近几年《中华人民共和国网络安全法》、《数据安全法》、《个人信息保护法》等国家法律法规的公开,标志着网络安全上升到国家层面,事关国家安全与国计民生。
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿,该法将于2021年9月1日起正式施行,本文将对《数据安全法》的重点条款进行解读。
第一章 第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第一章 第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
统筹协调网络数据安全和相关监管工作由国家网信部门依照本法和有关法律、行政法规的规定执行。
《数据安全法》作为数据安全领域的最高法,与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域有法可依。
第一章 第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第二章 第十六条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
第二章 第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。
第三章 第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,需实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第三章 第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第三章 第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
《数据安全法》提出建立数据安全风险评估、安全事件报告制度、监测预警机制、应急处置机制和安全审查等制度,有望在后期逐步推出具体机制体制的主管机构、适用范围、评估审查模式等配套制度。
第三章 第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第三章 第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
在国际竞争逐步蔓延到数据、网络领域后,各国之间的摩擦频发。2020 年8月,美国以保护国家安全为由,要求字节跳动出售TikTok应用程序及业务。美国对 TikTok 的封杀反映了《外国投资审查现代化法》对涉及美国公民敏感信息和来自于特殊国家投资项目严加审查的立法和执法态度。我国《数据安全法》一方面明确维护国家安全和利益、履行国际义务可作为禁止相关数据出口的合法依据,另一方面明确了对外国在数据领域的投资、贸易歧视可采取对等反制措施的立法主张,充分体现了我国在网络数据空间主张数据主权的立法思想。
第四章 第二十七条 开展数据处理活动应当依照法律、法规的规定,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第四章 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
第四章 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《数据安全法》明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、进行安全教育培训、风险监测和报告,采用技术手段落实内部制度的规定。因此,数据安全合规制度的建设已成为企业应当履行的法律义务。《数据安全法》延续《网络安全法》的规定,对重要数据提出更高的数据保护要求,具体的法律义务包括明确数据安全负责人和管理机构、开展风险评估并报送报告、符合数据出境安全管理要求等。
《数据安全法》也在法律责任的部分明确了不履行第二十七、二十九、三十条规定的数据安全保护义务、尚未造成数据泄露等后果的,主管部门也可以采取责令改正、警告、罚款等行政处罚措施。在相关制度不健全,且拒不改正或造成大量数据泄露等严重后果的,主管部门则可以责令暂停相关业务、停业整顿、吊销许可证或营业执照和处以罚款。
第四章 第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第五章 第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
《数据安全法》特别对从事数据交易中介服务的市场参与者提出额外的安全保护要求。就数据交易中介服务本身而言,《数据安全法》尚未给出明确的范围,相关市场参与者可参考《数据交易服务安全要求》中“帮助数据需方和供方完成数据交易的活动”对自身的业务属性进行定位。
数据安全泄露窃取日益严重的信息化时代,强有力的数据安全的防护和治理是不容忽视的重中之重。未来智安NDR,XDR联动可通过监测漏洞,防护漏洞,防止用户服务器信息泄露,防止他人利用漏洞窃取用户服务器数据,从而达到保护用户服务器数据安全的目的。