2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議透過《中華人民共和國資料安全法》(簡稱《資料安全法》)。這部法律是資料領域的基礎性法律,也是國家安全領域的一部重要法律,將於2021年9月1日起施行。
資料安全法的制定,是為了保障資料安全,促進資料開發利用,保護公民、組織的合法權益,維護國家主權、安全和發展利益。是維護國家安全的必然要求,是維護人民群眾合法權益的客觀需要,也是促進數字經濟健康發展的重要舉措。
為了能夠更好的理解《資料安全法》條款,落地資料安全建設思路,綠盟科技對《資料安全法》作出更進一步解讀,希望與廣大安全從業者互相交流、共同探討資料安全的最佳實踐。
第一章 總則
本法對資料、資料處理、資料安全給出了明確的定義,從總體國家安全觀的視角提出要求,規範資料處理活動,保障資料安全,促進資料開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益。
1、法律適用範圍:
• 在中華人民共和國境內開展資料處理活動及其安全監管,適用本法。
• 在中華人民共和國境外開展資料處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
2、責任分工與權責:
• 一統領,三監管:中央國家安全領導機構負責國家資料安全工作的決策和議事協調,研究制定、指導實施國家資料安全戰略和有關重大方針政策。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域資料安全監管職責;公安機關、國家安全機關負責各自職責範圍內承擔資料安全監管職責;國家網信部門負責統籌協調網路資料安全和相關監管工作。
• 各地區、各部門對本地區、本部門工作中收集和產生的資料及資料安全負責。
3、資料安全開展:
• 建立健全資料安全治理體系,提高資料安全保障能力。鼓勵開展資料處理活動,但不得危害國家安全、公共利益,不得損害個人、組織的合法權益。
• 相關行業組織按照章程,依法制定資料安全行為規範和團體標準。
• 任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報,同時對投訴、舉報人的相關資訊予以保密。
第二章 資料安全與發展
1、總體原則:
國家統籌發展和安全,堅持以資料開發利用和產業發展促進資料安全,以資料安全保障資料開發利用和產業發展。
2、戰略要求:
• 國家實施大資料戰略,推進資料的創新應用,省級以上人民政府制定數字經濟發展規劃。
• 國家支援開發利用資料提升公共服務的智慧化水平,充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
• 全面加強資料開發利用,鼓勵產業發展。
• 推進資料開發利用技術和資料安全標準體系建設。
• 促進資料安全檢測評估、認證等服務的發展。
• 建立健全資料交易管理制度。
• 資料開發利用和資料安全相關教育培訓。
第十九條 國家建立健全資料交易管理制度,規範資料交易行為,培育資料交易市場。
解讀
資料交易可以促進資料的流通,擺脫“資料孤島”,發揮資料資源的經濟價值。目前,在國內資料交易還面臨著眾多安全問題和挑戰,需要規範資料資源交易行為,建立良好的資料交易秩序,促進資料交易服務參與者安全保障能力提升。
近年來,國內多地已開始率先探索大資料交易市場,如“貴陽大資料交易所”、“上海資料交易中心”、“北京國際大資料交易所”等。從交易市場化要素角度來看,其落地實施的相關配套細則並不完善,讓資料發揮作用還需設計出配套制度。
相關標準的釋出:
GB/T 37932《資訊保安技術 資料交易服務安全要求》
GB/T 36343《資訊保安技術 資料交易服務平臺 交易資料描述》
GB/T 37728《資訊科技 資料交易服務平臺 通用功能要求》
第三章 資料安全制度
1、資料分類分級與重點保護:
第二十一條
• 國家建立資料分類分級保護制度,依據危害程度,對資料實行分類分級保護。
• 各地區、各部門應當按照國家有關規定,確定本地區、本部門、本行業重要資料保護目錄,對列入目錄的資料進行重點保護。
解讀
資料分類分級是資料安全防護的支撐與基礎,有針對性的開展資料分級防護,從而減輕資金、人員、運維精力等綜合投入成本。根據資料在經濟社會發展中的重要程度和危害程度進行分類分級,前提是企業和組織要充分了解和掌握自身資料的類別、範圍、業務系統、業務資料流轉,才能更準確的形成重要資料保護目錄,並做到針對性的重點保護。
相關標準的釋出:
JR/T0158-2018《證券期貨業資料分類分級指南》
JR/T0197-2020《金融資料安全 資料安全分級指南》
GB/T39725-2020《資訊保安技術 健康醫療資料安全指南》
YD/T3813-2021《基礎電信企業資料分類分級方法》
2、資料安全運營:
第二十二條
• 建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制。
解讀
資料安全監督運營管理,以資料安全為中心,利用多種資料安全技術,從資產稽核、策略的最佳化、事件監測與處置等多維角度進行資料安全監督,7*24小時持續運營,保障資料活動的安全。
3、資料安全審查與管制:
第二十三條 、第二十四條、第二十五條、第二十六條
