2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過了《數據安全法》,該法律是數據領域的基礎性法律,也是國家安全領域里一部里程碑式的法律,將于2021年9月1日起正式施行。
數據安全一直是信息安全的重中之重,隨著國內外數據安全領域安全事故的不斷出現,數據安全立法已經迫在眉睫。目前歐盟通過GDRP《通用數據保護條例》嚴格管理數據安全領域侵權行為,是目前歐盟最嚴格的跨區管理條例。美國各州也紛紛立法對數據安全予以保護并成立了在線隱私聯盟,積極推進隱私認證管理。
《中華人民共和國數據安全法》的出臺,標志著在我國在數據安全領域具有了擁有法律效力支撐的文件,數據安全被提升至前所未有的法律高度。
下文我們就法律正文進行要點分析,討論該法律的出臺對信息廠商、國家機關、監管機構、行業部門、組織及個人帶來了哪些影響。
01
數據安全被提升至國家戰略層級
【第四條】 維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
【第五條】 中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。
【第二十二條】 國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。
【第二十三條】 國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。
【第二十四條】 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
【關注點】
l 提出國家數據安全概念;
l 建立國家數據安全工作協調機制;
l 建立國家級數據安全態勢感知系統;
l 建立國家級數據安全應急處置機制。
02
國家明確支持數據安全產業建設
【第十四條】 國家實施大數據戰略,推進數據基礎設施建設,鼓勵和支持數據在各行業、各領域的創新應用。
省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃,并根據需要制定數字經濟發展規劃。
【第十六條】 國家支持數據開發利用和數據安全技術研究,鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新,培育、發展數據開發利用和數據安全產品、產業體系。
【第十七條】 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。
【第十八條】 國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。
【第二十條】 國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓,采取多種方式培養數據開發利用技術和數據安全專業人才,促進人才交流。
【關注點】
l 國家支持大數據戰略及其基礎設施建設;
l 國家支持數據創新與應用;
l 省級以上人民政府應制定數字經濟發展規劃;
l 國家支持數據安全產品開發;
l 國家支持數據安全體系建設;
l 國家支持數據安全檢測認證及風險評估;
l 國家支持數據安全人才培訓。
03
責任分管原則
【第六條】 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。
【第二十七條】 重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
【關注點】
l 各行業、各部門分管本地區、本部門數據安全工作;
l 公安機關、國家安全機關監督執法;
l 網信辦統籌督導;
l 重要數據處理者明確數據安全責任人。
04
數據安全分級
【第二十一條】 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
【要點】
l 建立數據分級制度;
l 重點行業數據保護目錄。
05
出口管制及對等制裁
【第二十五條】 國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。
【第二十六條】 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。
【要點】
l 核心數據出口管制;
l 對于其他國家無理的數據歧視或限制措施,可以采取對等制裁措施。
06
明確各主體保護義務
【第二十七條】 開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
【第二十八條】 開展數據處理活動以及研究開發數據新技術,應當有利于促進經濟社會發展,增進人民福祉,符合社會公德和倫理。
【第二十九條】 開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。
【第三十條】 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。
【第三十三條】 從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。
【第三十五條】 公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批準手續,依法進行,有關組織、個人應當予以配合。
【要點】
l 普通數據處理及保護者需建立數據保護制度、開展安全培訓、落實責任人、積極開展保護工作,同時需定期對數據風險進行監測、及時補救數據泄露風險漏洞、發生數據安全事故及時上報主管部門;
l 重要數據保護者需定期對數據安全風險進行評估并上報主管部門,嚴控重要信息出入境;
l 數據交易平臺需留存數據來源、交易者身份及交易記錄;
l 執法機關獲取數據需依據法律規定嚴格審批,有關組織個人應予以配合。
07
政務數據安全與數據開放
【第三十七條】 國家大力推進電子政務建設,提高政務數據的科學性、準確性、時效性,提升運用數據服務經濟社會發展的能力。
【第三十八條】 國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供。
【第四十一條】 國家機關應當遵循公正、公平、便民的原則,按照規定及時、準確地公開政務數據。依法不予公開的除外。
【第四十二條】 國家制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺,推動政務數據開放利用。
【要點】
l 大力推進電子政務;
l 推薦政務數據共享;
l 保護個人隱私數據和商業數據;
l 及時準確公開必要的政務數據;
l 政務數據開放目錄。
08
違規處置
【法律章節略】
【要點】
l 督導、檢查發現問題需及時整改,可處以警告及低額罰款;
l 對拒不履行整改責任的團體及責任人處以高額罰款;
l 違規對外提供數據處以警告或罰款處罰,對于造成嚴重后果的處以實體及責任人停業整頓、吊銷執照、高額罰款等處罰;
l 履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的,依法給予處分。
09
總結
通過對《數據安全法》的分析我們發現,這部法律明確提升了數據安全的地位,明確了與數據安全相關的產業建設的重要性,將數據安全提升至前所未有的高度。同時一系列的國家級基礎設施建設及相關保障產業的升級,為信息安全行業注入了一劑強心針,為信息安全產品、方案、配套制度的發展更是提供了相當有利的政策支撐環境。
愛加密專注于移動應用安全領域多年,積累了豐富的產品研發、解決方案、安全服務等實戰經驗。不僅擁有覆蓋移動應用全生命周期的安全防護、安全檢測、安全管理、業務運營、威脅感知、安全監管、安全服務七大產品體系,更是致力于移動應用個人信息安全數據的保護與生態鏈的構建。
未來,愛加密將持續關注、緊跟國家政策,通過強大的自主核心研發技術,加強與各監管機構、企業單位的合作,幫助實現移動應用安全能力的穩步提升和產業的健康發展,為國家、為企業、為廣大用戶移動應用安全保駕護航。
