《數據安全法》來了�����,數據保護刻不容緩��!
作者:啟明星辰技術中心
2021-10-25
2021年6月10����,第十三屆全國人大常委會第二十九次會議表決通過《中華人民共和國數據安全法》(簡稱“數據安全法”)���,國家主席習近平簽署了第八十四號主席令�����,標志著《數據安全法》的正式誕生�,并將于2021年9月1日正式生效施行�����。
1���、《數據安全法》的章節內容
本次審議的《數據安全法(草案)》(第三次審議稿)全文共7章55條��,包括:總則���、數據安全與發展����、數據安全制度����、數據安全保護義務�����、政務數據安全與開放��、法律責任和附則���。
2���、《數據安全法》的法律地位
習近平總書記指出����,在互聯網經濟時代���,數據是新的生產要素��,是基礎性資源和戰略性資源���,也是重要生產力����。黨的十九屆四中全會通過的《中共中央關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定》明確將數據列為生產要素�。隨著數據活動在生產生活中海量增加���,數據安全問題愈發凸顯�����,給公民個人權益����、產業健康發展甚至國家安全帶來諸多風險�,將數據安全問題納入法治軌道具有必要性和緊迫性�����。
數據安全法(草案)在第十三屆全國人大常委會第二十次會議上提請審議���,這是我國進入數據時代后��,對數據安全問題一次積極的立法回應����,該法在數據安全領域具有基礎性法律地位�����,將與網絡安全法��、個人信息保護法等共同構建起我國的數據監管與保障法律體系�����。
作為數據領域的基礎性法律����,《數據安全法》立足數據安全工作的實際�,聚焦數據安全領域的突出問題��,確立了數據分類分級管理��,數據安全風險評估�、監測預警�����、應急處置����,數據安全審查等基本制度��,明確相關主體的數據安全保護義務���,通過建立健全各項制度措施�,進一步提升國家數據安全保障能力��,有效應對數據這一非傳統領域的國家安全風險與挑戰��,切實維護國家主權���、安全和發展利益�����。
3�、《數據安全法》的發展歷程
《數據安全法(草案)》一審回顧
2020年6月28日����,十三屆全國人大常委會第二十次會議對數據安全法草案進行了初次審議����。一審稿對地方�、部門制定重要數據目錄作了規定���。一些常委委員和地方�����、部門�、企業�、專家提出�����,應由國家層面確定重要數據目錄�����,再由地方��、部門據此制定具體目錄�����。
《數據安全法(草案)》二審回顧
2021年4月26日�����,十三屆全國人大常委會第二十八次會議聽取了憲法和法律委員會副主任委員徐輝作的關于數據安全法草案修改情況的匯報���,此次為二審����。
根據各方面意見�,提請本次常委會會議審議的草案二次審議稿擬作以下主要修改:
一是��,對草案中的數據安全等用語的含義予以完善���。
二是�����,完善數據分級分類和重要數據保護制度�����。
三是�����,充實數據出境安全管理規定�����。
此后(2021年4月29日)�,中國人大網上公布了《中華人民共和國數據安全法(草案二次審議稿)》�,其中進行了多處修訂���。主要修訂的范圍包括:完善數據分級分類保護制度���;強化等保在數據安全保護要求中的基礎作用���、新增重要數據出境的管理規定和對應法律責任��、加強對境外司法/執法機構提供數據的監管及新增明確拒不配合數據調取的法律責任等�����。
《數據安全法(草案)》三審或作如下修改
兩次審議后���,全國人大常委會法工委發言人臧鐵偉曾表示��,根據各方面意見�����,提請本次常委會會議審議的草案三次審議稿擬作如下主要修改:
一是�,建立工作協調機制���,加強對數據安全工作的統籌��。如:行業主管單位負責本行業��、本領域數據安全監管�,公安機關等負責數據安全監管職責�����,網信負責數據安全統籌協調工作���。
二是����,明確對關系國家安全�����、國民經濟命脈����、重要民生�、重大公共利益等數據實行更嚴格的管理制度�。如:新增“關系國家安全����、國民經濟命脈�����、重要民生��、重大公共利益等 數據屬于國家核心數據,實行更加嚴格的管理制度���?!?br/>
三是��,要求提供智能化公共服務應當充分考慮老年人�����、殘疾人的需求���,不得對老年人��、殘疾人的日常生活造成障礙���。如:新增國家支持開發利用數據提升公共服務的智能化水 平��。提供智能化公共服務,應當充分考慮老年人�、殘疾人的需求,不得對老年人�����、殘疾人的日常生活造成障礙��。
