首頁 > 關于我們 > 安恒動態 > 2020 > 正文

解讀｜《數據安全法（草案）》到底說了什么？這30個要點必知！（附解決方案）

閱讀量：次

引言

數據安全法（草案）

隨著全球數字經濟的快速展，當前對數據掌控和利用能力，已成為衡量國家之間競爭力的核心要素。今年4月份，中央首次明確了將數據作為五大生產要素之一，加快對數據要素市場的培養，并通過新基建等一系列措施進行政策的落地。面對數字經濟迎來新的發展機遇同時，國內外數據安全的形勢不容樂觀，根據公開報道，2019年數據泄露事件達到7098起，涉及151億條數據記錄，比2018年增幅284%。數據泄漏事件影響大、損失重。

數據安全是數字經濟的零因子，零乘以億萬等于零。2020年6月28日，第十三屆全國人大常委會第二十次會議初次審議了《中華人民共和國數據安全法（草案）》（以下簡稱“數安法”）。7月3日在中國人大網公布，向社會征求意見，通過立法實現數據安全與共享的平衡發展。

數據安全

外力驅動和內部需求，促使數安法快速落地

外力驅動

2018年3月23日，美國總統特朗普正式簽署了《澄清域外合法使用數據法》，法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件，無論服務提供者的通信、記錄或其他信息是否存儲在美國境內，要求服務商根據該法案進行調取并提供相關證據。

2018年5月25日，歐盟《一般數據保護條例》（GDPR）正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外，只要處理的是歐盟境內居民的數據，均適用此法案，對數據實施長臂管理。

面對歐美國家將數據主權從物理邊界轉向技術邊界，將會直接影響到第三方國家的主權，在數據跨境流動愈加頻繁的今天，必須盡快完善我國相關法律法規，保護我國國家利益、跨國公司以及公民個人利益。

內部需求

當前全球經濟傳統經濟增長緩慢，尤其上半年全球“新冠疫情”給經濟帶來了沉重的打擊。迫切需要通過新的經濟增長點拉動內需，增加就業，而數字經濟正是切入點和發動機。國家將發展數字經濟提升到國戰略高度則水到渠成。

通過近年來數字經濟增速也證明數字經濟發展空間巨大，通過信息院的調研報告，發現數字經濟增長顯著高于同期的GDP，是帶動國民經濟發展的關鍵力量。2019年我國數字經濟規模已經達到35.8萬億元，占GDP比重達到36.2%。

數據安全

圖：我國數字產業規模

在2020年初，各省根據中央要求，印發“關于支持數字經濟發展若干政策實施細則”等相關通知，全面推進數字設施化、設施數字化的進程，全力打造數字經濟。因此，亟需一部國家的基本法，為中國數字經濟的安全發展保駕護航。

上述背景下數安法誕生，恰逢其時，維護了我國的數據主權，保障了國家的安全、促進了經濟健康發展。

數安法要點解讀和提煉

數安法的發布標志著我國將數據治理的政策要求，通過法律文本的形式進行了明確和強化。本法一共七章五十一條，其中 “總則”、“法律責任”及“附則”三章屬于常規章節，另外四個章節圍繞著“數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放”來提出要求。

圖：數安法七個章節

我們對數安法進行深入解讀后，為大家提煉出30個要點。

總則的要點

1) 適用范圍：在中國境內開展數據活動的組織和個人。

2) 保護要求：釆取必要措施，對數據進行有效保護和合法利用，并持續保持其安全能力。

3) 責任任務：工業、電信、教育等行業和地方各部門承擔本行業、本領域的數據安全監、管職責。網信部門負責統籌協調和監管。

數據安全與發展要點

4) 發展原則：維護數據安全和促進數據開發并重發展。

5) 戰略要求：省級以上人民政府應制定數字經濟發展規劃。

6) 標準體系：國家主管部門負責相關標準和體系的制定。

7) 評估認證：國家促進數據安全檢測評估、認證等服務的發展，支持專業機構依法開展服務。

8) 人才培養：要釆取多種方式培養數據開發利用技術和數據安全專業人才。

數據安全制度要點

9) 分級分類：數據要求實行分級分類，形成數據保護目錄。

10) 風險評估：要建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。

11) 應急處置：要建立數據安全應急處置機制。

12) 安全審查：要建立數據安全審查制度。

13) 出口管制：對屬于管制物項的數據依法實施出口管制。

數據安全保護義務要點

14) 管理制度:建立健全全流程數據安全管理制度，組織開展教育培訓。

15) 風險監測：對出現缺陷、漏洞等風險，要釆取補救措施；發生數據安全事件要按規定上報。

16) 風險評估：定期開展風險評估并上報風評報告。

17) 數據收集：任何組織、個人收集數據必須釆取合法、正當的方式，不得竊取或者以其他

非法方式獲取數據。

18) 數據交易：數據服務商或交易機構，要提供并說明數據來源證據，要審核相關人員身份并留存記錄。

19) 經營備案：數據服務經營者取得經營業務許可或備案。

20) 配合調查：要求依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據，須先審核。

政務數據安全與開放要點

21) 管理制度:建立健全全流程數據安全管理制度，落實數據安全保護責任。

22) 存儲加工：委托他人存儲、加工或提供政務數據，要先審批，并做好監督。

23) 數據開放：構建統一政務數據開放平臺，發布數據開放目錄，推動政務數據開放利用。

法律責任要點

24) 未釆取必要的安全措施: 責令改正和警告，給予單位1萬至10萬元罰款，給予負責人5000至5萬元罰款；拒不改正或造成大量數據泄漏等嚴重后果的，給予單位10萬至100萬元罰款，給予負責人1萬至10萬元罰款。

