解读|《数据安全法(草案)》到底说了什么?这30个要点必知!(附解决方案)
引言
数据安全法(草案)
随着全球数字经济的快速展,当前对数据掌控和利用能力,已成为衡量国家之间竞争力的核心要素。今年4月份,中央首次明确了将数据作为五大生产要素之一,加快对数据要素市场的培养,并通过新基建等一系列措施进行政策的落地。面对数字经济迎来新的发展机遇同时,国内外数据安全的形势不容乐观,根据公开报道,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%。数据泄漏事件影响大、损失重。
数据安全是数字经济的零因子,零乘以亿万等于零。2020年6月28日,第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法(草案)》(以下简称“数安法”)。7月3日在中国人大网公布,向社会征求意见,通过立法实现数据安全与共享的平衡发展。
外力驱动和内部需求,促使数安法快速落地
外力驱动
2018年3月23日,美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。
面对欧美国家将数据主权从物理边界转向技术边界,将会直接影响到第三方国家的主权,在数据跨境流动愈加频繁的今天,必须尽快完善我国相关法律法规,保护我国国家利益、跨国公司以及公民个人利益。
内部需求
当前全球经济传统经济增长缓慢,尤其上半年全球“新冠疫情”给经济带来了沉重的打击。迫切需要通过新的经济增长点拉动内需,增加就业,而数字经济正是切入点和发动机。国家将发展数字经济提升到国战略高度则水到渠成。
通过近年来数字经济增速也证明数字经济发展空间巨大,通过信息院的调研报告,发现数字经济增长显著高于同期的GDP,是带动国民经济发展的关键力量。2019年我国数字经济规模已经达到35.8万亿元,占GDP比重达到36.2%。
图:我国数字产业规模
在2020年初,各省根据中央要求,印发“关于支持数字经济发展若干政策实施细则”等相关通知,全面推进数字设施化、设施数字化的进程,全力打造数字经济。因此,亟需一部国家的基本法,为中国数字经济的安全发展保驾护航。
上述背景下数安法诞生,恰逢其时,维护了我国的数据主权,保障了国家的安全、促进了经济健康发展。
数安法要点解读和提炼
数安法的发布标志着我国将数据治理的政策要求,通过法律文本的形式进行了明确和强化。本法一共七章五十一条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。
图:数安法七个章节
我们对数安法进行深入解读后,为大家提炼出30个要点。
总则的要点
1) 适用范围:在中国境内开展数据活动的组织和个人。
2) 保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
3) 责任任务:工业、电信、教育等行业和地方各部门承担本行业、本领域的数据安全监、管职责。网信部门负责统筹协调和监管。
数据安全与发展要点
4) 发展原则:维护数据安全和促进数据开发并重发展。
5) 战略要求:省级以上人民政府应制定数字经济发展规划。
6) 标准体系:国家主管部门负责相关标准和体系的制定。
7) 评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。
8) 人才培养:要釆取多种方式培养数据开发利用技术和数据安全专业人才。
数据安全制度要点
9) 分级分类:数据要求实行分级分类,形成数据保护目录。
10) 风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
11) 应急处置:要建立数据安全应急处置机制。
12) 安全审查:要建立数据安全审查制度。
13) 出口管制:对属于管制物项的数据依法实施出口管制。
数据安全保护义务要点
14) 管理制度:建立健全全流程数据安全管理制度,组织开展教育培训。
15) 风险监测:对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件要按规定上报。
16) 风险评估:定期开展风险评估并上报风评报告。
17) 数据收集:任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他
非法方式获取数据。
18) 数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
19) 经营备案:数据服务经营者取得经营业务许可或备案。
20) 配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,须先审核。
政务数据安全与开放要点
21) 管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。
22) 存储加工:委托他人存储、加工或提供政务数据,要先审批,并做好监督。
23) 数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。
法律责任要点
24) 未釆取必要的安全措施: 责令改正和警告,给予单位1万至10万元罚款,给予负责人5000至5万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位10万至100万元罚款,给予负责人1万至10万元罚款。