四是����,進一步完善保障政務數據安全方面的規定����。如:明確國家數據安全工作協調 機制統籌協調有關部門加強數據安全風險信息的獲取�、分析�、研判����、預警工作�����。
因此����,此次表決通過的《數據安全法》相較于二審稿或做如上修改補充��。
4����、《數據安全法》的重要意義
數據的價值凸顯���,數據已經衍變為數字時代的核心����。全球知名咨詢公司麥肯錫稱:“數據����,已經滲透到當今每一個行業和業務職能領域���,成為重要的生產因素�。人們對于海量數據的挖掘和運用�,預示著新一波生產率增長和消費者盈余浪潮的到來�?��!彪S著社會的進步��,信息技術逐漸與人類的生產生活交匯融合�����,各類數據迅猛增長����、海量聚集���,針對數據的活動也日益劇增����,對社會和經濟產生了重大而深刻的影響���。2020年4月9日�,國務院印發的《關于構建更加完善的要素市場化配置體制機制的意見》是中央關于要素市場化配置的第一份文件�,圍繞勞動力���、資本���、土地����、科技�����、數據等五大要素領域提出了改革方向�,把數據作為一種生產要素單獨列出�,數據上升為新的生產要素����,對數字經濟發展起到基礎性和支撐性的關鍵作用��。數據安全將成為國家安全的戰略新領域����。大數據帶來了萬物互聯���,但頻頻引發的各類數據安全事件也隨之而來��。數據安全已成為事關國家安全與社會經濟發展的重大問題�����,為了保證數據安全及公民隱私�,世界各國紛紛針對數據活動頒布了法律法規����?�!稊祿踩ā纷鳛槲覈鴶祿踩I域的專項法律�,可見國家對數據安全的重視��,從此數據活動在我國將步入正規化�����,數據安全必將迎來新一輪的發展���。數據安全將為建設數字中國的重要保障�。在《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中“數據安全”一詞累計出現5次�����,已然成為本次規劃中的高頻詞����,也體現了出來對國家層面對數據安全的重視程度���。
5����、《數據安全法》要點一覽
《數據安全法(草案)》確定了數據分級分類及風險評估等安全制度�,落實從事數據活動的組織和個人的安全保護責任����,堅持維護數據安全和促進數據開發利用并重�����,推進數據基礎設施建設和安全標準體系建設等�����。下面對其中的部分要點進行分析和解讀:
明確國家數據安全治理機制
在數據安全法中�,明確了我國數據安全治理架構為:
決策層:中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定���、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國
家數據安全工作協調機制�;
執行層:各地區��、各部門對本地區�����、本部門工作中產生���、匯 總����、加工的數據及數據安全負責����;
監管層:各行業承擔本行業�、本領域數據安全監管職責���;公安機關���、國家安全機關等在各自職責范圍內承擔數據安全監管職責���;
統籌協調:國家網信部門負責統籌協調網絡數據安全和相關監管工作
建立數據安全生態
為實現規范數據處理活動,保障數據安全,促進數據開發利用,保護個人���、組織的合法權益,維護國家主權���、安全和發展利益的目標�,《數據安全法》明確國家實施大數據戰略���,鼓勵支持數據在各行各業的創新應用��,以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展���。我國將積極推進數據開發利用技術和數據安全標準體系建設�;促進數據安全檢測評估���、認證等服務的發展��;建立健全數據交易制度���,培育數據交易市場��;結合多方力量培養數據開發利用和數據安全專業人才��。
建立健全的數據安全制度
數據分級分類保護����。對數據進行分級分類管理和保護��,可以在保證數據安全�����、個人隱私的前提下�����,使數據價值最大化���。草案第21條指出�����,國家根據數據在經濟社會發展中的重要程度��,對數據實行分級分類保護���,同時確定重要數據保護目錄����,對列入目錄的數據進行重點保護��。
