解讀《資料安全法》，開啟資料安全保護“新思路”

2021年6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議透過《中華人民共和國資料安全法》（簡稱《資料安全法》）。這部法律是資料領域的基礎性法律，也是國家安全領域的一部重要法律，將於2021年9月1日起施行。

資料安全法的制定，是為了保障資料安全，促進資料開發利用，保護公民、組織的合法權益，維護國家主權、安全和發展利益。是維護國家安全的必然要求，是維護人民群眾合法權益的客觀需要，也是促進數字經濟健康發展的重要舉措。

為了能夠更好的理解《資料安全法》條款，落地資料安全建設思路，綠盟科技對《資料安全法》作出更進一步解讀，希望與廣大安全從業者互相交流、共同探討資料安全的最佳實踐。

第一章 總則

本法對資料、資料處理、資料安全給出了明確的定義，從總體國家安全觀的視角提出要求，規範資料處理活動，保障資料安全，促進資料開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益。

1、法律適用範圍：

• 在中華人民共和國境內開展資料處理活動及其安全監管，適用本法。

• 在中華人民共和國境外開展資料處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

2、責任分工與權責：

• 一統領，三監管：中央國家安全領導機構負責國家資料安全工作的決策和議事協調，研究制定、指導實施國家資料安全戰略和有關重大方針政策。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域資料安全監管職責；公安機關、國家安全機關負責各自職責範圍內承擔資料安全監管職責；國家網信部門負責統籌協調網路資料安全和相關監管工作。

• 各地區、各部門對本地區、本部門工作中收集和產生的資料及資料安全負責。

3、資料安全開展：

• 建立健全資料安全治理體系，提高資料安全保障能力。鼓勵開展資料處理活動，但不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

• 相關行業組織按照章程，依法制定資料安全行為規範和團體標準。

• 任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報，同時對投訴、舉報人的相關資訊予以保密。

第二章 資料安全與發展

1、總體原則：

國家統籌發展和安全，堅持以資料開發利用和產業發展促進資料安全，以資料安全保障資料開發利用和產業發展。

2、戰略要求：

• 國家實施大資料戰略，推進資料的創新應用，省級以上人民政府制定數字經濟發展規劃。

• 國家支援開發利用資料提升公共服務的智慧化水平，充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

• 全面加強資料開發利用，鼓勵產業發展。

• 推進資料開發利用技術和資料安全標準體系建設。

• 促進資料安全檢測評估、認證等服務的發展。

• 建立健全資料交易管理制度。

• 資料開發利用和資料安全相關教育培訓。

第十九條　國家建立健全資料交易管理制度，規範資料交易行為，培育資料交易市場。

解讀

資料交易可以促進資料的流通，擺脫“資料孤島”，發揮資料資源的經濟價值。目前，在國內資料交易還面臨著眾多安全問題和挑戰，需要規範資料資源交易行為，建立良好的資料交易秩序，促進資料交易服務參與者安全保障能力提升。

近年來，國內多地已開始率先探索大資料交易市場，如“貴陽大資料交易所”、“上海資料交易中心”、“北京國際大資料交易所”等。從交易市場化要素角度來看，其落地實施的相關配套細則並不完善，讓資料發揮作用還需設計出配套制度。

相關標準的釋出：

GB/T 37932《資訊保安技術 資料交易服務安全要求》

GB/T 36343《資訊保安技術 資料交易服務平臺 交易資料描述》

GB/T 37728《資訊科技 資料交易服務平臺 通用功能要求》

第三章 資料安全制度

1、資料分類分級與重點保護：

第二十一條

• 國家建立資料分類分級保護制度，依據危害程度，對資料實行分類分級保護。

• 各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要資料保護目錄，對列入目錄的資料進行重點保護。

解讀

資料分類分級是資料安全防護的支撐與基礎，有針對性的開展資料分級防護，從而減輕資金、人員、運維精力等綜合投入成本。根據資料在經濟社會發展中的重要程度和危害程度進行分類分級，前提是企業和組織要充分了解和掌握自身資料的類別、範圍、業務系統、業務資料流轉，才能更準確的形成重要資料保護目錄，並做到針對性的重點保護。

相關標準的釋出：

JR/T0158-2018《證券期貨業資料分類分級指南》

JR/T0197-2020《金融資料安全 資料安全分級指南》

GB/T39725-2020《資訊保安技術 健康醫療資料安全指南》

YD/T3813-2021《基礎電信企業資料分類分級方法》

2、資料安全運營：

第二十二條

• 建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制。

解讀

資料安全監督運營管理，以資料安全為中心，利用多種資料安全技術，從資產稽核、策略的最佳化、事件監測與處置等多維角度進行資料安全監督，7*24小時持續運營，保障資料活動的安全。

3、資料安全審查與管制：

第二十三條 、第二十四條、第二十五條、第二十六條

• 建立資料安全應急處置機制和資料安全審查制度。屬於管制物項的資料依法實施出口管制。在與資料和資料開發利用技術等有關的投資貿易，對中國採取歧視性的禁止、限制或者其他類似措施的，中國可以根據實際情況對該國家或者地區對等採取措施。

解讀

建立應急處置機制，旨在提升企業和組織的應急響應能力，提前發現安全隱患，及時解決問題，降低應急事件帶來得不良影響。我們可以從應急準備、監測與預警、應急處置和總結改進四個階段來建設。

資料安全審查制度，資料安全主管和監管部門，定期或不定期對各級企業和組織開展資料安全檢查工作，從而協助各級企業和組織，瞭解自身的資料安全情況，找出潛在的資料安全隱患與不足，為以後的資料安全建設提供指導性意見。