25) 交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得的给予10万至100万元罚款,或吊销营业执照;对主管和直接责任人1万至10万元罚款。
26) 无证照经营:取缔,对违法所得进行一至十倍的罚款。没有违法所得,给予10万至100万元罚款,对主管和直接责任人处1万至10万元罚款。
27) 国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。
28) 国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,未构成犯罪的给予处分。
29) 给他人造成损害:依法承担民事责任。
30) 涉及国家秘密和军事秘密数据,依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。
数安法是继《网络安全法》提出数据的概念后,国家在数据安全立法层面的一个重大里程碑,注定了是中国数字经济高速发展的压舱石和定海神针。
企业数据安全治理的几点建议
数安法作为数据安全管理的基本大法,给我们指明了方向和提供法律保障。随着产业的扩大和数据种类的日益丰富,当前各行各业都在探索如何安全、高效的做好本行业数据安全的治理,由于数据类型的复杂性和应用场景的多样性,目前为止,还没有行业通用的数据安全治理标准和模型。
我们通过各类数据泄密事件分析,发现大部分数据安全事件是由于内部管理不到位,由内部人员引发。
图:数据泄漏事件分布图
如何建立一个以预防、发现、消除泄密隐患为主的数据安全管理体系?我们建议从组织架构、规章制度、技术防护、监督检查、教育培训、运行维护六个方面入手,将数据安全管理和技术防护渗透到业务流程的各个环节,一旦发生泄漏情况,以责任人为点,以业务流程为线,做到在最短时间内找到风险点并加以补救。
由于数据安全治理是一个长期的、系统化工程,本着三分技术、七分管理的原则,建议企业从六个方面进行规划和建设。
图:数据安全管理架构图
建立健全管理组织机构
企业数据安全管理的成败,主要取决主要领导是否重视,是否建立了一套完善数据安全管理组织,这是数据安全的重要保障。要形成“管理层重视、一把手负责、全员参与”的管理模式。
图:安全组织架构搭建建议
同时,建议明确部门和相关人员职责,要责任到人。
图:部门职责示例
制定落实安全制度体系
建立健全完善的企业安全规章制度,保障数据安全管理体系的有效运行,制度包括策略、标准、基线、流程和操作指南等,分级别进行管理。制度中的要求和标准或流程,可以通过培训,让每位员工知悉,并自觉遵守。
各业务部门在业务推进时,根据风险和业务需求,自行制定和发布四级文件,促进业务的安全开展。
图:制度文件示例
加快技术智能化推进落实
技术不是万能的,但是没有技术却是万万不能的。我们已经进入了大数据时代,在云安全、大数据安全、物联网安全、工业互联网安全、智慧城市安全等新安全的需求下,传统的网络边界被打破,现有的技术和管理已无法满足其业务的安全需求,面临安全的新态势、新要求,在继续做好业务安全的基础之上,通过智能化管理平台,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。
图:数据安全生命周期管理架构
抓好常态化的教育培训
俗话说:“成功的奥秘第一靠人,第二靠人,第三还是靠人”,人在数据安全管理中是关键因素,也是最不可控的因素。企业可以通过例行化、常态化、系统化的安全意识教育来提升全体员工的安全意识,使员工对安全要求牢记在心,并形成良好的人员操作习惯。
我们可以通过多种形式的教育培训:一是借助企业各类平台,如邮件系统、墙面海报、电视等进行宣传,二是组织专题信息安全意识培训,如新员工培训、专题讨论会等。三是借助外力组织全公司的安全宣传周活动等形式,全面提升员工安全意识。
图:培训内容示例
加强数据安全的监督检查
监督检查是验证企业数据安全管理工作成果的重要抓手,通过安全检查,一是可了解安全和业务是否匹配,是否阻碍业务开展,是否形同虚设。二是可及时发现业务的风险和隐患,提出改进要求。三是以查代训,提升员工对数据安全的重视程度。
在技术方面,安全部门也可以主动发起模拟钓鱼邮件攻击,通过实战来验证员工安全意识状态,检查结果全员公布,警钟长鸣。
图:监督检查内容示例
优化安全运营的防控体系
安全运营不可一蹴而成,要和企业的各阶段的安全建设相匹配,分阶段实施:
• 第一阶段是安全基础设施建设,具备基本检测和防御能力,管理以补齐安全能力为主。
• 第二阶段通过搭建安全团队,完善安全系统建设,具备掌握系统或工具的使用方法,实现被动防御的能力,形成初步安全运营能力。
• 第三阶段对专职人员进行技能培训、攻防演练等高阶训练,不断提升安全团队的能力。通过建设大数据态势感知平台,对攻击行为进行自学习和自识别,实现主动防御,并具备安全威慑和反制能力。
在整体安全运营中,可参照PDCA模型循序渐进,通过对安全组织、制度、技术、培训、检查等各子模块的不断研究、建设、服务和优化,形成一个完整的PDCA循环体系,以全面提升企业数据安全管理能力。
图:安全运营示例
作为新安全领域的2024新奥门资料,以“助力安全中国、助推数字经济”为使命,为客户提供专业安全产品和安全服务,13年以来深耕网络和信息安全领域。在本轮的数字经济大潮中,我们将和行业同仁一道为中国数字经济发展赋能,共同筑起信息安全的新“长城”。