网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


认真贯彻《数据安全法》依法加强数据合规治理

2021-08-13 10:58 推荐: 浏览: 21 字号:

摘要: 6月10日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),该法将于2021年9月1日起施行。《数据安全法》作为我国数据安全领域的基础性法律,明确了数据安全领域内治理体系的顶层设计,通过规制数...

6月10日,第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),该法将于2021年9月1日起施行。《数据安全法》作为我国数据安全领域的基础性法律,明确了数据安全领域内治理体系的顶层设计,通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全,引领和促进数据的开发利用,要求企业强化依法合规建设,对运营商提出更高的数据合规要求。

明确界定“数据”及“数据处理”

《数据安全法》第三条规定:“本法所称数据,是指任何以电子或者非电子形式对信息的记录。”该法对于“数据”进行了全面界定,信息记载形式的全覆盖,将电子及其他记录信息的形式统一纳入数据安全法的规制,有利于法律执行的统一性,符合数字化时代的信息安全要求。除了《网络安全法》所界定的“网络数据”外,还将“其他方式对信息的记录”纳入了数据范畴,纸质的档案信息以及其他书面形式对信息所作的记录也属于数据。“数据”的内涵与此前的法律法规及有关政策的界定并不完全等同。《数据安全法》对于“数据处理”的界定,则包括数据的收集、存储、使用、加工、传输、提供、公开等,形成了对数据全生命周期的覆盖。

明确数据安全保护义务

《网络安全法》第二十一条明确国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改等。《网络安全法》第四十条至第四十四条规定,通过网络收集、存储、传输、处理和产生的个人信息,需要尊重个人的同意权、知情权、选择权、更正权、删除权等权利,整合并扩展了我国现有法律中关于个人信息保护的主要内容,《网络安全法》第四十条明确将收集和使用个人信息的网络运营者确定为个人信息保护的责任主体。

《数据安全法》专设一章《数据安全保护义务》从第二十七条到第三十六条详尽规定了数据安全保护义务。

数据分类分级与数据保护制度

《数据安全法》中明确规定,由国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。数据分类,是指按数据的来源、内容、用途进行划分。数据分级,是指按数据的重要程度进行划分。

《网络安全法》首次提出“重要数据”概念,并对重要数据的分类保护以及出境做出规定,明确网络运营者应“采取数据分类、重要数据备份和加密等措施”,需要企业重视保护制度的修订和调整。《数据安全法》将数据分类分级保护制度列为国家层面制度,在国家层面制定的重要数据目录指导下,运营商需要制定重要数据的具体目录。数据分类分级保护制度与数据出境、数据安全评估制度密切相关,运营商应当密切关注国家层面重要数据目录分类分级保护具体目录的制定,对本企业处理的数据采取相应合规的保护措施。

数据安全审查和风险评估制度

《数据安全法》第二十四条规定了数据安全审查制度,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。2020年6月1日起实施的《网络安全审查办法》,确立了网络安全审查制度,规定了关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。数据安全审查制度将数据活动对国家安全的影响作为规制目标,要求运营商在从事数据活动时增强依法合规意识,首先需要维护国家安全。

《数据安全法》还建立了数据安全风险评估、报告、信息共享、监测预警和应急处置机制,通过对数据安全风险信息的获取、分析、研判、预警以及数据安全事件发生后的应急处置,实现数据安全事前、事中和事后的全流程保障。《数据安全法》第三十条规定:“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。”明确运营商无论重要数据处于收集、存储、使用、加工、传输、提供、公开等环节,只要其数据处理活动涉及重要数据,都需要进行风险评估,并按照规定将评估报告报送给主管部门。可见,实施重要数据风险评估已成为运营商合规运营的强制要求。

确立数据交易制度推进数据流动

数据是数字经济社会的重要生产要素,数据交易则是满足数据供给和需要的最主要方式,明确数据交易的法律地位,是满足现实需求、助力数字经济发展的重要表现,是当前数据交易发展的制度基础。《数据安全法》第十九条规定国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。《数据安全法》第三十三条还规定了数据交易中介服务机构的主要义务及提供交易中介服务的规则,有利于在保障安全的基础上促进数据有序流动,激励运营商主动参与数据交易活动,促进大数据产业的健康发展。

严格数据出境管理

《数据安全法》明显加强了对向境外司法或执法机构提供存储于中国境内数据的监管,明确提出与数据跨境流动相关出口管制、数据相关反制措施、跨境数据执法的报批制度。主要包括三个方面:

一是重要数据出境评估制度。《数据安全法》第三十一条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”

二是数据出口管制措施。《数据安全法》第二十五条规定了数据出口管制制度。该制度不仅仅是针对重要数据,而是针对任何数据类型。该条规定:“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。”

三是司法执法活动涉及的数据出境管理制度。在数据出境方面,需要重点关注司法及执法环节涉及的数据出境,针对向外国司法或者执法机构提供数据的行为,无论是否属于重要数据,均需要经过主管机关批准。向境外司法与执法机构提供境内存储数据的,均须经过主管机关批准。

运营商须加强数据合规治理

随着《数据安全法》的生效,《个人信息保护法》以及其他与网络安全、信息安全、数据安全、数据合规、个人信息保护相关的规章、监管规则陆续出台,将给运营商提出更高的数据合规治理要求。

明确企业数据合规主体责任。运营商需要建设更为全面、精细的合规风控体系,按照法律规制修改完善数据处理业务流程,理顺企业数据安全部门、网络安全部门、数据合规重要岗位、法务机构等部门和主体业务的关系,关键在于定岗定人、定岗定责,建立清晰、明确的业务边界与主体责任配置。

重视相关制度流程的整改。针对《数据安全法》的具体制度,结合《网络安全法》《个人信息保护法(草案二审稿)》及其他法律草案、监管规则征求意见稿,对潜在的数据合规风险进行全面梳理。对于《数据安全法》及其他法律法规已经明确规定的内容,发现相关制度规定和业务流程及合同条款存在问题时应当尽快进行整改。

合规体系建设需要适应法律的变化。对于有关法律草案有界定,但尚未生效,且通过其他法律法规、规则无法进行合规风险判断的内容,需要经过论证做出具有前瞻性的整改进程安排。密切关注立法动态,运营商应将法律、法规、规则更新纳入企业数据风险治理的常规监测机制中,使合规体系更好地适应法律的变化,有针对性地采取措施防范数据安全法律风险,助推企业数字化转型和高质量发展。

来源:人民邮电报 作者:薛兴华

联系站长租广告位!

中国首席信息安全官