查看原文
其他

国家科技专家库专家王电最新解读:《网络数据安全管理条例》带来的机遇和挑战

美小亚 美亚柏科 2022-07-05


前言

11月14日,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》,为规范数据安全管理、数据处理活动等提供了有效遵循。本期专题,我们特别邀请国家科技专家库专家王电老师针对该条例进行深入解读。


01Q:《网络数据安全管理条例(征求意见稿)》的发布有什么现实意义?

王电:条例第一章“总则”第一条明确指出,《网络数据安全管理条例》的上位法分别是:《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,从法理上确定了条例将是调整基于网络数据对象的防护安全、内生安全、形式安全、内容安全、应用安全和服务安全的法律关系基础,条例的法条内容使其所依托的上位法得到了机制、方法和技术的落实,从技术角度解读,条例将使所涉及的网络数据安全产业的产业布局、产品结构、供应链形态和服务体系产生质的飞跃。

02Q:条例中有哪些内容需要网络安全从业者重点关注?

王电:2020年3月30日,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》的第六部分提出“加快培育数据要素市场”的国家战略,首次确立了数据的生产要素地位,数据产业正式成为国民经济的重要组成部分,条例规范了数据感知与采集、数据治理、数据处理、数据安全、数据服务和数据运维等数据要素生产过程所对应的安全环节,明确了数据要素的产业范围,所产生的各类数据当仁不让地成为了数据要素的基础构成。


条例第七十三条首次对以下数据要素的对象构成进行了法律界定:


  • 重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据,并列举了七大细目。

  • 核心数据:关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。

  • 公共数据:国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。


并且在条例的第七条明确提出“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护”;在第二十五条中针对生物特征信息的使用也明确规定:“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息”。


尤其应该强调的是:条例修改了2019年5月28日由国家互联网信息办公室所发布《数据安全管理办法(征求意见稿)》第三十八条中关于重要数据的界定,删除了“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”的表述,从而使得条例的溯及范围已经延展至完整的网络数据空间。


从以上条例规定可以明确得知,条例对于国计民生环境下的数据要素已经做了详尽的界定,基于这样的法律界定,为相关数据安全产业的产业布局赋予了清晰的核心内容,即:在确保网络数据安全的前提下,布局数据处理的生产要素环境,构建数据要素产业链,从而形成内生安全、有序利用、高效优质的数据要素生态环境。


条例颁布执行以后,势必对国内网络安全产业和数据安全产业的发展带来结构性的冲击,如何适应条例所界定数据要素对象的安全生产,如何在国内各行业数字化转型的大潮中体现自身的技术价值、产品价值和社会价值,成为了业界无法回避的问题。

03Q:条例中针对数据处理活动提出了哪些具体可执行的技术规定和管理规定?

王电:条例第二条规定:在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:


  • 以向境内提供产品或者服务为目的;

  • 分析、评估境内个人、组织的行为;

  • 涉及境内重要数据处理;

  • 法律、行政法规规定的其他情形。


据此,条例从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等角度,分别就其中的数据处理活动提出了具体可执行的技术规定和管理规定,但同时也应该看到,数据安全产业和其他产业最大的不同点在于数据安全产业不是一个独立的产业,它搭载于国民经济的每一个行业的数据要素生产过程,不存在孤立的数据安全产品,尤其是条例明确提出了数据内容安全的法律规范后,面对数据要素生产的全生命周期,必须构建完整的网络数据安全产品体系,既包括数据生产的过程,也包括数据应用和数据服务的过程。

04Q:条例中对数据分类分级保护有哪些具体的规定?

王电:条例第五条规定:“国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。


国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。”


在第三章“个人信息保护”的第二十一、二十二、二十五条中也分别对个人信息内容的保护提出了相应的法律规定,对信息内容的颗粒度安全处理也提出了具体的安全处理要求,这就大大增加了数据安全的技术难度。


在传统的数据安全领域,数据内容安全往往依托于数据的安全防护实现,但条例中依据《中华人民共和国数据安全法》的规定,对数据对象进行了清晰的定义,并且明确提出了依据数据对象对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行保护的法律原则,这使得数据的分类分级保护必须基于数据内容的解析和处理进行。


美亚柏科:已在数据安全产业全面布局






《网络数据安全管理条例(征求意见稿)》的发布,对于数据安全领域的从业者来讲,提高了技术难度,增加了对数据的感悟,设定了竞争的门槛,同时也带来了企业发展的机遇,对标国外先进国家的技术水平和产品构成,为所有从业者营造了足够的创新空间。


作为专业的数据安全产品、服务及解决方案专家,20余年来,美亚柏科从最基础的数据安全单元做起,为国家的政治安全、经济安全、社会安全不遗余力。


致力于成为一流大数据企业的美亚柏科,已在数据安全产业方面全方位布局,从自身的特点和优势出发,构建了以“乾坤大数据操作系统”为核心、以数据感知与采集、数据治理、数据处理、数据安全、数据服务和数据运维等数据处理过程全覆盖为特点的数据安全产业布局,基本实现了条例所规范的产业形态和生态环境。


在数据安全产品体系方面,基于多源异构的海量数据形态,美亚柏科在传统安全、工控安全、数据安全、云安全和移动安全等数据安全领域颇有建树:基于数据感知与采集、数据治理、数据处理、数据安全、数据服务和数据运维等数据处理全过程所推出的“大数据安全零信任防护体系”、“网络安全防护体系”、“智慧城市安全管理运营中心”和“安全服务体系”等产品已经在国家重点行业的数据处理活动中发挥着重要的作用;


开展开放环境下的大数据安全利用研究,聚焦物联网安全、数据安全、新型攻防对抗和威胁建模分析等安全前沿技术,力图构建多维度、全视角、高可信的数据安全产品体系。


在数据内容安全技术方面,美亚柏科基于多年的经验积累,在数据的分类分级保护上,以语义词库标识为基础的数据分类分级应用得到了业界的认可,据此所提出的数据分类分级行业标准正在国家重点行业实施中,同时,还在多年数据安全研发基础上拓展了数据监测与溯源、数据隐私处理、数据安全服务。


随着各项法律法规相继发布实施,网络安全产业正迎来更加规范蓬勃的发展。当前,挑战与机遇并存,从业者在数据安全的探索中定会产生更多的派生技术,这不仅能够支撑数据内容安全的研究,同时也能够构造完整覆盖数据感知与采集、数据治理、数据处理、数据安全、数据服务和数据运维等数据要素生产过程的产业链。相信在条例的助推下,美亚柏科在网络安全行业会更上一层楼。




特约专家:信息化专家 王电编辑:李银河校对:林阳艳


——— 相关热文 ———

热文

第七届“美亚杯”圆满收官!获奖名单公布

热文

亮相央视!美亚柏科科技赋能火调事业

热文

《网络数据安全管理条例(征求意见稿)》发布,这些点可重点关注!(内附全文)

热文

美亚柏科高中级管理人员市场化选聘公告


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存