首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2020 > 正文

解讀｜《數(shù)據(jù)安全法（草案）》到底說了什么？這30個(gè)要點(diǎn)必知?。ǜ浇鉀Q方案）

閱讀量：次

引言

數(shù)據(jù)安全法（草案）

隨著全球數(shù)字經(jīng)濟(jì)的快速展，當(dāng)前對(duì)數(shù)據(jù)掌控和利用能力，已成為衡量國(guó)家之間競(jìng)爭(zhēng)力的核心要素。今年4月份，中央首次明確了將數(shù)據(jù)作為五大生產(chǎn)要素之一，加快對(duì)數(shù)據(jù)要素市場(chǎng)的培養(yǎng)，并通過新基建等一系列措施進(jìn)行政策的落地。面對(duì)數(shù)字經(jīng)濟(jì)迎來新的發(fā)展機(jī)遇同時(shí)，國(guó)內(nèi)外數(shù)據(jù)安全的形勢(shì)不容樂觀，根據(jù)公開報(bào)道，2019年數(shù)據(jù)泄露事件達(dá)到7098起，涉及151億條數(shù)據(jù)記錄，比2018年增幅284%。數(shù)據(jù)泄漏事件影響大、損失重。

數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)的零因子，零乘以億萬等于零。2020年6月28日，第十三屆全國(guó)人大常委會(huì)第二十次會(huì)議初次審議了《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》（以下簡(jiǎn)稱“數(shù)安法”）。7月3日在中國(guó)人大網(wǎng)公布，向社會(huì)征求意見，通過立法實(shí)現(xiàn)數(shù)據(jù)安全與共享的平衡發(fā)展。

數(shù)據(jù)安全

外力驅(qū)動(dòng)和內(nèi)部需求，促使數(shù)安法快速落地

外力驅(qū)動(dòng)

2018年3月23日，美國(guó)總統(tǒng)特朗普正式簽署了《澄清域外合法使用數(shù)據(jù)法》，法案要求對(duì)危害美國(guó)國(guó)家安全的犯罪、嚴(yán)重刑事犯罪等重大案件，無論服務(wù)提供者的通信、記錄或其他信息是否存儲(chǔ)在美國(guó)境內(nèi)，要求服務(wù)商根據(jù)該法案進(jìn)行調(diào)取并提供相關(guān)證據(jù)。

2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）正式實(shí)施。GDPR法案要求不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外，只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)，均適用此法案，對(duì)數(shù)據(jù)實(shí)施長(zhǎng)臂管理。

面對(duì)歐美國(guó)家將數(shù)據(jù)主權(quán)從物理邊界轉(zhuǎn)向技術(shù)邊界，將會(huì)直接影響到第三方國(guó)家的主權(quán)，在數(shù)據(jù)跨境流動(dòng)愈加頻繁的今天，必須盡快完善我國(guó)相關(guān)法律法規(guī)，保護(hù)我國(guó)國(guó)家利益、跨國(guó)公司以及公民個(gè)人利益。

內(nèi)部需求

當(dāng)前全球經(jīng)濟(jì)傳統(tǒng)經(jīng)濟(jì)增長(zhǎng)緩慢，尤其上半年全球“新冠疫情”給經(jīng)濟(jì)帶來了沉重的打擊。迫切需要通過新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)拉動(dòng)內(nèi)需，增加就業(yè)，而數(shù)字經(jīng)濟(jì)正是切入點(diǎn)和發(fā)動(dòng)機(jī)。國(guó)家將發(fā)展數(shù)字經(jīng)濟(jì)提升到國(guó)戰(zhàn)略高度則水到渠成。

通過近年來數(shù)字經(jīng)濟(jì)增速也證明數(shù)字經(jīng)濟(jì)發(fā)展空間巨大，通過信息院的調(diào)研報(bào)告，發(fā)現(xiàn)數(shù)字經(jīng)濟(jì)增長(zhǎng)顯著高于同期的GDP，是帶動(dòng)國(guó)民經(jīng)濟(jì)發(fā)展的關(guān)鍵力量。2019年我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模已經(jīng)達(dá)到35.8萬億元，占GDP比重達(dá)到36.2%。

