简介: 8 月 27 日,《数据安全法》解读与阿里云三大合规计划线上直播流动完满收官。阿里云高级平安征询专家李娜对数据安全相干法律法规做了综合解读,她指出,数据安全合规不能仅看全面,须要有整体的数据安全观,知其然也要知其所以然,真正做到从被动合规到被动策略风控。
1.《网络安全法》作为基础性法律,有哪些比拟重要的数据安全要求?
1)第二十一条:国家履行网络安全等级爱护制度。防止网络数据泄露或者被窃取、篡改。
划重点:这一条阐明,等保 2.0 测评也蕴含数据安全相干内容。
2)第三十一条:国家对重要行业和畛域,以及其余一旦受到毁坏、丢失性能或者数据泄露,可能严重危害国家平安、国计民生、公共利益的要害信息基础设施,在网络安全等级爱护制度的根底上,履行重点保护。
划重点:这一条阐明,波及要害信息基础设施的数据泄露问题,在等保根底上,须要重点保护,包含但不限于商用明码利用安全性评估,数据安全审查、云计算评估等。
3)第三十七条:要害信息基础设施的运营者在境内经营中收集和产生的个人信息和重要数据该当在境内存储。确需向境外提供的,该当依照国家网信部门会同国务院无关部门制订的方法进行平安评估。
划重点:这一条阐明,向境外提供数据,须要通过网信部门评估前方可入境。
4)第七十六条:术语中网络安全,包含保障网络数据的完整性、保密性、可用性的能力。
划重点:这一条阐明,网络数据的完整性、保密性、可用性是网络安全的根底能力,需纳入根底平安防护能力的领域。
2.《数据安全法》的立法过程十分迅速,这是为什么?
这要从《数据安全法》的立法背景来看:
1)社会经济倒退层面,数字经济疾速倒退,数据成为“国家基础性策略资源”,爱护这些数据保护须要法律依据;
2)数据开发利用层面,数据曾经从生产因素转变为生产力,促成数据正当开发利用须要法律依据。
鉴于上述两个需要的迫切性,数据安全法从立法布局到正式颁布十分迅速,而且在其余行政法规中及时失去具体利用。
3.《数据安全法》的适用范围是什么?
1)境内发展数据处理流动及其安全监管;
2)境外发展数据处理流动,侵害国家平安、公共利益或者公民、组织合法权益的,依法追究法律责任;
划重点:这里明确了数据安全属地管辖为主,保护性管辖为辅。
4.《数据安全法》每章重点讲了什么?
1)第一章总则,次要技术要求包含建设数据安全治理体系以及次要监管为国家网信和行业主管等。其中数据安全治理比拟重要,包含数据梳理、数据安全危险剖析、分类分级、监控预警、数据安全布局等较多内容,这些内容都涵盖在数据安全征询的服务范畴。
2)第二章数据安全与倒退 ,次要包含反对数据安全评估与认证、建设数据交易管理制度等。
划重点:第一,数据安全评估与认证有可能像等保和密评一样成为数安法落地的查看伎俩;第二,建设数据交易管理制度而不是数据交易制度,重点在数据交易的治理。
3)第三章数据安全制度,包含最受关注的数据分类分级、数据安全审查和数据进口管制,
4)第四章数据安全爱护任务 ,次要包含数据安全治理、危险监控与处理和数据处理及服务三局部。
划重点:数据处理中的数据起源核实及记录,次要针对的是数据交易场景中数据源的权属,不是传统数据安全的拜访溯源取证场景。本章最重要的是,数据入境,未经批准,不得对外提供。
5)第五章政务数据安全与凋谢 ,重点是国家制订政务数据凋谢目录,构建对立标准、互联互通、平安可控的政务数据开放平台。
划重点:倡议各单位遵循相干规范与规定,不要自行制订数据目录,可能导致互联互通艰难。
6)第六章法律责任 ,简略地说,多条处罚,包含除了罚款,还能够责令停业整顿、撤消相干业务许可证或营业执照。
划重点:可依法追究间接责任人的刑事责任。
7)第七章附则,数据安全法往年 9 月 1 号施行。
5.《数据安全法》有哪些条文须要重点关注?
