《〈数据安全法〉:构建数据安全的全方位保障体系》
图片来源于网络,如有侵权联系删除
《数据安全法》于2021年9月1日起施行,这部法律的出台具有深远意义,它从多个方面构建了数据安全的保障体系。
一、明确数据安全的基本原则和监管体制
1、基本原则
- 数据安全法确立了以数据分类分级保护为核心的基本原则,这意味着不同类型和级别的数据将根据其重要性、敏感性等因素得到相应程度的保护,涉及国家安全、个人隐私、商业机密的数据会被列为重点保护对象,通过这种分类分级,可以更有针对性地制定安全策略,避免资源的浪费,提高数据安全保护的效率。
- 强调了数据安全与发展并重的原则,在当今数字经济蓬勃发展的时代,数据是重要的生产要素,一方面要保障数据的安全,防止数据泄露、滥用等情况;也要鼓励数据的合理开发利用,促进数字产业的健康发展,不能因为过度强调安全而阻碍了数据的正常流动和创新应用,也不能只追求发展而忽视安全风险。
2、监管体制
- 建立了统一领导、分级负责的数据安全监管体制,在国家层面,由中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,各地区、各部门在各自职责范围内承担相关数据安全监管职责,这种体制既保证了在国家战略层面的统一规划和协调,又能充分发挥地方和部门的积极性,使数据安全监管覆盖到各个角落。
二、数据安全管理制度的构建
1、数据分类分级制度
- 要求各行业、各领域按照国家数据分类分级要求,对本行业、本领域的数据进行分类分级,金融行业的数据可能涉及大量客户的资金信息、信用信息等,这些数据的敏感度较高,应被划分为较高级别进行保护,企业需要根据自身业务特点和数据的性质,制定详细的数据分类分级标准和管理流程,这有助于企业合理分配安全资源,对关键数据采取更为严格的保护措施,如加密存储、严格的访问控制等。
2、数据安全风险评估制度
图片来源于网络,如有侵权联系删除
- 规定数据处理者应当定期开展数据安全风险评估,数据处理者包括各类收集、存储、使用、加工、传输、提供、公开数据的组织和个人,通过风险评估,可以及时发现数据安全存在的潜在威胁,如数据存储系统的漏洞、网络传输中的安全风险等,一家互联网企业在进行风险评估时,可能发现其用户注册登录系统存在弱密码风险,从而及时采取措施要求用户强化密码设置,修复系统漏洞,提高数据的安全性。
3、数据安全应急处置制度
- 明确在发生数据安全事件时的数据安全应急处置要求,当数据泄露、数据被恶意篡改等事件发生时,数据处理者应当立即采取补救措施,并按照规定向有关主管部门报告,主管部门应根据事件的严重程度启动相应的应急预案,在发生大规模用户数据泄露事件时,企业应及时通知受影响的用户,采取措施防止数据进一步泄露,如暂停相关业务、修复安全漏洞等,同时向监管部门如实报告事件的经过、影响范围等情况,监管部门可以协调各方资源,如技术专家、安全厂商等,共同应对数据安全事件,降低损失。
三、对数据处理者的规范要求
1、数据处理者的安全义务
- 数据处理者需要建立健全全流程数据安全管理制度,从数据的采集环节开始,就要遵循合法、正当、必要的原则,在采集用户个人信息时,必须明确告知用户采集的目的、范围和方式,并取得用户的同意,在数据存储环节,要保证数据存储的安全性,采用合适的存储技术和设施,防止数据丢失或被非法访问,在数据使用和加工环节,要确保数据的使用符合法律法规的规定,不得对数据进行非法篡改或滥用,在数据传输环节,要采用加密等安全技术,保证数据在网络传输过程中的保密性、完整性和可用性。
2、重要数据处理者的特别义务
- 对于重要数据的处理者,法律规定了更为严格的义务,重要数据处理者应当明确数据安全负责人和管理机构,对重要数据的处理活动进行记录并定期审计,这有助于加强对重要数据处理的内部管理和监督,一家大型能源企业,其涉及国家能源战略布局、能源生产设施运行等重要数据,该企业需要指定专门的数据安全负责人,建立专门的管理机构,对数据处理过程中的每一个操作进行详细记录,定期进行内部审计,确保重要数据的安全。
四、促进数据跨境安全有序流动
1、跨境数据流动的原则
- 《数据安全法》对数据跨境流动进行了规范,在保障国家安全、公共利益的前提下,允许数据跨境流动,这体现了在全球化背景下,既要满足企业国际业务开展、国际合作交流等需求,又要确保国家主权、安全和发展利益不受损害,一些跨国企业需要将部分业务数据传输到国外总部进行分析和处理,在符合我国法律规定的情况下,如进行数据出境安全评估等相关程序后,可以实现数据的跨境流动。
图片来源于网络,如有侵权联系删除
2、跨境数据流动的监管措施
- 建立了数据出境安全评估等监管措施,数据处理者向境外提供数据时,需要进行安全评估,评估内容包括数据出境的目的、范围、数据接收方的安全保障能力等,这有助于防止重要数据、敏感数据被非法传输到境外,避免对国家利益造成损害,国家也在积极探索与其他国家和地区建立数据跨境流动的双边或多边合作机制,在国际规则制定中发挥积极作用,推动数据跨境安全有序流动的国际治理。
五、对个人信息保护的强化
1、个人信息保护与数据安全的关联
- 个人信息作为一种特殊类型的数据,在《数据安全法》中也得到了重点关注,个人信息的安全是数据安全的重要组成部分,数据安全法与《个人信息保护法》等法律法规相互衔接,共同构建了个人信息保护的法律框架,在数据处理过程中,对于包含个人信息的数据,数据处理者不仅要遵守数据安全法关于数据安全的一般规定,还要遵循个人信息保护法中关于个人信息收集、使用、存储、共享等方面的特殊规定。
2、防止个人信息被滥用的措施
- 从数据安全的角度,通过对数据处理者的严格监管,防止个人信息在数据处理过程中的滥用,数据处理者不得非法买卖、提供或者公开他人个人信息,在数据共享场景下,必须经过个人信息主体的明确同意,并且共享的目的、范围等必须符合法律法规的规定,数据处理者要采取技术和管理措施,如数据脱敏技术,在保证数据可用性的前提下,降低个人信息泄露的风险。
《数据安全法》从多方面对数据安全进行规范和保障,适应了数字时代发展的需求,为我国在数据安全治理方面奠定了坚实的法律基础。
评论列表