數據安全風險預警及應急處置機制���。針對數據安全�����,前期有效的風險評估預警和發生安全事件時及時的應急措施����,都是消除安全隱患避免危害擴大的重要手段��。草案第22條和23條�,明確指出國家將建立數據安全風險預警及應急處置機制���。
數據安全審查制度���。數據與國家安全息息相關��,是未來國際競爭的核心����,草案第24條指出國家建立數據安全審查制度�����,對影響或者可能影響國家安全的數據活動進行國家安全審查�����。
實施數據出口管制����。國家實施出口管制��,保證數據安全��,同時積極開展數據安全領域的國際交流與合作�,參與數據安全相關國際規則和標準的制定�,促進數據跨境安全��、自由流動���。
明確數據安全保護的意義
草案對從事數據活動的組織和個人應承擔的數據安全保護義務給了明確指示:開展數據活動應當依照法律����、行政法規的規定和國家標準的強制性要求��,建立健全的全流程數據安全管理制度��,組織開展數據安全教育培訓�����。開展數據活動以及研究開發數據新技術�����,應當有利于促進經濟社會發展���,增進人民福祉����,符合社會公德和倫理���。開展數據活動應當加強風險監測����,發現數據安全缺陷�、漏洞等風險時�,應當立即采取補救措施���。任何組織�����、個人收集數據���,必須采取合法�、正當的方式�����,不得竊取或者以其他非法方式獲取數據(草案第32-33條)�。通過針對違法的數據活動制定了一系列的法律措施���,促使數據活動更加正規正當�����,從而維護公民的個人隱私以及數據安全�。
明確數據安全保護意義
《數據安全法》明確了不履行法律責任�、違反法律要求行為時需要承擔的法律責任���,包括責令整改�、警告���、罰款���、暫時相關業務�、停業整頓����、吊銷執照等�����?!稊祿踩ā分械姆韶熑螐浹a了我國法律在這方面的空白����,也從另一個側面逼迫個人���、企業�����、國家機關重視數據安全���,提升數據安全能力��,否則一旦發生泄露就要面臨相當嚴重的處罰�����。
6��、啟明星辰數據安全治理綜合解決方案為政企客戶的數據安全保駕護航
數據泄露風險日益嚴重��,數據安全相關立法逐漸成型�,面對日益復雜的數據安全需求�����,單一數據安全產品建設已無法滿足市場需求�����,需要逐漸向綜合性的數據安全治理過渡��,需要全面�����、綜合的數據安全綜合解決方案來應對��。
作為信息安全行業領軍企業����,啟明星辰擁有比較完善的數據安全產品體系����,配合啟明星辰已經積累多年的數據安全專項運營能力����,能夠為用戶提供一整套集合人員����、流程�����、技術的綜合數據安全治理解決方案����。此方案面向用戶業務數據��,以敏感信息及數據資產治理為基礎��,以數據安全風險防控為目標����,以場景化數據安全管控為手段��,兼顧數據生命周期各階段審查���,進行的閉環式的數據安全管控�。
啟明星辰數據安全體系框架
啟明星辰數據安全方案的應用價值
構建以敏感信息以及數據資產治理為基礎����,以數據風險防控為目標����,以能力�、平臺�、運營為手段��,基于全場景�、多維度的“數據安全專家”����。實現數據的標準化�����、常態化���、規范化的管理�����,為數據安全的管理��、管控��、監控提供能力保障�,為數據安全運營提供技術能力支撐�����。
數據安全摸底:針對業務數據資產摸底�,敏感數據梳理�����,實現多維度���、全方位自動繪制數據資產圖譜���,全面掌控業務數據核心資產�����。
數據安全驅動:依據數據安全頂層設計與數據安全策略規劃�����,實現數據安全能力組件的策略集中管理以及可視化�,驅動數據安全能力組件����。
數據安全管控:基于場景化的數據生命周期管理�,對數據采集�����、傳輸��、存儲����、使用�����、共享�、銷毀各個階段的場景化的評估分析��,并提供監控和管理手段�,落實數據安全管控能力����。
數據風險“防控”:以“數據”為中心的針對數據風險建模����、數據安全監測����,全面深度分析數據安全風險狀態����、數據流轉狀態��、數據安全態勢�����。
啟明星辰的數據安全治理綜合解決方案已經在國內眾多行業擁有應用案例���,如某某大數據局的數據安全運營中心項目�、某某運營商數據安全治理平臺項目等��。
未來�,啟明星辰將繼續根據用戶實際需求�����,引入機器學習算法�,構建更多的分析挖掘場景以及安全專題模型���,進一步踐行讓數據在安全流動中產生價值的理念����!
京公網安備11010802024551號