相关文章推荐
暗恋学妹的饼干  ·  error TS2306: File ...·  4 月前    · 
重感情的金鱼  ·  课题组长·  11 月前    · 
微笑的手套  ·  Spring Boot Reference ...·  1 年前    · 

2021 年 6 月 10 日,新华社报道,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于 2021 年 9 月 1 日起施行。

数字化改革推动我国生产模式的变革,随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心资产。合资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。

根据公开报道,2020 年全球数据泄露的平均损失成本为 1145 万美元,2019 年数据泄露事件达到 7098 起,涉及 151 亿条数据记录,比 2018 年增幅 284%, 数据泄漏事件影响大、损失重。

有专家言论,对数据掌控、利用以及保护能力,已成为衡量国家之间竞争力的核心要素。

2018 年 3 月 23 日,时任美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。

2018 年 5 月 25 日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR 法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。

目前全球已有近 100 个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。

当前全球经济传统经济增长缓慢,尤其是 2020 年全球“新冠疫情”给经济带来了沉重的打击。迫切需要通过新的经济增长点拉动内需,增加就业,而数字经济正是切入点和发动机,国家将发展数字经济提升到国战略高度则水到渠成。 近年来数字经济增速也证明了数字经济发展空间的巨大,中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从 2005 年的 2.62 万亿元增长至 2019 年的 35.84 万亿元;数字经济总体规模占 GDP 的比重也从 2005 年的 14.2% 提升至 2019 年 36.2%。 可见,数字经济已成为我国国民经济增长要素的重要一员。

从 2015 年,国务院发布的《促进大数据发展行动纲要》开始,2018 年国务院发布《科学数据管理办法》,2020 年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,2021 年 3 月 12 日,新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,数据安全政策导向明确,国家数据战略清晰。因此,亟需一部国家的基本法,为中国数字经济的安全发展保驾护航。

上述背景下数安法诞生,恰逢其时,维护了我国的数据主权,保障了国家的安全、促进了经济健康发展。

1) 适用范围 在中国境内开展数据活动的组织和个人。

2) 定义 定义数据是指任何以电子或者其它方式对信息的记录。

3) 保护要求 釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。

4) 责任任务 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。

5)  特别的对行业组织提出了 制定安全行为规范,加强行业自律,指导会员加强数据安全保护 的要求。这项法规有效的消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。

6) 发展原则 国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重。

7) 战略要求 省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。

8) 标准体系 国家主管部门负责相关标准和体系的制定。

9) 评估认证 国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。

10) 人才培养 要釆取多种方式培养数据开发利用技术和数据安全专业人才。

11)特别地, 加强了公共服务的要求 ,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

12) 分类分级 国家建立数据分类分级保护制度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。

13) 风险评估 要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

14) 应急处置 要建立数据安全应急处置机制。

15) 安全审查 要建立数据安全审查制度。

16) 出口管制 对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权,即我国数据是否在境内,依然受到中国法律的保护。

17) 管理制度 在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。

18) 风险监测 对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件, 应当立即采取处置措施 并按规定上报。

19) 风险评估 定期开展风险评估并上报风评报告。

20) 数据收集 任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

21) 数据交易 数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。

22) 经营备案 数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。

23) 配合调查 要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。

24)  特别的,对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

25) 管理制度 建立健全全流程数据安全管理制度,落实数据安全保护责任。

26) 存储加工 委托他人存储、加工或提供政务数据,应当经过严格审批,并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。

27) 数据开放 构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。

28) 适用主体 法律、法规授权的具有管理公共事务职能的组织。

29) 不履行规定保护义务 责令改正和警告,给予单位 5 万至 50 万元罚款,给予负责人 1 万至 10 万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位 50 万至 200 万元罚款, 最高责令吊销相关业务许可证或者吊销营业执照 ,给予负责人 5 万至 20 万元罚款。

30) 危害国家安全和损害合法权益的 给予 200 万至 1000 万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。

31) 向境外提供重要数据的 由有关主管部门责令改正,给予警告,可以并处 10 万至 100 万元罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。情节严重的,给予 100 万至 1000 万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予 10 万至 100 万元罚款。

32) 交易来源不明的数据 没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足 10 万元的给予 10 万至 100 万元罚款,最高责令吊销营业执照;对主管和直接责任人 1 万至 10 万元罚款。

33) 拒不配合数据调取的 由有关主管部门责令改正,给予警告,可以并处 5 万元至 50 万元罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。

34) 国家机关不履行安全保护义务 对负责人和直接责任人员依法处分。

35) 未经审批向境外提供组织数据的 由有关主管部门给予警告,可以并处 10 万至 100 万元罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。造成严重后果的,给予 100 万至 500 万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予 5 万至 500 万元罚款。

36) 国家工作人员违法 因玩忽职守、滥用职权、徇私舞弊,依法给予处分。

37) 窃取或非法获取数据的 依照有关法律、行政法规的规定处罚。

38) 给他人造成损害 依法承担民事责任,构成犯罪的,依法追究刑事责任。

形象的说,数据安全的首要目标是需要找数据在哪里?数据的主体是谁?访问控制是目前主流的数据安全能力之一,首要目标是数据使用者如何证明具备相应的数据权限?数据保护是更高层面的建设框架,首要目标是组织或个人如何确保数据已经被保护好了?
对于IT和信息安全从业人员来说,数据安全能力建设是最艰巨的任务之一。 关于数据安全能力的建设,安恒信息首席科学家刘博提到: 在业务层面,应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全体系; 在技术层面,应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力4大核心数据能力的建设; 最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。