“百家”,既是“诸子百家”,亦为“百花齐放”。他们是各行各业网络安全专家:有CSO、业界大咖、权威代表,更有奋战在网安一线的实践者、思想者和分享者。安在“百家”,最佳实践,真知灼见,思想火花,期待有你!
张生
证券公司安全负责人
曾任安全厂商技术专家、银行安全经理、上交所高级经理。在安全风险评估、安全审计、渗透测试、计算机取证等领域实践经验丰富。曾参与上海世博会安全建设、P13项目、牵头并参与多项JR/T标准的编写。
“数据就像一个神奇的钻石矿,当它的首要价值被发掘仍能不断给予。它的真实价值就像漂浮在海洋中的冰山,第一眼只能看到冰山的一角,而绝大部分都隐藏在表面之下。”
---《大数据时代》
我们在生产和数据交流方式上的变革必然会引发自我管理所有规范的变革。同时,这些变革也会带动社会需要维护的核心价值观的转变,从而升华为法律规范。2021年6月10日《中华人民共和国数据安全法》通过第十三届全国人民代表大会常务委员会第二十九次会议决议,现予公布,自2021年9月1日起施行。
首先祝贺《数据安全法》的颁布,作为安全从业人员来说内心是雀跃与焦虑的矛盾心理。在日常安全工作中,有了法律提供的“尚方宝剑”,可有效促进推动安全工作。同时在已有的等保、网络安全现场检查、安全重大演练保障等工作任务下,新增一个数据安全新纬度,将会增加工作复杂度。
其次学习后,分享些个人理解。一部法律的解释可以分为立法解释、司法解释、行政解释、文理解释、逻辑解释等。其中前三种为正式解释具备法律效力,后两种为非正式解释不具备法律效力,一般是由学者、个人、组织对法律条款字面进行语法结构、文字排列、逻辑关系等分析,还可加上解释者在专业领域的见解所形成的法律解释。主要代表个人的一些观点,并不具有法律上的约束效力。但非正式解释在法律适用、法学研究、法学教育、法制宣传以及法律发展方面有着很重要的意义。本文有八个观点,仅供参考。
法的位阶《数据安全法》是上位法
法律位阶是指在统一的法律体系内,确定不同类别规范性法律文件之间效力等级与适用顺序的制度。在我国,按照宪法和立法规定的立法体制,法律位阶共分五级,它们从高到低依次是:宪法、法律、行政法规、地方性法规、部门规章与地方政府规章。
《网络安全法》《密码法》《数据安全法》同属于法律层面,是上位法。在网络安全领域里,常见的是部门规章、国家标准(GB/T)、行业标准(JR/T、YD/T)等。自《网络安全法》颁布后,相继出台了多部网络安全方面的法律,以上位法的形态确定了网络安全的重要地位。各层次的监管单位可在法律框架下,制定具有行业特性且相适宜的法规或标准,有利于法律的推动和落地实施。
确定适用范围,赋予境外适用的法律效力
首次以法律的形式明确在境外拥有的法律效力,《数据安全法》拥有属地管辖权,同时保留“属人”的追溯权。即对在中国境外开展数据处理活动,损害中国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。在网络安全空间主权上,又进一步提倡了“数据管辖权”,提供了在国际贸易、国际交流合作中对数据安全的法律依据,有利于提升国际参与度,提高话语权,维护了中国公民、组织的数据安全。
2018年5月25日,欧洲联盟出台《通用数据保护条例》(GDPR)在欧盟成员国内正式生效。该条例被扩大解读的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,也应当适用GDPR。对于一些非欧盟境内设立业务机构的国际巨头非常恐慌,意味着他们将面临严厉的监管和巨额的罚款,虽具体执行情况,我们不得而知,也开创式的引入了境外的监管权。
确定数据的定义,推进数据分类分级制度
《网络安全法》对数据的含义是“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”《数据安全法》对数据的定义是“指任何以电子或者其他方式对信息的记录。”对比来看后者对数据的定义更加准确,囊括一切形式的数据。
在《网络安全法》第二十一条提出“采取数据分类”的基础上,推进数据分类分级制度建设,阐明数据分类分级的原则。数据分类分级在实践工作中有利于管理、收集、安全等工作中的资源平衡和区分对待,精准提炼数据价值,也可集中资源优势区分对待高价值数据。同时提出并定义国家核心数据、重要数据两个概念。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。要求各地区、各部门确定重要数据具体目录,对列入目录的数据进行重点保护。
设计数据安全治理顶层架构
数据作为一种无形的资产和核心竞争力之一,考虑到数据重大的战略意义。在信息科技时代提出数据安全治理,有重大的意义。从两个方面规定了数据安全治理的顶层架构,一是组织架构上,第一层由中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;第二层是各地区、各行业、公安机关、国家机关,国家网信部门等。
