届全国人大常委会第二十九次会议于6月10日表决通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),真可以说是一场及时雨,为各个行业、各地区、各部门的网络安全保护、管理工作提供了最权威的指导和要求。
《数据安全法》全文共分为七个章节,分别是第一章,总则;第二章,数据安全与发展;第三章,数据安全制度;第四章,数据安全保护义务;第五章,政务数据安全与开放;第六章,法律责任;第七章,附则,共计五十一条。
这部应运而生的法律对于从事网络安全工作的部门,有哪些需要关注的要点呢?我们来学习一下。
该法对数据和数据安全做了法律上的定义,即:
本法所称数据是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
应该说,该法对数据的定义是比较宽泛的,不仅包括了大家通常理解的信息通信设备、系统中的电子形式数据和文件,还包括了其他形式的信息记录,例如打印出来的纸质文件、单据(典型的是银行、医院开具的票据、处方)、证照等,所有这些都受到该法的保护。
对数据活动的定义中除了“生产”环节外,涵盖了数据处理的其它全过程。这主要是考虑到有些数据生产者拥有其数据的全部权力,自行对“生产”数据的活动负责,例如求职者编写自己的简历。
但是,一旦数据进入后续的环节,就进入被保护的范围,例如攻击者窃取别人保存在电脑上的个人简历是违法的。此外,有些个人“生产”的数据涉及国家政治、经济、军事等领域,甚至涉及他人或部门的重要信息,数据的“生产”者也必须承担相关数据的保护责任。
该法对数据活动相关主体的要求是确保有效保护、确保合法利用,且有能力确保。最后一句话很重要,要求数据活动参与方要有能力。什么是能力?对一个部门来讲,至少要包括管理制度、管理人员和必要的技术措施。
中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
中央国家安全领导机构即中央国家安全委员会,是大政方针的制定和决策部门;网信部门是统筹协调部门;公安、安全等部门按各自职责开展全领域的监管执法;工业、电信等主管部门则是要承担本行业的具体监管职责,需要建立必要的监管制度、标准和技术能力。
各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
不论是政府还是企事业单位、社会团体,只要在工作中收集或产生了数据,那么就要承担法律规定的数据安全责任。
国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。
国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
在标准方面,已有的标准如涉及数据处理环节,则需进行修订。此外,针对当前大数据时代各行各业各种新的数据活动、数据应用,需要研究制定有针对性的数据安全标准。
在安全检测和安全评估方面,同样要针对数据安全制定有针对性的检测和评估标准,开展专门的检测、评估业务。
在数据交易方面,需要按照数据安全法完善管理制度,落实管理要求,确保数据在交易活动中处于安全的状态。
根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护
国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
未来,国家将依据数据安全法进一步制定数据分级分类保护制度,各地区、各部门则要相应制定数据分类分级标准、重要数据目录,并采取技术和管理措施落实对重要数据的保护。特别是对关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,要实行更加严格的管理制度。
建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
当前,我国在国家、地方、行业层面已经建立了网络安全威胁、事件的评估、监测、通报等相关工作机制,今后则需要在原有机制基础上进行优化完善,重点加强针对数据安全风险的信息获取、事件监测、分析研判和通报预警。这些工作要重点围绕被列入国家核心数据、重点数据目录的数据和数据活动而开展。
如果有些从事重要数据活动的政府、企事业部门尚未建立自身的数据安全风险发现能力,没有参与国家相关预警机制,则需要高度重视、立即采取行动。
发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
对于维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
国家网信办等12个部委联合制定的《网络安全审查办法》已经在2020年6月1日生效。该办法主要面向网络产品和服务的采购活动,没有专门涉及数据安全。因此,国家未来可望出台专门的制度,对影响或可能影响国家安全的数据活动进行审查,对相关数据的出口活动进行管制。
依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
数据保护义务简单来说有三个方面,即管理制度、教育培训、技术措施和其他措施。需要注意的是,在制度建设上强调了要建立“全流程”数据安全管理制度,即要覆盖数据活动的各个环节,一旦有涉及就要有对应的制度。
为了落实责任,法律还规定要明确重要数据的安全负责人和管理机构。
如果一个部门发生的数据安全事件,在判断其是否违法和衡量其违法责任的时候,就是要从其落实三方面义务的情况和是否明确了责任人和管理机构来考察。
规定了数据处理者应对数据安全风险的要求
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
首先要求数据处理者还要有数据安全风险监测能力,并且在发现风险或事件的时候要立即响应处置,并向主管部门报告。
重要数据处理者还需要定期做风险评估,并且向主管部门报告。
对其第三方的数据处理活动的保护要求
收集数据,应当采取合法、正当的方式,
从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
首先明确规定“任何组织、个人不得窃取或者以其他非法方式获取数据。”其次,规定了提供特定数据处理相关服务要实现取得行政许可(例如某些特定行业或者特定业务等)。强调数据交易中介机构要对数据来源、交易者身份进行审核,确保合法交易。
对境内外司法部门提供数据的规定
公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
首先明确要依法配合我国公安、安全机关的执法活动,但也强调相关执法活动要严格执行批准手续。其次明确不得擅自向境外机构提供存储在我国境内的数据。
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
首先规定国家机关只能在履职所需范围内收集和使用数据,不能超范围收集;其次,在履职过程中知悉的个人数据、商业数据等要给予保密,不得向他人泄露。
另外,要求国家机关不仅要建立数据安全管理制度,还要落实保护责任。这就要求相关部门要具备必要的技术能力或内部管理能力。当国家机关委托他人从事政务系统建设、数据处理活动的时候,首先要经过批准,然后要监督受托方履行数据安全保护义务。所选择的受托方必须要具备数据安全保护的管理能力、技术能力。
通过上面的介绍,不论是政府、还是企事业单位的网络安全管理者都应该深刻认识到国家在数据安全管理上的决心,要高度重视自身的数据安全管理工作,简要来讲有如下几点:
建立数据安全管理制度,完善相关数据处理流程,明确岗位和责任人。
建立数据分级分类标准和重要数据目录,建设数据安全防护、风险检测、事件监测的技术能力,定期开展安全评估。
与主管部门建立通报预警和应急处置机制。
开展数据安全保护意识和基本防护措施的教育培训。
网络安全管理工作任重而道远,在当前大数据时代,网络安全工作的核心就在于数据安全。我们相信,在数据安全法的引领下,我国各行各业的数据安全工作水平将会迅速提高,数据对经济社会发展的驱动力将得到充分的保障!