《中华人民共和国数据安全法 (草案) 》解读
《中华人民共和国数据安全法》是数据自由的守护神
本法按照总体国家安全观的要求,明确数据安全主管机构的监管职责,建立建全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
为了能够更好的理解法案条款,落地数据安全建设思路,绿盟科技对《中华人民共和国数据安全法 (草案) 》作出解读,希望与广大安全从业者互相交流、共同探讨数据安全的最佳实践。
《中华人民共和国数据安全法 (草案) 》解读如下:
第一章 总则
本法对数据、数据活动、数据安全给出了明确的定义,从总体国家安全观的视角提出要求,建立建全数据安全协同治理体系,提高数据安全保障能力,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。
法律适用
• 在中华人民共和国境内开展数据活动,适用本法。
• 中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
宗旨
• 国家保护公民、组织与数据有关的权益
• 鼓励数据合理有效利用
• 保障数据依法有序自由流动
• 促进以数据为关键要素的经济发展
• 增进人民福祉
责任分工与权力
• 本法对各主管部门做个责任分工,涉及中央国家安全领导机构、各地方、各行业主管部门,还包括公安机关和国家网信部门。
• 本法给予组织和个人对违反本法规定的行为向有关主管部门投诉、举报的权力。
第二章 数据安全与发展
总体原则
第十二条,国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
战略要求
1) 国家实施大数据战略,促进数字经济发展
2) 培育、发展数据开发利用和数据安全产品和产业体系
3) 推进数据开发利用数据和数据安全标准体系建设
4) 促进数据安全监测评估、认证等服务的发展
5) 建立健全数据交易管理制度
6) 培育专业人才,促进人才交流
第三章 数据安全制度
数据分类分级与重点保护
第十九条
• 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄漏或者非法获取、非法利用,对国家安全、公共利益或公民、组织合法权益造成的危害程度,对数据实行分类分级保护。
• 各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
解读:
• 数据分类分级尤为重要,是数据安全治理的第一步,可以通过专业人员+工具的形式完成对数据梳理,全面的了解和掌握数据的类别和影响程度,才能更准确的形成重要数据保护目录,并做到针对性的重点保护。
------------------------------------
数据安全运营
第二十条 、第二十一条
• 建立集中统一、高效权威的数据安全监督管理体系,包括风险评估、报告、信息共享、监测预警、分析、研判,以及应急处置。
解读:
• 数据安全监督运营管理,已数据安全为中心,利用多种数据安全技术,从监测、防控、管理的多维角度进行数据安全监督,7*24小时持续运营,保障数据活动的安全。
数据安全审查与管制
第二十二条 、第二十三条、第二十四条
• 针对数据活动建立数据安全审查制度,属于管制物项的数据依法实施出口管制,当数据和数据开发利用技术相关的投资和贸易受到其他国家歧视性限制或禁止等措施时,实行外交反制。
解读:
• 数据安全审计、出口管制与外交反制是国家对数据利益的保障,审计取证是必要的手段。
第四章 数据安全保护义务
数据安全保障措施
开展数据活动的安全要求:
• 收集数据必须采取合法、正当的方式,不得非法获取,对收集使用数据的不得超过其目标、范围的限制,开展有利于发展的有促进意义的数据活动及新技术研究开发。
第二十五条 明确了开展数据活动应当采取的数据安全保障措施,以下四个层面
• 建立健全全流程数据安全管理制度
• 组织开展数据安全教育培训
• 采取相应的技术措施和其他必要措施
• 重要数据的处理者应落实数据安全保护责任
数据安全风险评估与身份核验
第二十七条 第二十八条
• 加强风险监测,发现数据安全缺陷、漏洞等风险,并作事件通报。
• 重要数据的处理者应定期对其数据活动做风险评估,产出报告,提出整改措施。
第三十条 第三十一条
• 对数据交易中介提出了数据来源和交易双方身份审核的要求,并做好交易记录。
• 对提供在线数据处理的经营者,提出应取得许可证和备案。
解读
• 依据GB/T37988-2019《数据安全能力成熟度模型》,在结合具体业务场景,对数据生存周期做安全风险评估。
数据安全调取审批
第三十二条 第三十三条
• 针对公安机关、国家安全机关调查取证调取数据,以及境外机构调取境内数据,均需要经过严格的审批手续,依法进行。
解读:
• 审批过程严格记录,留作证据保留,可按等级保护2.0要求执行。
第五章 政务数据安全与开放
国家推进政务数据开放利用
第三十四条 第三十九条
• 提高政务数据的科学性,准确性,时效性
• 提升运用数据服务经济社会发展
• 制定政务数据开放目录
• 构建统一规范,互联互通,安全可控的政务数据开放平台
解读
• 政务数据开放共享的安全保障
• 底层的大数据平台安全(环境安全、存储安全、调取安全)
• 交换共享边界安全(访问安全、交换安全、处理安全)
• 数据运维安全(访问安全、处理安全)
对国家机关的要求
第三十六条 第三十七条 第三十八条
• 收集数据和使用数据应合法合规
• 建立健全数据安全管理制度,落实数据安全保护责任
• 依据公正、公平、便民的原则,及时、准确的公开政务数据
• 委托存储、加工、共享政务数据,需审批,并对接收方进行监督
解读:
• 政务数据开放共享的管理保障
• 收集和适用的合规监察(APP、WEB、大数据平台等)
• 落实数据责任制,政务数据让人们更安全,建立与公民的信任关系
• 第三方委托安全(审查、监督,建立信任关系)
第六章 法律责任
本章主要对国家机关和国家工作人员,以及其他违反本法规定的,提出不同的处罚措施。
第四十一条
• 主管部门对数据活动存在较大安全风险的组织和个人进行约谈,其需按照要求进行整改。
第四十二条
• 针对组织和个人不履行数据保护义务的处罚措施,包括警告、整改、罚款。
第四十三条
• 针对数据交易中介机构不履行数据保护义务的处罚措施,包括整改、没收、罚款、吊销相关许可证或营业执照。
第四十四条
• 未取得许可或者备案的,擅自从事相关数据业务,予以处罚,包括改正或取缔、没收、罚款。
第七章 附则
国家秘密和军事数据不在此法范围内
• 国家秘密,适用《中华人民共和国保守国家秘密法》等
• 军事数据,由中央军事委员会制定数据安全保护办法