正文共:3086 字
前情
提要
6月10日,十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),并于2021年9月1日起施行。作为我国独立将数据作为保护对象的首部法律,其发布和执行将对我国经济社会发展产生重要影响,请您跟随卫士通专家的视角,一起走进这部《数据安全法》。NO.1 《数据安全法》将数据和个人信息进行了区分,不再沿用此前“征求意见稿”的立法思路。《个人信息保护法》现正在立法进程中,与《民法典》对“个人信息保护”立法思路一脉相承,与已有的《网络安全法》也有立场和体系的不同安排。《数据安全法》与《个人信息保护法》两者二分天下,这一立法思路更加科学清楚地划分了不同法律的规范对象。相比较而言,《数据安全法》更加强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益给予全面保护,也加大了惩罚力度;而《个人信息保护法》侧重于对个人信息、隐私等涉及公民自身安全的保护;
NO.2 《数据安全法》与《网络安全法》的保护内容及范围也各有差异。前者强调以数据为核心的对信息社会、数据时代的基础性支持作用,后者偏重于网络空间安全体系和关键基础设施的安全形成鲜明对比;前者将“任何以电子或者非电子形式对信息的记录”定义为数据,并不局限于互联网和电子形式,且将数据作为重要的生产要素,比后者规范的范围似乎更为广泛;
上述三部法律有很多共通之处,都是面对不同社会主体时可以互相补充、互相行使权力或者履行义务的最重要的法律规范。NO.1 数据分类分级是实现数据安全的基础,要识别出值得保护的“数据”
数据安全要做好,需要做到对数据的收集和采集、传输、存储、使用、共享、废弃等的全生命周期的防护,而数据本身太庞大,要在这其中识别出值得保护的“数据”,这是一个非常重要的工作,只有先做好数据分类分级工作才能做好后续的数据安全建设。因此,分类分级是要实现数据安全的基础和核心,这是解决当前数据安全痛点的重要抓手。《数据安全法》制定了完备的数据安全制度,如建立数据分类分级保护制度和数据安全审查制度;关系国家安全、国民经济命脉的国家核心数据将实行更加严格的管理制度;建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,以及数据安全应急处置机制,加强数据安全事件处置效率。对重要数据出境依法实施出口管制,对任何国家或者地区在于数据和数据开发利用方面的歧视性的禁止、限制,我国可根据实际情况采取相应措施。
NO.2 明确了数据安全与数字经济的关系,为数字经济的发展指明了方向对于数据本身来说,“数据”已成为重要的资产,具有非常大的价值。一旦数据被破坏或者被泄露,这些数据信息被利用后将对国家安全、公共利益和组织本身等造成损害。
本法的发布保护了“数据”这种新型资产,促进数据的开发利用,促进数据要素在市场的自由流动,可以带动数字经济不断向前发展。结合本月3日国家统计局发布的《数据经济及其核心产业统计分类(2021)》可以看到,在“产业数字化”方面,本法进一步明确了对各实体经济行业的数字化成果的保护要求,能够为实体经济参与者向数字化转型注入信心,进一步发挥数字技术对实体经济的促进作用;在“数字产业化”方面,本法对数据全生命周期的防护要求和对各方责权的认定,直接作用于数据的采集汇聚、交易流通、分析利用等处理过程,保护了数据产业参与方的利益,对数字产品的制造业和服务业、数字技术应用业、数字要素驱动业的健康发展具有重要意义。
NO.3 明确了各方职责,对数据安全做到有法可依,并加大了惩罚力度,提高了违法成本,可以大大减少数据乱用、滥用、违规用而不受处罚的行为
《网络安全法》只对数据的完整性、保密性、可用性进行了要求,《数据安全法》更进一步,对乱用、滥用个人、组织与数据的行为明确应当采取合法、正当的方式,不得窃取或者以其他非法方式获取,并要求国家安全领导机构、公安、网信、各行业主管单位在数据安全监管中职责做到有法必依,填补了对数据这种重要要素的立法空白,完善了网络空间安全治理的法律体系。
《数据安全法》对开展数据处理、向境外提供重要数据、从事数据交易中介服务、不配合公安机关、国家机关依法调取数据、未经批准向国外司法或者执法机构提供数据等数据安全违法的活动的组织、个人赋予了多项处罚说明;对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。NO.4 明确了政务信息系统建设、运营、服务等各方的法律职责,使企业可以参与到对政务信息系统数据的处理中,可以更好促进政务数据更加开放共享政务数据覆盖类别多,数据体量大,涉及国计民生,在一定范围内安全、合理开放共享将促进国家数字经济发展。《数据安全法》明确国家将制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。与此同时,还将推进电子政务的建设。
《数据安全法》明确政务数据共享开放须落实数据安全保护责任,保障政务数据安全。国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序。个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密。遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。
NO.5《数据安全法》将全面推动商用密码产业与数字经济更加协调融合发展
密码是实现数据安全的核心技术与基础支撑,要实现数据安全,绕不开密码的身份认证、加密功能,密码是数据安全的底线,这也是最后一道防线,相关密码技术及产品在护航数字经济发展的作用将更加突出。如密码技术的身份鉴别、访问控制、数据加密、密文计算、数据脱敏等措施,可有效解决数据产生、传输、存储、处理、分析、使用等全生命周期安全问题。基于密码的数据标识、数字签名、数字内容和产权保护、区块链等技术可确保数据安全有序流动,同时为数据溯源、行为追踪、隐私保护提供有效支撑。
NO.6 鼓励了数据产业的发展,数据安全领域技术与产业将迎来新一代的发展热潮
明确国家坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念,从数据安全制度建设层面保障数据安全,进一步迭代和促进数据产业的健康发展。在数据为关键要素的数字经济时代,《数据安全法》配套的管理办法、指导意见、实施办法、检测评估标准将陆续推出。《数据安全法》的实施也将进一步推动数据安全领域的技术、产品创新和产业发展。
03
以密码为核心,卫士通长期致力于数据安全保护与数据安全治理
数据安全是卫士通公司的重要战略方向之一,从深耕数字时代的网络安全、密码技术,打造出卫士通的网络空间安全、数据安全的能力体系,公司将借助该法律的东风,充分发挥密码技术优势,结合数据安全的场景化需求,以数据分类分级为治理思想,持续为党政、军队、军工、央企、金融、能源、电信、社保、保险等用户提供数据全生命周期的防护,为用户筑牢数据安全底线,打造数据安全保障体系,面向数据分类分级防护、数据追踪溯源、数据共享交换过程等场景化提出了系列的数据安全解决方案,为用户达到数据资产的“可识、可控、可查、可用”的数据安全治理目标,有效的应对数据安全风险与挑战,在保障数据安全的同时让数据价值最大化。
未来,卫士通在数据安全能力体系的全面赋能下,将贯彻并落实国家“十四五”规划发展战略,携手更多合作伙伴一起为数据产业、数字经济、数字中国的发展添砖加瓦。
关于卫士通的数据安全系列解决方案我们会陆续发布,敬请关注!
通讯 | 系统总体与方案中心
编辑 | 战略市场部