《數據安全法》重點解讀
責編:gltian |2021-07-05 11:17:26
近幾年《中華人民共和國網絡安全法》、《數據安全法》、《個人信息保護法》等國家法律法規的公開,標志著網絡安全上升到國家層面,事關國家安全與國計民生。
2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過《數據安全法》三審稿,該法將于2021年9月1日起正式施行,本文將對《數據安全法》的重點條款進行解讀。
第一章 第五條 中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。
第一章 第六條 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。
統籌協調網絡數據安全和相關監管工作由國家網信部門依照本法和有關法律、行政法規的規定執行。
《數據安全法》作為數據安全領域的最高法,與2017年6月1日起施行的《網絡安全法》一起補充了《國家安全法》框架下的安全治理法律體系,更全面地保障了國家安全在各行業、各領域有法可依。
第一章 第十條 相關行業組織按照章程,依法制定數據安全行為規范和團體標準,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
第二章 第十六條 國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
第二章 第十七條 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。
第三章 第二十一條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,需實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
第三章 第二十三條 國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。
第三章 第二十四條 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。
《數據安全法》提出建立數據安全風險評估、安全事件報告制度、監測預警機制、應急處置機制和安全審查等制度,有望在后期逐步推出具體機制體制的主管機構、適用范圍、評估審查模式等配套制度。
第三章 第二十五條 國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。
第三章 第二十六條 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
在國際競爭逐步蔓延到數據、網絡領域后,各國之間的摩擦頻發。2020 年8月,美國以保護國家安全為由,要求字節跳動出售TikTok應用程序及業務。美國對 TikTok 的封殺反映了《外國投資審查現代化法》對涉及美國公民敏感信息和來自于特殊國家投資項目嚴加審查的立法和執法態度。我國《數據安全法》一方面明確維護國家安全和利益、履行國際義務可作為禁止相關數據出口的合法依據,另一方面明確了對外國在數據領域的投資、貿易歧視可采取對等反制措施的立法主張,充分體現了我國在網絡數據空間主張數據主權的立法思想。
第四章 第二十七條 開展數據處理活動應當依照法律、法規的規定,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
第四章 第三十條 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。
第四章 第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
《數據安全法》明確了開展數據處理活動的市場參與者應當建立完善的數據安全管理制度、進行安全教育培訓、風險監測和報告,采用技術手段落實內部制度的規定。因此,數據安全合規制度的建設已成為企業應當履行的法律義務。《數據安全法》延續《網絡安全法》的規定,對重要數據提出更高的數據保護要求,具體的法律義務包括明確數據安全負責人和管理機構、開展風險評估并報送報告、符合數據出境安全管理要求等。
《數據安全法》也在法律責任的部分明確了不履行第二十七、二十九、三十條規定的數據安全保護義務、尚未造成數據泄露等后果的,主管部門也可以采取責令改正、警告、罰款等行政處罰措施。在相關制度不健全,且拒不改正或造成大量數據泄露等嚴重后果的,主管部門則可以責令暫停相關業務、停業整頓、吊銷許可證或營業執照和處以罰款。
第四章 第三十三條 從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。
第五章 第三十四條 法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。
《數據安全法》特別對從事數據交易中介服務的市場參與者提出額外的安全保護要求。就數據交易中介服務本身而言,《數據安全法》尚未給出明確的范圍,相關市場參與者可參考《數據交易服務安全要求》中“幫助數據需方和供方完成數據交易的活動”對自身的業務屬性進行定位。
數據安全泄露竊取日益嚴重的信息化時代,強有力的數據安全的防護和治理是不容忽視的重中之重。未來智安NDR,XDR聯動可通過監測漏洞,防護漏洞,防止用戶服務器信息泄露,防止他人利用漏洞竊取用戶服務器數據,從而達到保護用戶服務器數據安全的目的。
來源:安全客