数字经济的安全基石

首页 > 关于我们 > 安恒动态 > 2020 > 正文

解读|《数据安全法(草案)》到底说了什么?这30个要点必知!(附解决方案)

阅读量:

引言

数据安全法(草案)

随着全球数字经济的快速展,当前对数据掌控和利用能力,已成为衡量国家之间竞争力的核心要素。今年4月份,中央首次明确了将数据作为五大生产要素之一,加快对数据要素市场的培养,并通过新基建等一系列措施进行政策的落地。面对数字经济迎来新的发展机遇同时,国内外数据安全的形势不容乐观,根据公开报道,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%。数据泄漏事件影响大、损失重。

 

数据安全是数字经济的零因子,零乘以亿万等于零。2020年6月28日,第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法(草案)》(以下简称“数安法”)。7月3日在中国人大网公布,向社会征求意见,通过立法实现数据安全与共享的平衡发展。

数据安全

 

外力驱动和内部需求,促使数安法快速落地

外力驱动

2018年3月23日,美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。

 

2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。

 

面对欧美国家将数据主权从物理边界转向技术边界,将会直接影响到第三方国家的主权,在数据跨境流动愈加频繁的今天,必须尽快完善我国相关法律法规,保护我国国家利益、跨国公司以及公民个人利益。

 

内部需求

当前全球经济传统经济增长缓慢,尤其上半年全球“新冠疫情”给经济带来了沉重的打击。迫切需要通过新的经济增长点拉动内需,增加就业,而数字经济正是切入点和发动机。国家将发展数字经济提升到国战略高度则水到渠成。

 

通过近年来数字经济增速也证明数字经济发展空间巨大,通过信息院的调研报告,发现数字经济增长显著高于同期的GDP,是带动国民经济发展的关键力量。2019年我国数字经济规模已经达到35.8万亿元,占GDP比重达到36.2%。

数据安全

图:我国数字产业规模

 

在2020年初,各省根据中央要求,印发“关于支持数字经济发展若干政策实施细则”等相关通知,全面推进数字设施化、设施数字化的进程,全力打造数字经济。因此,亟需一部国家的基本法,为中国数字经济的安全发展保驾护航。

 

上述背景下数安法诞生,恰逢其时,维护了我国的数据主权,保障了国家的安全、促进了经济健康发展。

 

数安法要点解读和提炼

 

数安法的发布标志着我国将数据治理的政策要求,通过法律文本的形式进行了明确和强化。本法一共七章五十一条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。

数安法图:数安法七个章节

 

我们对数安法进行深入解读后,为大家提炼出30个要点。

总则的要点

1) 适用范围:在中国境内开展数据活动的组织和个人。

2) 保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。

3) 责任任务:工业、电信、教育等行业和地方各部门承担本行业、本领域的数据安全监、管职责。网信部门负责统筹协调和监管。

 

数据安全与发展要点

4) 发展原则:维护数据安全和促进数据开发并重发展。

5) 战略要求:省级以上人民政府应制定数字经济发展规划。

6) 标准体系:国家主管部门负责相关标准和体系的制定。

7) 评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。

8) 人才培养:要釆取多种方式培养数据开发利用技术和数据安全专业人才。

 

数据安全制度要点

9) 分级分类:数据要求实行分级分类,形成数据保护目录。

10) 风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

11) 应急处置:要建立数据安全应急处置机制。

12) 安全审查:要建立数据安全审查制度。

13) 出口管制:对属于管制物项的数据依法实施出口管制。

 

数据安全保护义务要点

14) 管理制度:建立健全全流程数据安全管理制度,组织开展教育培训。

15) 风险监测:对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件要按规定上报。

16) 风险评估:定期开展风险评估并上报风评报告。

17) 数据收集:任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他

非法方式获取数据。

18) 数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。

19) 经营备案:数据服务经营者取得经营业务许可或备案。

20) 配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,须先审核。

 

政务数据安全与开放要点

21) 管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。

22) 存储加工:委托他人存储、加工或提供政务数据,要先审批,并做好监督。

23) 数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。

 

法律责任要点

24) 未釆取必要的安全措施: 责令改正和警告,给予单位1万至10万元罚款,给予负责人5000至5万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位10万至100万元罚款,给予负责人1万至10万元罚款。

25) 交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得的给予10万至100万元罚款,或吊销营业执照;对主管和直接责任人1万至10万元罚款。

26) 无证照经营:取缔,对违法所得进行一至十倍的罚款。没有违法所得,给予10万至100万元罚款,对主管和直接责任人处1万至10万元罚款。

27) 国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。

28) 国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,未构成犯罪的给予处分。

29) 给他人造成损害:依法承担民事责任。

30) 涉及国家秘密和军事秘密数据,依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。

 

数安法是继《网络安全法》提出数据的概念后,国家在数据安全立法层面的一个重大里程碑,注定了是中国数字经济高速发展的压舱石和定海神针。

 