1)《数据安全法》第二十一条的数据分类分级。首先国家建设数据分类分级爱护制度,对数据履行分类分级爱护。国家数据安全工作协调机制兼顾协调无关部门制订重要数据目录,各地区、各部门该当依照数据分类分级爱护制度,确定本地区、本部门以及相干行业、畛域的重要数据具体目录,
**a)划重点:国家部委或行业的分类分级,尽量采纳已有的数据分类规范或目录,不倡议独自制订专门的分类分级制度,防止因数据目录不同而影响数据集替换与共享。
b)数据分类是为了更好地区分治理对象,分级是为了施行不同水平的爱护,数据分类肯定是面向某种治理指标、监管伎俩的,不能一言以蔽之。**
2)《数据安全法》十八条对于国家反对数据安全检测评估与认证服务的倒退。
**a)划重点:规范 37988 数据安全能力成熟度模型,能够作为数据安全法检测落地的抓手。该规范已在 ISO 立项,有可能成为国内数据安全规范;
b)规范 37988 数据安全能力成熟度模型的 1 - 5 级不能和等保作简略的对应关系,企业确定本人的数据安全能力等级须要依照预评估的理论状况而定,能力不具备时自觉谋求高等级可能整改艰难。**
3)《数据安全法》第二十七条强调的也是全流程数据安全治理,涵盖数据安全的外围八大能力,包含数据安全生命周期的分类分级、传输加密、存储平安、数据脱敏、数据资产治理、终端数据安全、监控与审计、数据甄别与访问控制。这些外围的技术能力加上数据管理能力和运维能力,是 DSMM 评估与认证查看的核心技术能力,如果满足 DSMM 评估与认证查看,数据安全法提出的技术要求根本满足。
6.《数据安全法》和《网络安全审查方法》之间是什么关系?
新订正的《网络安全审查方法》将数据安全纳入网络安全审查范畴。
《网络安全审查方法》订正前后比对状况:
1)第二条:要害信息基础设施的运营者,数据处理者,发展数据处理流动,可能影响国家平安的,将进行网络安全审查,
划重点:数据处理流动是重点标准对象
2)第六条:减少了把握超过 100 万用户个人信息的运营者赴国外上市,必须向网信办申报安审。
划重点:对数据运营者作出了 100 万的定量形容。
3)第四条:审查单位减少了中国证监会;
4)第十条:网络安全审查评估内容 减少了数据处理流动和海内上市场景 ,其中重点减少的国家平安危险有 外围数据、重要数据或大量个人信息被窃取、泄露毁损以及非法利用或入境危险,国外上市后要害信息基础设施、外围数据、重要数据或大量个人信息被国外政府影响、管制、歹意利用的危险。
划重点:网络安全审查将数据处理流动及海内上市减少为评估内容,重点评估的是数据安全。
5)第十三条:将网络安全审查的工夫从 45 个工作日,缩短到 3 个月。
6)最要害的第一条,为了确保要害信息基础设施的平安,执法根据除了《国家安全法》、《网络安全法》,减少了《数据安全法》;第十六条,违反本方法规定的,处罚根据减少《数据安全法》。
划重点:这二条阐明《数据安全法》被列为审查和处罚的根据。
因而整体来看,数据安全不仅有相干的数据安全能力评估认证作为抓手,还有网络安全审查作为检查和处罚伎俩。
7. 数据安全法正式施行在即,咱们应该如何对待数据合规?
划重点:数据安全要从被动合规转化为被动策略风控
首先,总体国家安全观中,网络安全是 16 个之一。从国家安全法的安全观到《网络安全法》的网络空间主权到《数据安全法》的具体条文,其内容一脉相承。目前波及数据安全的还有《个人信息保护法》、民典法、刑法修正案(十一)等法律,都涵盖相干内容。
其次数据安全相干法律法规和政策的落地,正在经验一个逐步欠缺监管伎俩、晋升监管能力的过程,“让法律长出牙齿”,目前国家不仅在解决“有法可依”的问题,也在解决“违法必究”的问题。
在此状况下,企业对数据安全合规的了解不能全面,甚至怀有不查看不处罚的侥幸心理,须要将数据安全合规危险回升到业务危险,甚至企业危险,踊跃驳回企业法务与平安合规团队意见,或者延聘业余的平安征询团队解决问题,确保对政策趋势有足够的敏感性和前瞻性,从 被动数据安全合规到被动策略风控 。
两
版权申明:本文内容由阿里云实名注册用户自发奉献,版权归原作者所有,阿里云开发者社区不领有其著作权,亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容,填写侵权投诉表单进行举报,一经查实,本社区将立即删除涉嫌侵权内容。