2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《数据安全法》,该法律是数据领域的基础性法律,也是国家安全领域里一部里程碑式的法律,将于2021年9月1日起正式施行。
数据安全一直是信息安全的重中之重,随着国内外数据安全领域安全事故的不断出现,数据安全立法已经迫在眉睫。目前欧盟通过GDRP《通用数据保护条例》严格管理数据安全领域侵权行为,是目前欧盟最严格的跨区管理条例。美国各州也纷纷立法对数据安全予以保护并成立了在线隐私联盟,积极推进隐私认证管理。
《中华人民共和国数据安全法》的出台,标志着在我国在数据安全领域具有了拥有法律效力支撑的文件,数据安全被提升至前所未有的法律高度。
下文我们就法律正文进行要点分析,讨论该法律的出台对信息厂商、国家机关、监管机构、行业部门、组织及个人带来了哪些影响。
01
数据安全被提升至国家战略层级
【第四条】 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
【第五条】 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
【第二十二条】 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
【第二十三条】 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
【第二十四条】 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
【关注点】
l 提出国家数据安全概念;
l 建立国家数据安全工作协调机制;
l 建立国家级数据安全态势感知系统;
l 建立国家级数据安全应急处置机制。
02
国家明确支持数据安全产业建设
【第十四条】 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
【第十六条】 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
【第十七条】 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
【第十八条】 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
【第二十条】 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
【关注点】
l 国家支持大数据战略及其基础设施建设;
l 国家支持数据创新与应用;
l 省级以上人民政府应制定数字经济发展规划;
l 国家支持数据安全产品开发;
l 国家支持数据安全体系建设;
l 国家支持数据安全检测认证及风险评估;
l 国家支持数据安全人才培训。
03
责任分管原则
【第六条】 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
【第二十七条】 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
【关注点】
l 各行业、各部门分管本地区、本部门数据安全工作;
l 公安机关、国家安全机关监督执法;
l 网信办统筹督导;
l 重要数据处理者明确数据安全责任人。
04
数据安全分级
【第二十一条】 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
【要点】
l 建立数据分级制度;
l 重点行业数据保护目录。
05
出口管制及对等制裁
【第二十五条】 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
【第二十六条】 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
【要点】
l 核心数据出口管制;
l 对于其他国家无理的数据歧视或限制措施,可以采取对等制裁措施。
06
明确各主体保护义务
【第二十七条】 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
【第二十八条】 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
【第二十九条】 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
【第三十条】 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
【第三十三条】 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
【第三十五条】 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
【要点】
l 普通数据处理及保护者需建立数据保护制度、开展安全培训、落实责任人、积极开展保护工作,同时需定期对数据风险进行监测、及时补救数据泄露风险漏洞、发生数据安全事故及时上报主管部门;
l 重要数据保护者需定期对数据安全风险进行评估并上报主管部门,严控重要信息出入境;
l 数据交易平台需留存数据来源、交易者身份及交易记录;
l 执法机关获取数据需依据法律规定严格审批,有关组织个人应予以配合。
07
政务数据安全与数据开放
【第三十七条】 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
【第三十八条】 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
【第四十一条】 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
【第四十二条】 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
【要点】
l 大力推进电子政务;
l 推荐政务数据共享;
l 保护个人隐私数据和商业数据;
l 及时准确公开必要的政务数据;
l 政务数据开放目录。
08
违规处置
【法律章节略】
【要点】
l 督导、检查发现问题需及时整改,可处以警告及低额罚款;
l 对拒不履行整改责任的团体及责任人处以高额罚款;
l 违规对外提供数据处以警告或罚款处罚,对于造成严重后果的处以实体及责任人停业整顿、吊销执照、高额罚款等处罚;
l 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
09
总结
通过对《数据安全法》的分析我们发现,这部法律明确提升了数据安全的地位,明确了与数据安全相关的产业建设的重要性,将数据安全提升至前所未有的高度。同时一系列的国家级基础设施建设及相关保障产业的升级,为信息安全行业注入了一剂强心针,为信息安全产品、方案、配套制度的发展更是提供了相当有利的政策支撑环境。
爱加密专注于移动应用安全领域多年,积累了丰富的产品研发、解决方案、安全服务等实战经验。不仅拥有覆盖移动应用全生命周期的安全防护、安全检测、安全管理、业务运营、威胁感知、安全监管、安全服务七大产品体系,更是致力于移动应用个人信息安全数据的保护与生态链的构建。
未来,爱加密将持续关注、紧跟国家政策,通过强大的自主核心研发技术,加强与各监管机构、企业单位的合作,帮助实现移动应用安全能力的稳步提升和产业的健康发展,为国家、为企业、为广大用户移动应用安全保驾护航。