對程式原始碼、演算法等技術資料做為出口管制的範圍；針對國外敵對勢力惡意或不公平對待我國合法的資料貿易投資，可依據本法予以反制。資料安全審計、出口管制與外交反制是國家對資料利益的保障，審計取證是必要的手段。

第四章 資料安全保護義務

1、資料安全保障措施

第二十七條　

• 開展資料處理活動應當依照法律、法規的規定，建立健全全流程資料安全管理制度，組織開展資料安全教育培訓，採取相應的技術措施和其他必要措施，保障資料安全。利用網際網路等資訊網路開展資料處理活動，應當在網路安全等級保護制度的基礎上，履行上述資料安全保護義務。重要資料的處理者應當明確資料安全負責人和管理機構，落實資料安全保護責任。

解讀

依照國家法律法規及行業標準，結合企業自身的安全需求，從組織建設、人員能力、制度流程和技術工具四個維度，圍繞資料生存週期（資料採集、資料傳輸、資料儲存、資料處理、資料交換、資料銷燬）及業務風險場景，按照資產梳理、分類分級、管理流程、技術能力及持續最佳化的步驟，建設資料安全治理體系。同時定期開展資料安全教育培訓，加強全員資料安全防護意識，提升資料安全人員專業技能。

全面落實GB/T 22239《網路安全等級保護基本要求》中安全通用和安全擴充套件要求內容，做好物理環境、通訊網路、區域邊界、計算環境、管理中心等安全管理。

對相關業務系統、作業系統、資料庫、大資料元件等進行漏洞掃描，及時升級補丁或採取補救措施；充分識別風險場景，對重大安全事件，採用技術手段及時發現及時處理上報。

2、 資料安全風險評估、資料出境、資料交易、取證調取

第三十條：

• 重要資料的處理者應定期開展風險評估，並向有關主管部門報送風險評估報告。

解讀

資料安全風險評估在資訊保安風險評估的基礎上，更加重視資料資產本身的安全性，呈現出圍繞資料資產、強調資料安全業務場景的特點。

透過資料資產梳理“摸清家底”，建立資料資產清單，是資料安全風險評估的基礎，同時也是分類分級的基礎。資料安全業務場景與資料生命週期相關聯，不僅包括資料收集、傳輸、使用、儲存、交換、銷燬等過程，還包括資料的摘取、匯聚、共享外發等活動。每個資料型別都對應著多個業務場景，每個業務場景都存在著潛在的安全風險。

風險評估能夠幫助企業/組織發現自身資料安全問題和短板，明確資料安全保護需求，為建設資料安全管理和技術手段指明方向，並給出解決方案。

第五章 政務資料安全與開放

1、國家推進政務資料開放利用

第三十七條 第四十二條

• 提高政務資料的科學性，準確性，時效性

• 制定政務資料開放目錄，構建統一規範，互聯互通，安全可控的政務資料開放平臺

解讀

依照GB/T 39477《資訊保安技術 政務資訊共享 資料安全技術要求》，對政務資訊共享安全框架、資料安全技術要求、基礎設施安全技術要求三部分進行安全體系建設，增強政務資訊共享交換的資料安全保障能力。

2、對國家機關的要求

第三十八條至第四十一條

• 收集資料和使用資料應合法合規，對個人隱私、商密等資訊依法保密。

• 建立健全資料安全管理制度，落實資料安全保護責任

• 委託他人建設、維護電子政務系統，儲存、加工政務資料，受託方應當依照法律法規、合同約定履行資料安全保護義務，不得擅自留存、使用、洩露或者向他人提供政務資料。

• 依據公正、公平、便民的原則，及時、準確的公開政務資料。

解讀

• 建立資料安全管理制度，落實資料責任制。

• 採用資料來源鑑別、身份鑑別、訪問控制、資料加密、資料防洩露等技術手段，對個人隱私、商密等資料進行安全防護。

• 國家機關應對受託方定期進行監督檢查，包括但不限於受託方的資料安全管理制度、資質稽核、簽訂服務合同、保密協議等內容。同時建立資料流轉異常監測、使用者行為管控、資料外發風險告警、資料追溯等防護能力，加強受託方在資料處理、資料儲存等環節的審批。

• 受託方應定期開展安全自評估，滿足國家機關的資料安全要求。對於未履行資料安全保護義務的，按照法律法規、合同中規定予以懲罰。

第六章 法律責任

本章主要對國家機關和國家工作人員，以及其他違反本法規定的，提出不同的處罰措施。

第七章 附則

國家秘密和軍事資料不在此法範圍內

• 國家秘密，適用《中華人民共和國保守國家秘密法》等。

• 軍事資料，由中央軍事委員會制定資料安全保護辦法。

結語

《資料安全法》的出臺釋出，填補了我國在資料安全領域法律的空白，後續各行業主管和監管部門會陸續釋出資料安全相關的標準、規範，完善和細化資料安全的實施辦法與具體要求，指導企業和組織進行資料安全治理體系的建設，同時定期開展資料安全風險評估工作，排查安全隱患，及時採用資料安全技術措施保障資料安全，否則必將按照《資料安全法》依法嚴懲。

本文探討了資料安全法的內容，對重要條款進行了解讀，綠盟科技將致力於資料安全解決方案的落地，滿足各行業客戶的業務保障目標和政策合規要求，為客戶在資料安全建設的道路上保駕護航。