数据安全专题 > 数据安全法律解读

《数据安全法》来了,数据保护刻不容缓!

作者:启明星辰技术中心 2021-10-25

2021年6月10,第十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》(简称“数据安全法”),国家主席习近平签署了第八十四号主席令,标志着《数据安全法》的正式诞生,并将于2021年9月1日正式生效施行。


1、《数据安全法》的章节内容


本次审议的《数据安全法(草案)》(第三次审议稿)全文共7章55条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。


2、《数据安全法》的法律地位


习近平总书记指出,在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》明确将数据列为生产要素。随着数据活动在生产生活中海量增加,数据安全问题愈发凸显,给公民个人权益、产业健康发展甚至国家安全带来诸多风险,将数据安全问题纳入法治轨道具有必要性和紧迫性。

数据安全法(草案)在第十三届全国人大常委会第二十次会议上提请审议,这是我国进入数据时代后,对数据安全问题一次积极的立法回应,该法在数据安全领域具有基础性法律地位,将与网络安全法、个人信息保护法等共同构建起我国的数据监管与保障法律体系。

作为数据领域的基础性法律,《数据安全法》立足数据安全工作的实际,聚焦数据安全领域的突出问题,确立了数据分类分级管理,数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,明确相关主体的数据安全保护义务,通过建立健全各项制度措施,进一步提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。


3、《数据安全法》的发展历程


《数据安全法(草案)》一审回顾

2020年6月28日,十三届全国人大常委会第二十次会议对数据安全法草案进行了初次审议。一审稿对地方、部门制定重要数据目录作了规定。一些常委委员和地方、部门、企业、专家提出,应由国家层面确定重要数据目录,再由地方、部门据此制定具体目录。

《数据安全法(草案)》二审回顾

2021年4月26日,十三届全国人大常委会第二十八次会议听取了宪法和法律委员会副主任委员徐辉作的关于数据安全法草案修改情况的汇报,此次为二审。

根据各方面意见,提请本次常委会会议审议的草案二次审议稿拟作以下主要修改:

一是,对草案中的数据安全等用语的含义予以完善。

二是,完善数据分级分类和重要数据保护制度。

三是,充实数据出境安全管理规定。

此后(2021年4月29日),中国人大网上公布了《中华人民共和国数据安全法(草案二次审议稿)》,其中进行了多处修订。主要修订的范围包括:完善数据分级分类保护制度;强化等保在数据安全保护要求中的基础作用、新增重要数据出境的管理规定和对应法律责任、加强对境外司法/执法机构提供数据的监管及新增明确拒不配合数据调取的法律责任等。

《数据安全法(草案)》三审或作如下修改

两次审议后,全国人大常委会法工委发言人臧铁伟曾表示,根据各方面意见,提请本次常委会会议审议的草案三次审议稿拟作如下主要修改:

一是,建立工作协调机制,加强对数据安全工作的统筹。如:行业主管单位负责本行业、本领域数据安全监管,公安机关等负责数据安全监管职责,网信负责数据安全统筹协调工作。

二是,明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度。如:新增“关系国家安全、国民经济命脉、重要民生、重大公共利益等 数据属于国家核心数据,实行更加严格的管理制度。”

三是,要求提供智能化公共服务应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍。如:新增国家支持开发利用数据提升公共服务的智能化水 平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍。

四是,进一步完善保障政务数据安全方面的规定。如:明确国家数据安全工作协调 机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

因此,此次表决通过的《数据安全法》相较于二审稿或做如上修改补充。


4、《数据安全法》的重要意义


数据的价值凸显,数据已经衍变为数字时代的核心。全球知名咨询公司麦肯锡称:“数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。”随着社会的进步,信息技术逐渐与人类的生产生活交汇融合,各类数据迅猛增长、海量聚集,针对数据的活动也日益剧增,对社会和经济产生了重大而深刻的影响。2020年4月9日,国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》是中央关于要素市场化配置的第一份文件,围绕劳动力、资本、土地、科技、数据等五大要素领域提出了改革方向,把数据作为一种生产要素单独列出,数据上升为新的生产要素,对数字经济发展起到基础性和支撑性的关键作用。数据安全将成为国家安全的战略新领域。大数据带来了万物互联,但频频引发的各类数据安全事件也随之而来。数据安全已成为事关国家安全与社会经济发展的重大问题,为了保证数据安全及公民隐私,世界各国纷纷针对数据活动颁布了法律法规。《数据安全法》作为我国数据安全领域的专项法律,可见国家对数据安全的重视,从此数据活动在我国将步入正规化,数据安全必将迎来新一轮的发展。数据安全将为建设数字中国的重要保障。在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中“数据安全”一词累计出现5次,已然成为本次规划中的高频词,也体现了出来对国家层面对数据安全的重视程度。