企业数据安全治理的几点建议

 

数安法作为数据安全管理的基本大法,给我们指明了方向和提供法律保障。随着产业的扩大和数据种类的日益丰富,当前各行各业都在探索如何安全、高效的做好本行业数据安全的治理,由于数据类型的复杂性和应用场景的多样性,目前为止,还没有行业通用的数据安全治理标准和模型。

 

我们通过各类数据泄密事件分析,发现大部分数据安全事件是由于内部管理不到位,由内部人员引发。

企业数据安全图:数据泄漏事件分布图

 

如何建立一个以预防、发现、消除泄密隐患为主的数据安全管理体系?我们建议从组织架构、规章制度、技术防护、监督检查、教育培训、运行维护六个方面入手,将数据安全管理和技术防护渗透到业务流程的各个环节,一旦发生泄漏情况,以责任人为点,以业务流程为线,做到在最短时间内找到风险点并加以补救。

 

由于数据安全治理是一个长期的、系统化工程,本着三分技术、七分管理的原则,建议企业从六个方面进行规划和建设。

数据安全管理结构图:数据安全管理架构图

 

建立健全管理组织机构

企业数据安全管理的成败,主要取决主要领导是否重视,是否建立了一套完善数据安全管理组织,这是数据安全的重要保障。要形成“管理层重视、一把手负责、全员参与”的管理模式。

数据安全图:安全组织架构搭建建议

 

同时,建议明确部门和相关人员职责,要责任到人。

部门职责示例图:部门职责示例

 

制定落实安全制度体系

建立健全完善的企业安全规章制度,保障数据安全管理体系的有效运行,制度包括策略、标准、基线、流程和操作指南等,分级别进行管理。制度中的要求和标准或流程,可以通过培训,让每位员工知悉,并自觉遵守。

各业务部门在业务推进时,根据风险和业务需求,自行制定和发布四级文件,促进业务的安全开展。

制度文件图:制度文件示例

 

加快技术智能化推进落实

技术不是万能的,但是没有技术却是万万不能的。我们已经进入了大数据时代,在云安全、大数据安全、物联网安全、工业互联网安全、智慧城市安全等新安全的需求下,传统的网络边界被打破,现有的技术和管理已无法满足其业务的安全需求,面临安全的新态势、新要求,在继续做好业务安全的基础之上,通过智能化管理平台,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。

数据安全生命周期图:数据安全生命周期管理架构

 

抓好常态化的教育培训

俗话说:“成功的奥秘第一靠人,第二靠人,第三还是靠人”,人在数据安全管理中是关键因素,也是最不可控的因素。企业可以通过例行化、常态化、系统化的安全意识教育来提升全体员工的安全意识,使员工对安全要求牢记在心,并形成良好的人员操作习惯。

 

我们可以通过多种形式的教育培训:一是借助企业各类平台,如邮件系统、墙面海报、电视等进行宣传,二是组织专题信息安全意识培训,如新员工培训、专题讨论会等。三是借助外力组织全公司的安全宣传周活动等形式,全面提升员工安全意识。

培训内容示例图:培训内容示例

 

加强数据安全的监督检查

监督检查是验证企业数据安全管理工作成果的重要抓手,通过安全检查,一是可了解安全和业务是否匹配,是否阻碍业务开展,是否形同虚设。二是可及时发现业务的风险和隐患,提出改进要求。三是以查代训,提升员工对数据安全的重视程度。

 

在技术方面,安全部门也可以主动发起模拟钓鱼邮件攻击,通过实战来验证员工安全意识状态,检查结果全员公布,警钟长鸣。

监察内容实力图:监督检查内容示例

 

优化安全运营的防控体系

安全运营不可一蹴而成,要和企业的各阶段的安全建设相匹配,分阶段实施:

• 第一阶段是安全基础设施建设,具备基本检测和防御能力,管理以补齐安全能力为主。

• 第二阶段通过搭建安全团队,完善安全系统建设,具备掌握系统或工具的使用方法,实现被动防御的能力,形成初步安全运营能力。

• 第三阶段对专职人员进行技能培训、攻防演练等高阶训练,不断提升安全团队的能力。通过建设大数据态势感知平台,对攻击行为进行自学习和自识别,实现主动防御,并具备安全威慑和反制能力。

 

在整体安全运营中,可参照PDCA模型循序渐进,通过对安全组织、制度、技术、培训、检查等各子模块的不断研究、建设、服务和优化,形成一个完整的PDCA循环体系,以全面提升企业数据安全管理能力。

安全运营图:安全运营示例

 

作为新安全领域的2024新奥门资料,以“助力安全中国、助推数字经济”为使命,为客户提供专业安全产品和安全服务,13年以来深耕网络和信息安全领域。在本轮的数字经济大潮中,我们将和行业同仁一道为中国数字经济发展赋能,共同筑起信息安全的新“长城”。

关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
2024新奥门资料联系方式