• 建立資料安全應急處置機制和資料安全審查制度。屬於管制物項的資料依法實施出口管制。在與資料和資料開發利用技術等有關的投資貿易,對中國採取歧視性的禁止、限制或者其他類似措施的,中國可以根據實際情況對該國家或者地區對等採取措施。
解讀
建立應急處置機制,旨在提升企業和組織的應急響應能力,提前發現安全隱患,及時解決問題,降低應急事件帶來得不良影響。我們可以從應急準備、監測與預警、應急處置和總結改進四個階段來建設。
資料安全審查制度,資料安全主管和監管部門,定期或不定期對各級企業和組織開展資料安全檢查工作,從而協助各級企業和組織,瞭解自身的資料安全情況,找出潛在的資料安全隱患與不足,為以後的資料安全建設提供指導性意見。
對程式原始碼、演算法等技術資料做為出口管制的範圍;針對國外敵對勢力惡意或不公平對待我國合法的資料貿易投資,可依據本法予以反制。資料安全審計、出口管制與外交反制是國家對資料利益的保障,審計取證是必要的手段。
第四章 資料安全保護義務
1、資料安全保障措施
第二十七條
• 開展資料處理活動應當依照法律、法規的規定,建立健全全流程資料安全管理制度,組織開展資料安全教育培訓,採取相應的技術措施和其他必要措施,保障資料安全。利用網際網路等資訊網路開展資料處理活動,應當在網路安全等級保護制度的基礎上,履行上述資料安全保護義務。重要資料的處理者應當明確資料安全負責人和管理機構,落實資料安全保護責任。
解讀
依照國家法律法規及行業標準,結合企業自身的安全需求,從組織建設、人員能力、制度流程和技術工具四個維度,圍繞資料生存週期(資料採集、資料傳輸、資料儲存、資料處理、資料交換、資料銷燬)及業務風險場景,按照資產梳理、分類分級、管理流程、技術能力及持續最佳化的步驟,建設資料安全治理體系。同時定期開展資料安全教育培訓,加強全員資料安全防護意識,提升資料安全人員專業技能。
全面落實GB/T 22239《網路安全等級保護基本要求》中安全通用和安全擴充套件要求內容,做好物理環境、通訊網路、區域邊界、計算環境、管理中心等安全管理。
對相關業務系統、作業系統、資料庫、大資料元件等進行漏洞掃描,及時升級補丁或採取補救措施;充分識別風險場景,對重大安全事件,採用技術手段及時發現及時處理上報。
2、 資料安全風險評估、資料出境、資料交易、取證調取
第三十條:
• 重要資料的處理者應定期開展風險評估,並向有關主管部門報送風險評估報告。
解讀
資料安全風險評估在資訊保安風險評估的基礎上,更加重視資料資產本身的安全性,呈現出圍繞資料資產、強調資料安全業務場景的特點。
透過資料資產梳理“摸清家底”,建立資料資產清單,是資料安全風險評估的基礎,同時也是分類分級的基礎。資料安全業務場景與資料生命週期相關聯,不僅包括資料收集、傳輸、使用、儲存、交換、銷燬等過程,還包括資料的摘取、匯聚、共享外發等活動。每個資料型別都對應著多個業務場景,每個業務場景都存在著潛在的安全風險。
風險評估能夠幫助企業/組織發現自身資料安全問題和短板,明確資料安全保護需求,為建設資料安全管理和技術手段指明方向,並給出解決方案。
第五章 政務資料安全與開放
1、國家推進政務資料開放利用
第三十七條 第四十二條
• 提高政務資料的科學性,準確性,時效性
• 制定政務資料開放目錄,構建統一規範,互聯互通,安全可控的政務資料開放平臺
解讀
依照GB/T 39477《資訊保安技術 政務資訊共享 資料安全技術要求》,對政務資訊共享安全框架、資料安全技術要求、基礎設施安全技術要求三部分進行安全體系建設,增強政務資訊共享交換的資料安全保障能力。
2、對國家機關的要求
第三十八條至第四十一條
• 收集資料和使用資料應合法合規,對個人隱私、商密等資訊依法保密。
• 建立健全資料安全管理制度,落實資料安全保護責任
• 委託他人建設、維護電子政務系統,儲存、加工政務資料,受託方應當依照法律法規、合同約定履行資料安全保護義務,不得擅自留存、使用、洩露或者向他人提供政務資料。
• 依據公正、公平、便民的原則,及時、準確的公開政務資料。
解讀
• 建立資料安全管理制度,落實資料責任制。
• 採用資料來源鑑別、身份鑑別、訪問控制、資料加密、資料防洩露等技術手段,對個人隱私、商密等資料進行安全防護。
• 國家機關應對受託方定期進行監督檢查,包括但不限於受託方的資料安全管理制度、資質稽核、簽訂服務合同、保密協議等內容。同時建立資料流轉異常監測、使用者行為管控、資料外發風險告警、資料追溯等防護能力,加強受託方在資料處理、資料儲存等環節的審批。
• 受託方應定期開展安全自評估,滿足國家機關的資料安全要求。對於未履行資料安全保護義務的,按照法律法規、合同中規定予以懲罰。
第六章 法律責任
本章主要對國家機關和國家工作人員,以及其他違反本法規定的,提出不同的處罰措施。
第七章 附則
國家秘密和軍事資料不在此法範圍內
• 國家秘密,適用《中華人民共和國保守國家秘密法》等。
• 軍事資料,由中央軍事委員會制定資料安全保護辦法。
結語
《資料安全法》的出臺釋出,填補了我國在資料安全領域法律的空白,後續各行業主管和監管部門會陸續釋出資料安全相關的標準、規範,完善和細化資料安全的實施辦法與具體要求,指導企業和組織進行資料安全治理體系的建設,同時定期開展資料安全風險評估工作,排查安全隱患,及時採用資料安全技術措施保障資料安全,否則必將按照《資料安全法》依法嚴懲。
本文探討了資料安全法的內容,對重要條款進行了解讀,綠盟科技將致力於資料安全解決方案的落地,滿足各行業客戶的業務保障目標和政策合規要求,為客戶在資料安全建設的道路上保駕護航。