5、《数据安全法》要点一览


《数据安全法(草案)》确定了数据分级分类及风险评估等安全制度,落实从事数据活动的组织和个人的安全保护责任,坚持维护数据安全和促进数据开发利用并重,推进数据基础设施建设和安全标准体系建设等。下面对其中的部分要点进行分析和解读:


明确国家数据安全治理机制

在数据安全法中,明确了我国数据安全治理架构为:

决策层:中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国

家数据安全工作协调机制;

执行层:各地区、各部门对本地区、本部门工作中产生、汇 总、加工的数据及数据安全负责;

监管层:各行业承担本行业、本领域数据安全监管职责;公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责;

统筹协调:国家网信部门负责统筹协调网络数据安全和相关监管工作

建立数据安全生态

为实现规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益的目标,《数据安全法》明确国家实施大数据战略,鼓励支持数据在各行各业的创新应用,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。我国将积极推进数据开发利用技术和数据安全标准体系建设;促进数据安全检测评估、认证等服务的发展;建立健全数据交易制度,培育数据交易市场;结合多方力量培养数据开发利用和数据安全专业人才。

建立健全的数据安全制度

数据分级分类保护。对数据进行分级分类管理和保护,可以在保证数据安全、个人隐私的前提下,使数据价值最大化。草案第21条指出,国家根据数据在经济社会发展中的重要程度,对数据实行分级分类保护,同时确定重要数据保护目录,对列入目录的数据进行重点保护。

数据安全风险预警及应急处置机制。针对数据安全,前期有效的风险评估预警和发生安全事件时及时的应急措施,都是消除安全隐患避免危害扩大的重要手段。草案第22条和23条,明确指出国家将建立数据安全风险预警及应急处置机制。

数据安全审查制度。数据与国家安全息息相关,是未来国际竞争的核心,草案第24条指出国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。

实施数据出口管制。国家实施出口管制,保证数据安全,同时积极开展数据安全领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

明确数据安全保护的意义

草案对从事数据活动的组织和个人应承担的数据安全保护义务给了明确指示:开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全的全流程数据安全管理制度,组织开展数据安全教育培训。开展数据活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据(草案第32-33条)。通过针对违法的数据活动制定了一系列的法律措施,促使数据活动更加正规正当,从而维护公民的个人隐私以及数据安全。

明确数据安全保护意义

《数据安全法》明确了不履行法律责任、违反法律要求行为时需要承担的法律责任,包括责令整改、警告、罚款、暂时相关业务、停业整顿、吊销执照等。《数据安全法》中的法律责任弥补了我国法律在这方面的空白,也从另一个侧面逼迫个人、企业、国家机关重视数据安全,提升数据安全能力,否则一旦发生泄露就要面临相当严重的处罚。


6、启明星辰数据安全治理综合解决方案为政企客户的数据安全保驾护航


数据泄露风险日益严重,数据安全相关立法逐渐成型,面对日益复杂的数据安全需求,单一数据安全产品建设已无法满足市场需求,需要逐渐向综合性的数据安全治理过渡,需要全面、综合的数据安全综合解决方案来应对。

作为信息安全行业领军企业,启明星辰拥有比较完善的数据安全产品体系,配合启明星辰已经积累多年的数据安全专项运营能力,能够为用户提供一整套集合人员、流程、技术的综合数据安全治理解决方案。此方案面向用户业务数据,以敏感信息及数据资产治理为基础,以数据安全风险防控为目标,以场景化数据安全管控为手段,兼顾数据生命周期各阶段审查,进行的闭环式的数据安全管控。


启明星辰数据安全体系框架


启明星辰数据安全方案的应用价值

构建以敏感信息以及数据资产治理为基础,以数据风险防控为目标,以能力、平台、运营为手段,基于全场景、多维度的“数据安全专家”。实现数据的标准化、常态化、规范化的管理,为数据安全的管理、管控、监控提供能力保障,为数据安全运营提供技术能力支撑。

数据安全摸底:针对业务数据资产摸底,敏感数据梳理,实现多维度、全方位自动绘制数据资产图谱,全面掌控业务数据核心资产。

数据安全驱动:依据数据安全顶层设计与数据安全策略规划,实现数据安全能力组件的策略集中管理以及可视化,驱动数据安全能力组件。

数据安全管控:基于场景化的数据生命周期管理,对数据采集、传输、存储、使用、共享、销毁各个阶段的场景化的评估分析,并提供监控和管理手段,落实数据安全管控能力。

数据风险“防控”:以“数据”为中心的针对数据风险建模、数据安全监测,全面深度分析数据安全风险状态、数据流转状态、数据安全态势。

启明星辰的数据安全治理综合解决方案已经在国内众多行业拥有应用案例,如某某大数据局的数据安全运营中心项目、某某运营商数据安全治理平台项目等。

未来,启明星辰将继续根据用户实际需求,引入机器学习算法,构建更多的分析挖掘场景以及安全专题模型,进一步践行让数据在安全流动中产生价值的理念!


上一篇 下一篇

服务热线

400-624-3900