《中華人民共和國資料安全法 (草案) 》解讀

綠盟科技發表於2020-07-06

《中華人民共和國資料安全法 (草案) 》解讀

《中華人民共和國資料安全法》是資料自由的守護神

本法按照總體國家安全觀的要求,明確資料安全主管機構的監管職責,建立建全資料安全協同治理體系,提高資料安全保障能力,促進資料出境安全和自由流動,讓資料安全有法可依、有章可循,為數字化經濟的安全健康發展提供了有力支撐。

為了能夠更好的理解法案條款,落地資料安全建設思路,綠盟科技對《中華人民共和國資料安全法 (草案) 》作出解讀,希望與廣大安全從業者互相交流、共同探討資料安全的最佳實踐。

《中華人民共和國資料安全法 (草案) 》解讀如下:

第一章 總則

本法對資料、資料活動、資料安全給出了明確的定義,從總體國家安全觀的視角提出要求,建立建全資料安全協同治理體系,提高資料安全保障能力,促進資料開發利用,保護公民、組織的合法權益,維護國家主權、安全和發展利益。

法律適用

• 在中華人民共和國境內開展資料活動,適用本法。

• 中華人民共和國境外的組織、個人開展資料活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。

宗旨

• 國家保護公民、組織與資料有關的權益

• 鼓勵資料合理有效利用

• 保障資料依法有序自由流動

• 促進以資料為關鍵要素的經濟發展

• 增進人民福祉

責任分工與權力

• 本法對各主管部門做個責任分工,涉及中央國家安全領導機構、各地方、各行業主管部門,還包括公安機關和國家網信部門。

• 本法給予組織和個人對違反本法規定的行為向有關主管部門投訴、舉報的權力。

第二章 資料安全與發展

總體原則

第十二條,國家堅持維護資料安全和促進資料開發利用並重,以資料開發利用和產業發展促進資料安全,以資料安全保障資料開發利用和產業發展。

戰略要求

1)   國家實施大資料戰略,促進數字經濟發展

2)   培育、發展資料開發利用和資料安全產品和產業體系

3)   推進資料開發利用資料和資料安全標準體系建設

4)   促進資料安全監測評估、認證等服務的發展

5)   建立健全資料交易管理制度

6)   培育專業人才,促進人才交流

第三章 資料安全制度

資料分類分級與重點保護

第十九條

• 國家根據資料在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩漏或者非法獲取、非法利用,對國家安全、公共利益或公民、組織合法權益造成的危害程度,對資料實行分類分級保護。

• 各地區、各部門應當按照國家有關規定,確定本地區、本部門、本行業重要資料保護目錄,對列入目錄的資料進行重點保護。

解讀:

• 資料分類分級尤為重要,是資料安全治理的第一步,可以透過專業人員+工具的形式完成對資料梳理,全面的瞭解和掌握資料的類別和影響程度,才能更準確的形成重要資料保護目錄,並做到針對性的重點保護。

------------------------------------

資料安全運營

第二十條 、第二十一條

• 建立集中統一、高效權威的資料安全監督管理體系,包括風險評估、報告、資訊共享、監測預警、分析、研判,以及應急處置。

解讀:

• 資料安全監督運營管理,已資料安全為中心,利用多種資料安全技術,從監測、防控、管理的多維角度進行資料安全監督,7*24小時持續運營,保障資料活動的安全。

資料安全審查與管制

第二十二條 、第二十三條、第二十四條

• 針對資料活動建立資料安全審查制度,屬於管制物項的資料依法實施出口管制,當資料和資料開發利用技術相關的投資和貿易受到其他國家歧視性限制或禁止等措施時,實行外交反制。

解讀:

• 資料安全審計、出口管制與外交反制是國家對資料利益的保障,審計取證是必要的手段。

第四章 資料安全保護義務

資料安全保障措施

開展資料活動的安全要求:

• 收集資料必須採取合法、正當的方式,不得非法獲取,對收集使用資料的不得超過其目標、範圍的限制,開展有利於發展的有促進意義的資料活動及新技術研究開發。

第二十五條 明確了開展資料活動應當採取的資料安全保障措施,以下四個層面

• 建立健全全流程資料安全管理制度

• 組織開展資料安全教育培訓

• 採取相應的技術措施和其他必要措施

• 重要資料的處理者應落實資料安全保護責任

資料安全風險評估與身份核驗

第二十七條 第二十八條

• 加強風險監測,發現資料安全缺陷、漏洞等風險,並作事件通報。

• 重要資料的處理者應定期對其資料活動做風險評估,產出報告,提出整改措施。

第三十條 第三十一條

• 對資料交易中介提出了資料來源和交易雙方身份稽核的要求,並做好交易記錄。

• 對提供線上資料處理的經營者,提出應取得許可證和備案。

解讀

• 依據GB/T37988-2019《資料安全能力成熟度模型》,在結合具體業務場景,對資料生存週期做安全風險評估。

資料安全調取審批

第三十二條 第三十三條

• 針對公安機關、國家安全機關調查取證調取資料,以及境外機構調取境內資料,均需要經過嚴格的審批手續,依法進行。

解讀:

• 審批過程嚴格記錄,留作證據保留,可按等級保護2.0要求執行。

第五章 政務資料安全與開放

國家推進政務資料開放利用

第三十四條 第三十九條

• 提高政務資料的科學性,準確性,時效性

• 提升運用資料服務經濟社會發展

• 制定政務資料開放目錄

•  構建統一規範,互聯互通,安全可控的政務資料開放平臺

解讀

• 政務資料開放共享的安全保障

• 底層的大資料平臺安全(環境安全、儲存安全、調取安全)

• 交換共享邊界安全(訪問安全、交換安全、處理安全)

• 資料運維安全(訪問安全、處理安全)

對國家機關的要求

第三十六條 第三十七條 第三十八條

• 收集資料和使用資料應合法合規

• 建立健全資料安全管理制度,落實資料安全保護責任

• 依據公正、公平、便民的原則,及時、準確的公開政務資料

• 委託儲存、加工、共享政務資料,需審批,並對接收方進行監督

解讀:

• 政務資料開放共享的管理保障

• 收集和適用的合規監察(APP、WEB、大資料平臺等)

• 落實資料責任制,政務資料讓人們更安全,建立與公民的信任關係

• 第三方委託安全(審查、監督,建立信任關係)

第六章 法律責任

本章主要對國家機關和國家工作人員,以及其他違反本法規定的,提出不同的處罰措施。

第四十一條

• 主管部門對資料活動存在較大安全風險的組織和個人進行約談,其需按照要求進行整改。

第四十二條

• 針對組織和個人不履行資料保護義務的處罰措施,包括警告、整改、罰款。

第四十三條

• 針對資料交易中介機構不履行資料保護義務的處罰措施,包括整改、沒收、罰款、吊銷相關許可證或營業執照。

第四十四條

• 未取得許可或者備案的,擅自從事相關資料業務,予以處罰,包括改正或取締、沒收、罰款。

第七章 附則

國家秘密和軍事資料不在此法範圍內

• 國家秘密,適用《中華人民共和國保守國家秘密法》等

• 軍事資料,由中央軍事委員會制定資料安全保護辦法

相關文章