二是业务战略规划,首先国家鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展;其次开展数据处理活动时,不得危害国家安全、组织、公民等合法权益;再次国家支持数据安全知识宣传普及;然后是支持相关行业开展数据安全活动;再后是国家积极参与数据的国际交流与合作;最后是数据处理活动中违法违规的投诉、举报。
细化《网络安全法》中数据安全要求,
重申等保制度、关键信息基础设施保护
《网络安全法》中对数据安全只是概括性提及保障网络数据的完整性、保密性、可用性和防范数据泄露等原则性要求,未涉及具体的管理措施和技术措施。在实践中对已经具备一定安全能力的企业,在主动管理的驱动下,会参考一些数据安全标准,建设数据安全的管理流程和技术措施,而大多数企业中仍处在观望中。
此部分规定的具体安全工作内容,一是建立数据分类分级保护制度,目前金融行业已发布《证券期货业数据分类分级指引》(JR/T 0158-2018)、《金融数据安全 数据安全分级指南》(JR/T 0197—2020)等标准,可作为配套的标准,供企业在实施时借鉴参考;二是建立技术机制包括安全风险评估、报告、信息共享、监测预警等措施。提供了巨大市场机会,安全厂商可依据此法条设计、开发相关的数据安全产品;三是数据安全应急处置机制,要求组织建立应急预案,防止危害扩大,舆情处置等。企业可学习借鉴《信息安全技术 信息安全应急响应计划规范》(GB/T24363-2009)建立应急组织架构(功能小组)、业务影响性分析、应急响应流程、应急响应保障措施,应急响应计划测试、培训、演练等系统性的方法论与流程。
进一步明确数据安全审查制度、出口管制、
跨境流动等数据安全国际视角
数据安全审查作为亮点在法律中确定下来,是对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依司法解释的逻辑分析方法,范围是“影响或者可能影响国家安全”,前后文分别提到参与国际的数据相关活动、数据依法实施出口管制、数据出境管理以及向境外机构提供数据的管理等,据此初步判断为数据安全审查主要是以国际间的数据活动可能影响国家安全的应进行安全审查。
以比较法的方法分析,《网络安全法》中提出了“关键信息基础设施的网络安全审查”要求,后续12个监管部门在此基础上于2020年4月联合颁布了《网络安全审查办法》,作为配套规定有效补充网络安全审查的内容和流程。但对于数据安全审查的审查主体、审查内容、审查流程未有明确,可关注后续配套法规的制定,后续仍需要关注。
规定数据处理者的数据安全保护义务与安全措施
重点提一下“应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”,从文义上清理了“做了等保就不需要做数据安全保护”这样的思想误区,企业还须有专项的数据安全保护措施,包括全流程数据安全管理制度、开展教育培训、技术措施、风险监测等。重申关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定,与前法遥相呼应。
另外一点是强化监管,要求重要数据的处理者应定期开展风险评估,并向有关主管部门报送风险评估报告,再提及数据出境适用《网络安全法》。
规定数据交易中介、政务数据的安全措施
随着大数据技术的成熟和发展,大数据在商业上的应用越来越广泛,有关大数据的交互、整合、交换、交易的案例也日益增多。大数据交易所也随之应运而生,2015年4月15日,全国首家大数据交易所贵阳大数据交易所,正式挂牌运营并完成首批大数据交易,拉开数据交易的序幕。《数据安全法》以法律的形式确定数据交易中介机构,体现国家对合法数据交易的支持,推动数据的合法流动和挖掘,促进数据数据安全有效流动。
第三十三条要求从事数据交易中介服务机构,提供数据来源,审核交易双方的身份,并留存审核、交易记录。同时数据中介机构也是数据处理者,也存在数据处理活动,必须遵守第三章数据安全制度、第四章数据安全保护义务等具体数据安全要求。
在实践中,数据中介机构如贵阳大数据中心参考实施的数据安全标准是《信息安全技术 大数据服务安全能力要求》、GB/T 35274—2017、《信息安全技术 大数据安全管理指南》GB/T 37973—2019、《信息安全技术 数据安全能力成熟度模型》GB/T 37988—2019等标准。同时也推广数据安全专业技术人才培训。
在政务数据方面,国家推进电子政务建设。近几年政府提出“让数据多跑路,群众少跑路”的服务项目,构建一站式服务功能,建成一网通办等实事民生项目,突出体现数据的核心价值,让政府、群众切实体会到数据带来的高效和便利,同时以法律的形式规定政务数据的安全原则,有效保障了政务数据的安全。
结束语,以上纯属个人见解,不涉及公司观点,欢迎批评指正。
「推荐阅读」
2021百家专栏文章
百家 | 《数据安全法》合规“疑云”,等保2.0或是“解药”
2018~2020百家专栏全集请戳“阅读原文”
齐心抗疫 与你同在 
本文始发于微信公众号(安在):百家 | 安全人员的《数据安全法》文本释义
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论