數(shù)據(jù)安全

圖：我國(guó)數(shù)字產(chǎn)業(yè)規(guī)模

在2020年初，各省根據(jù)中央要求，印發(fā)“關(guān)于支持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展若干政策實(shí)施細(xì)則”等相關(guān)通知，全面推進(jìn)數(shù)字設(shè)施化、設(shè)施數(shù)字化的進(jìn)程，全力打造數(shù)字經(jīng)濟(jì)。因此，亟需一部國(guó)家的基本法，為中國(guó)數(shù)字經(jīng)濟(jì)的安全發(fā)展保駕護(hù)航。

上述背景下數(shù)安法誕生，恰逢其時(shí)，維護(hù)了我國(guó)的數(shù)據(jù)主權(quán)，保障了國(guó)家的安全、促進(jìn)了經(jīng)濟(jì)健康發(fā)展。

數(shù)安法要點(diǎn)解讀和提煉

數(shù)安法的發(fā)布標(biāo)志著我國(guó)將數(shù)據(jù)治理的政策要求，通過法律文本的形式進(jìn)行了明確和強(qiáng)化。本法一共七章五十一條，其中 “總則”、“法律責(zé)任”及“附則”三章屬于常規(guī)章節(jié)，另外四個(gè)章節(jié)圍繞著“數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放”來提出要求。

圖：數(shù)安法七個(gè)章節(jié)

我們對(duì)數(shù)安法進(jìn)行深入解讀后，為大家提煉出30個(gè)要點(diǎn)。

總則的要點(diǎn)

1) 適用范圍：在中國(guó)境內(nèi)開展數(shù)據(jù)活動(dòng)的組織和個(gè)人。

2) 保護(hù)要求：釆取必要措施，對(duì)數(shù)據(jù)進(jìn)行有效保護(hù)和合法利用，并持續(xù)保持其安全能力。

3) 責(zé)任任務(wù)：工業(yè)、電信、教育等行業(yè)和地方各部門承擔(dān)本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全監(jiān)、管職責(zé)。網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)和監(jiān)管。

數(shù)據(jù)安全與發(fā)展要點(diǎn)

4) 發(fā)展原則：維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)并重發(fā)展。

5) 戰(zhàn)略要求：省級(jí)以上人民政府應(yīng)制定數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃。

6) 標(biāo)準(zhǔn)體系：國(guó)家主管部門負(fù)責(zé)相關(guān)標(biāo)準(zhǔn)和體系的制定。

7) 評(píng)估認(rèn)證：國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持專業(yè)機(jī)構(gòu)依法開展服務(wù)。

8) 人才培養(yǎng)：要釆取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才。

數(shù)據(jù)安全制度要點(diǎn)

9) 分級(jí)分類：數(shù)據(jù)要求實(shí)行分級(jí)分類，形成數(shù)據(jù)保護(hù)目錄。

10) 風(fēng)險(xiǎn)評(píng)估：要建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制。

11) 應(yīng)急處置：要建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。

12) 安全審查：要建立數(shù)據(jù)安全審查制度。

13) 出口管制：對(duì)屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。

數(shù)據(jù)安全保護(hù)義務(wù)要點(diǎn)

14) 管理制度:建立健全全流程數(shù)據(jù)安全管理制度，組織開展教育培訓(xùn)。

15) 風(fēng)險(xiǎn)監(jiān)測(cè)：對(duì)出現(xiàn)缺陷、漏洞等風(fēng)險(xiǎn)，要釆取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件要按規(guī)定上報(bào)。

16) 風(fēng)險(xiǎn)評(píng)估：定期開展風(fēng)險(xiǎn)評(píng)估并上報(bào)風(fēng)評(píng)報(bào)告。

