2021年12月4日，是第八个国家宪法日。2021年，也是相较特殊的一年，被称为“数据安全元年”。在这一年，数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》等法律法规正式实施，国家网信办相继对外发布《网络安全审查办法（修订草案征求意见稿）》《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例（征求意见稿）》等，并公开征求意见。

11月29日-12月5日是第四个“宪法宣传周”，绿盟科技梳理了数据安全法、个人信息保护法等法规中的合规难点，汇总了之前发布的一些文章，帮助读者系统了解和掌握与数据安全相关的法规知识。

 数据安全法

2021年9月1日，数据安全法正式实施，是我国第一部数据安全领域的专门法律。其中数据安全保护义务等章节对数据处理者如何保护数据作出明确规定，涉及收集、存储、使用、加工、传输、提供数据等环节。违反相关规定并造成严重后果的，有关主管部门可责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

保护数据安全，不仅是企业出于维护自身数据资产安全的目的，也是合规的要求。

那企业应如何建设数据安全治理体系？基于“知”“识”“控”“察”“行”的数据安全治理方法论，绿盟科技可为企业提供全方位可信的防御体系建设，包括数据梳理、运维数据监管、业务数据监管、办公数据监管、数据可视化等完整解决方案，有效保护数据在全生命周期过程中的安全，达到合法采集、合理利用、静态可知、动态可控的防护目标。

 数据分类分级是保障数据安全的前提，也是数据安全治理过程中极为重要的一环。为此，企业建设数据安全能力，第一步需要根据自身业务对数据进行分类分级。流程一般包括制定数据分类分级标准，准备数据样本、建立敏感数据规则库，扫描目标存储设备，自动化数据测绘。

具体如何制定数据分类分级标准，如何建立敏感数据规则库，企业用户、高校用户、云端用户、监管机构等使用场景如何对数据分类分级，且看文章《企业如何做好数据分类分级》《Q&A｜聚焦数据安全法实施，企业数据安全建设常见问题》。

个人信息保护法

个人信息保护法是我国首部针对个人信息保护的专门性立法，已于11月1日起正式实施。

该法明确规定了用户的权利和服务方的义务。用户权利包括知情权、决定权、可携带权等。对应的，服务方需要为满足用户的权利提供具体的功能。此外，针对敏感个人信息、个人信息出境等场景，个人信息保护法还对服务方提出其他保护义务。详见《权利义务框架下的移动互联网APP个人信息保护——个人信息保护法对APP个人信息保护影响分析》。

面对日益严格的合规要求和纷繁复杂的业务场景，企业由于缺少专业人员和安全检测能力，难以准确识别和评估风险影响。基于在数据安全服务中积累的丰富经验，绿盟科技设计了一套完善的个人信息安全影响评估方案，并成功对某企业开展个人信息安全影响评估。详见《如何根据企业业务场景设计个人信息安全影响评估方案》。

在参考《信息安全技术 个人信息安全影响评估指南》标准的基础上，吸纳ISO/IEC 29134等国际标准中实施隐私影响评估（PIA）的具体步骤，并结合国内法律法规相关要求，个人信息安全影响评估分析模型包括三个阶段六个步骤。如下图所示。

其中，个人权益影响分析主要从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度进行分析。安全事件可能性分析从网络环境和技术措施、处理流程规范性、参与人员与第三方、安全态势及处理规模四个方面出发，再回归到威胁识别和脆弱性识别上进行定量分析

根据评估结果，企业可识别当前个人信息安全风险并逐步整改，提升业务安全系数；发现在个人信息在处理过程中存在的安全风险，持续修正个人信息保护边界，调整安全控制措施，使个人信息处理过程处于风险可控的状态。

个人信息保护法规定，个人信息处理者应定期对个人信息保护情况进行合规审计。9月份，教育部联合中央网信办、工信部等六部门印发通知，要求存储100万人以上个人信息的线上校外培训App，应通过个人信息保护影响评估、认证或合规审计。

随着个人信息保护合规审计制度的完善和落地，如果担心难以通过、或想全面提升个人信息保护能力，不妨先来试试绿盟科技的个人信息安全影响评估方案。

《关键信息基础设施安全保护条例》

《关键信息基础设施安全保护条例》（下称“关基保护条例”）自9月1日起施行，既是落实网络安全法的要求、构建国家关键信息基础设施安全保护体系的顶层设计和重要举措，更是保障国家安全、社会稳定和经济发展的现实需要。

关基保护条例对关键信息基础设施运营者规定了九项基本义务，以及对其下设的专门安全管理机构规定了八大义务。如下图：

对于关键信息基础设施运营者如何落实关基保护条例，绿盟科技建议运营者首先做好关键信息基础设施的认定工作，考虑因素包括其网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度，一旦遭到破坏后可能带来的危害程度及对其他行业和领域的关联性影响；其次，要坚持从法律法规、政策、标准、技术、实践等多维度开展关键信息基础设施安全保护工作；第三，要运用系统思维，科学、全面、准确地把握关键信息基础设施安全保护工作的重点；第四，要高度重视和大力加强关键信息基础设施安全保护的人才培养工作。