17) 數(shù)據(jù)收集：任何組織、個(gè)人收集數(shù)據(jù)必須釆取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他

非法方式獲取數(shù)據(jù)。

18) 數(shù)據(jù)交易：數(shù)據(jù)服務(wù)商或交易機(jī)構(gòu)，要提供并說明數(shù)據(jù)來源證據(jù)，要審核相關(guān)人員身份并留存記錄。

19) 經(jīng)營(yíng)備案：數(shù)據(jù)服務(wù)經(jīng)營(yíng)者取得經(jīng)營(yíng)業(yè)務(wù)許可或備案。

20) 配合調(diào)查：要求依法配合公安、安全等部門進(jìn)行犯罪調(diào)查。境外執(zhí)法機(jī)構(gòu)要調(diào)取存儲(chǔ)在中國(guó)的數(shù)據(jù)，須先審核。

政務(wù)數(shù)據(jù)安全與開放要點(diǎn)

21) 管理制度:建立健全全流程數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

22) 存儲(chǔ)加工：委托他人存儲(chǔ)、加工或提供政務(wù)數(shù)據(jù)，要先審批，并做好監(jiān)督。

23) 數(shù)據(jù)開放：構(gòu)建統(tǒng)一政務(wù)數(shù)據(jù)開放平臺(tái)，發(fā)布數(shù)據(jù)開放目錄，推動(dòng)政務(wù)數(shù)據(jù)開放利用。

法律責(zé)任要點(diǎn)

24) 未釆取必要的安全措施: 責(zé)令改正和警告，給予單位1萬至10萬元罰款，給予負(fù)責(zé)人5000至5萬元罰款；拒不改正或造成大量數(shù)據(jù)泄漏等嚴(yán)重后果的，給予單位10萬至100萬元罰款，給予負(fù)責(zé)人1萬至10萬元罰款。

25) 交易來源不明的數(shù)據(jù)：沒收違法所得，對(duì)違法所得一至十倍罰款。沒有違法所得的給予10萬至100萬元罰款，或吊銷營(yíng)業(yè)執(zhí)照；對(duì)主管和直接責(zé)任人1萬至10萬元罰款。

26) 無證照經(jīng)營(yíng)：取締，對(duì)違法所得進(jìn)行一至十倍的罰款。沒有違法所得，給予10萬至100萬元罰款，對(duì)主管和直接責(zé)任人處1萬至10萬元罰款。

27) 國(guó)家機(jī)關(guān)不履行安全保護(hù)義務(wù)：對(duì)負(fù)責(zé)人和直接責(zé)任人員依法處分。

28) 國(guó)家工作人員違法：因玩忽職守、濫用職權(quán)、徇私舞弊，未構(gòu)成犯罪的給予處分。

29) 給他人造成損害：依法承擔(dān)民事責(zé)任。

30) 涉及國(guó)家秘密和軍事秘密數(shù)據(jù)，依據(jù)《中華人民共和國(guó)保守國(guó)家秘密法》以及相關(guān)法律法規(guī)執(zhí)行。

數(shù)安法是繼《網(wǎng)絡(luò)安全法》提出數(shù)據(jù)的概念后，國(guó)家在數(shù)據(jù)安全立法層面的一個(gè)重大里程碑，注定了是中國(guó)數(shù)字經(jīng)濟(jì)高速發(fā)展的壓艙石和定海神針。

企業(yè)數(shù)據(jù)安全治理的幾點(diǎn)建議

數(shù)安法作為數(shù)據(jù)安全管理的基本大法，給我們指明了方向和提供法律保障。隨著產(chǎn)業(yè)的擴(kuò)大和數(shù)據(jù)種類的日益豐富，當(dāng)前各行各業(yè)都在探索如何安全、高效的做好本行業(yè)數(shù)據(jù)安全的治理，由于數(shù)據(jù)類型的復(fù)雜性和應(yīng)用場(chǎng)景的多樣性，目前為止，還沒有行業(yè)通用的數(shù)據(jù)安全治理標(biāo)準(zhǔn)和模型。

我們通過各類數(shù)據(jù)泄密事件分析，發(fā)現(xiàn)大部分?jǐn)?shù)據(jù)安全事件是由于內(nèi)部管理不到位，由內(nèi)部人員引發(fā)。

企業(yè)數(shù)據(jù)安全圖：數(shù)據(jù)泄漏事件分布圖

如何建立一個(gè)以預(yù)防、發(fā)現(xiàn)、消除泄密隱患為主的數(shù)據(jù)安全管理體系？我們建議從組織架構(gòu)、規(guī)章制度、技術(shù)防護(hù)、監(jiān)督檢查、教育培訓(xùn)、運(yùn)行維護(hù)六個(gè)方面入手，將數(shù)據(jù)安全管理和技術(shù)防護(hù)滲透到業(yè)務(wù)流程的各個(gè)環(huán)節(jié)，一旦發(fā)生泄漏情況，以責(zé)任人為點(diǎn)，以業(yè)務(wù)流程為線，做到在最短時(shí)間內(nèi)找到風(fēng)險(xiǎn)點(diǎn)并加以補(bǔ)救。

由于數(shù)據(jù)安全治理是一個(gè)長(zhǎng)期的、系統(tǒng)化工程，本著三分技術(shù)、七分管理的原則，建議企業(yè)從六個(gè)方面進(jìn)行規(guī)劃和建設(shè)。

數(shù)據(jù)安全管理結(jié)構(gòu) 圖：數(shù)據(jù)安全管理架構(gòu)圖

建立健全管理組織機(jī)構(gòu)

企業(yè)數(shù)據(jù)安全管理的成敗，主要取決主要領(lǐng)導(dǎo)是否重視，是否建立了一套完善數(shù)據(jù)安全管理組織，這是數(shù)據(jù)安全的重要保障。要形成“管理層重視、一把手負(fù)責(zé)、全員參與”的管理模式。

數(shù)據(jù)安全圖：安全組織架構(gòu)搭建建議

同時(shí)，建議明確部門和相關(guān)人員職責(zé)，要責(zé)任到人。

圖：部門職責(zé)示例

制定落實(shí)安全制度體系

建立健全完善的企業(yè)安全規(guī)章制度，保障數(shù)據(jù)安全管理體系的有效運(yùn)行，制度包括策略、標(biāo)準(zhǔn)、基線、流程和操作指南等，分級(jí)別進(jìn)行管理。制度中的要求和標(biāo)準(zhǔn)或流程，可以通過培訓(xùn)，讓每位員工知悉，并自覺遵守。

各業(yè)務(wù)部門在業(yè)務(wù)推進(jìn)時(shí)，根據(jù)風(fēng)險(xiǎn)和業(yè)務(wù)需求，自行制定和發(fā)布四級(jí)文件，促進(jìn)業(yè)務(wù)的安全開展。

圖：制度文件示例

加快技術(shù)智能化推進(jìn)落實(shí)

技術(shù)不是萬能的，但是沒有技術(shù)卻是萬萬不能的。我們已經(jīng)進(jìn)入了大數(shù)據(jù)時(shí)代，在云安全、大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全、智慧城市安全等新安全的需求下，傳統(tǒng)的網(wǎng)絡(luò)邊界被打破，現(xiàn)有的技術(shù)和管理已無法滿足其業(yè)務(wù)的安全需求，面臨安全的新態(tài)勢(shì)、新要求，在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上，通過智能化管理平臺(tái)，實(shí)現(xiàn)對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀全生命周期的管理。

圖：數(shù)據(jù)安全生命周期管理架構(gòu)

抓好常態(tài)化的教育培訓(xùn)

俗話說：“成功的奧秘第一靠人，第二靠人，第三還是靠人”，人在數(shù)據(jù)安全管理中是關(guān)鍵因素，也是最不可控的因素。企業(yè)可以通過例行化、常態(tài)化、系統(tǒng)化的安全意識(shí)教育來提升全體員工的安全意識(shí)，使員工對(duì)安全要求牢記在心，并形成良好的人員操作習(xí)慣。

我們可以通過多種形式的教育培訓(xùn)：一是借助企業(yè)各類平臺(tái)，如郵件系統(tǒng)、墻面海報(bào)、電視等進(jìn)行宣傳，二是組織專題信息安全意識(shí)培訓(xùn)，如新員工培訓(xùn)、專題討論會(huì)等。三是借助外力組織全公司的安全宣傳周活動(dòng)等形式，全面提升員工安全意識(shí)。

圖：培訓(xùn)內(nèi)容示例

加強(qiáng)數(shù)據(jù)安全的監(jiān)督檢查

監(jiān)督檢查是驗(yàn)證企業(yè)數(shù)據(jù)安全管理工作成果的重要抓手，通過安全檢查，一是可了解安全和業(yè)務(wù)是否匹配，是否阻礙業(yè)務(wù)開展，是否形同虛設(shè)。二是可及時(shí)發(fā)現(xiàn)業(yè)務(wù)的風(fēng)險(xiǎn)和隱患，提出改進(jìn)要求。三是以查代訓(xùn)，提升員工對(duì)數(shù)據(jù)安全的重視程度。

在技術(shù)方面，安全部門也可以主動(dòng)發(fā)起模擬釣魚郵件攻擊，通過實(shí)戰(zhàn)來驗(yàn)證員工安全意識(shí)狀態(tài)，檢查結(jié)果全員公布，警鐘長(zhǎng)鳴。

監(jiān)察內(nèi)容實(shí)力圖：監(jiān)督檢查內(nèi)容示例

優(yōu)化安全運(yùn)營(yíng)的防控體系

安全運(yùn)營(yíng)不可一蹴而成，要和企業(yè)的各階段的安全建設(shè)相匹配，分階段實(shí)施：

? 第一階段是安全基礎(chǔ)設(shè)施建設(shè)，具備基本檢測(cè)和防御能力，管理以補(bǔ)齊安全能力為主。

? 第二階段通過搭建安全團(tuán)隊(duì)，完善安全系統(tǒng)建設(shè)，具備掌握系統(tǒng)或工具的使用方法，實(shí)現(xiàn)被動(dòng)防御的能力，形成初步安全運(yùn)營(yíng)能力。

? 第三階段對(duì)專職人員進(jìn)行技能培訓(xùn)、攻防演練等高階訓(xùn)練，不斷提升安全團(tuán)隊(duì)的能力。通過建設(shè)大數(shù)據(jù)態(tài)勢(shì)感知平臺(tái)，對(duì)攻擊行為進(jìn)行自學(xué)習(xí)和自識(shí)別，實(shí)現(xiàn)主動(dòng)防御，并具備安全威懾和反制能力。

在整體安全運(yùn)營(yíng)中，可參照PDCA模型循序漸進(jìn)，通過對(duì)安全組織、制度、技術(shù)、培訓(xùn)、檢查等各子模塊的不斷研究、建設(shè)、服務(wù)和優(yōu)化，形成一個(gè)完整的PDCA循環(huán)體系，以全面提升企業(yè)數(shù)據(jù)安全管理能力。

圖：安全運(yùn)營(yíng)示例

作為新安全領(lǐng)域的安恒信息，以“助力安全中國(guó)、助推數(shù)字經(jīng)濟(jì)”為使命，為客戶提供專業(yè)安全產(chǎn)品和安全服務(wù)，13年以來深耕網(wǎng)絡(luò)和信息安全領(lǐng)域。在本輪的數(shù)字經(jīng)濟(jì)大潮中，我們將和行業(yè)同仁一道為中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展賦能，共同筑起信息安全的新“長(zhǎng)城”。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>