25) 交易來源不明的數據：沒收違法所得，對違法所得一至十倍罰款。沒有違法所得的給予10萬至100萬元罰款，或吊銷營業執照；對主管和直接責任人1萬至10萬元罰款。

26) 無證照經營：取締，對違法所得進行一至十倍的罰款。沒有違法所得，給予10萬至100萬元罰款，對主管和直接責任人處1萬至10萬元罰款。

27) 國家機關不履行安全保護義務：對負責人和直接責任人員依法處分。

28) 國家工作人員違法：因玩忽職守、濫用職權、徇私舞弊，未構成犯罪的給予處分。

29) 給他人造成損害：依法承擔民事責任。

30) 涉及國家秘密和軍事秘密數據，依據《中華人民共和國保守國家秘密法》以及相關法律法規執行。

數安法是繼《網絡安全法》提出數據的概念后，國家在數據安全立法層面的一個重大里程碑，注定了是中國數字經濟高速發展的壓艙石和定海神針。

企業數據安全治理的幾點建議

數安法作為數據安全管理的基本大法，給我們指明了方向和提供法律保障。隨著產業的擴大和數據種類的日益豐富，當前各行各業都在探索如何安全、高效的做好本行業數據安全的治理，由于數據類型的復雜性和應用場景的多樣性，目前為止，還沒有行業通用的數據安全治理標準和模型。

我們通過各類數據泄密事件分析，發現大部分數據安全事件是由于內部管理不到位，由內部人員引發。

企業數據安全圖：數據泄漏事件分布圖

如何建立一個以預防、發現、消除泄密隱患為主的數據安全管理體系？我們建議從組織架構、規章制度、技術防護、監督檢查、教育培訓、運行維護六個方面入手，將數據安全管理和技術防護滲透到業務流程的各個環節，一旦發生泄漏情況，以責任人為點，以業務流程為線，做到在最短時間內找到風險點并加以補救。

由于數據安全治理是一個長期的、系統化工程，本著三分技術、七分管理的原則，建議企業從六個方面進行規劃和建設。

數據安全管理結構圖：數據安全管理架構圖

建立健全管理組織機構

企業數據安全管理的成敗，主要取決主要領導是否重視，是否建立了一套完善數據安全管理組織，這是數據安全的重要保障。要形成“管理層重視、一把手負責、全員參與”的管理模式。

數據安全圖：安全組織架構搭建建議

同時，建議明確部門和相關人員職責，要責任到人。

圖：部門職責示例

制定落實安全制度體系

建立健全完善的企業安全規章制度，保障數據安全管理體系的有效運行，制度包括策略、標準、基線、流程和操作指南等，分級別進行管理。制度中的要求和標準或流程，可以通過培訓，讓每位員工知悉，并自覺遵守。

各業務部門在業務推進時，根據風險和業務需求，自行制定和發布四級文件，促進業務的安全開展。

圖：制度文件示例

加快技術智能化推進落實

技術不是萬能的，但是沒有技術卻是萬萬不能的。我們已經進入了大數據時代，在云安全、大數據安全、物聯網安全、工業互聯網安全、智慧城市安全等新安全的需求下，傳統的網絡邊界被打破，現有的技術和管理已無法滿足其業務的安全需求，面臨安全的新態勢、新要求，在繼續做好業務安全的基礎之上，通過智能化管理平臺，實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。

圖：數據安全生命周期管理架構

抓好常態化的教育培訓

俗話說：“成功的奧秘第一靠人，第二靠人，第三還是靠人”，人在數據安全管理中是關鍵因素，也是最不可控的因素。企業可以通過例行化、常態化、系統化的安全意識教育來提升全體員工的安全意識，使員工對安全要求牢記在心，并形成良好的人員操作習慣。

我們可以通過多種形式的教育培訓：一是借助企業各類平臺，如郵件系統、墻面海報、電視等進行宣傳，二是組織專題信息安全意識培訓，如新員工培訓、專題討論會等。三是借助外力組織全公司的安全宣傳周活動等形式，全面提升員工安全意識。

圖：培訓內容示例

加強數據安全的監督檢查

監督檢查是驗證企業數據安全管理工作成果的重要抓手，通過安全檢查，一是可了解安全和業務是否匹配，是否阻礙業務開展，是否形同虛設。二是可及時發現業務的風險和隱患，提出改進要求。三是以查代訓，提升員工對數據安全的重視程度。

在技術方面，安全部門也可以主動發起模擬釣魚郵件攻擊，通過實戰來驗證員工安全意識狀態，檢查結果全員公布，警鐘長鳴。

監察內容實力圖：監督檢查內容示例

優化安全運營的防控體系

安全運營不可一蹴而成，要和企業的各階段的安全建設相匹配，分階段實施：

? 第一階段是安全基礎設施建設，具備基本檢測和防御能力，管理以補齊安全能力為主。

? 第二階段通過搭建安全團隊，完善安全系統建設，具備掌握系統或工具的使用方法，實現被動防御的能力，形成初步安全運營能力。

? 第三階段對專職人員進行技能培訓、攻防演練等高階訓練，不斷提升安全團隊的能力。通過建設大數據態勢感知平臺，對攻擊行為進行自學習和自識別，實現主動防御，并具備安全威懾和反制能力。

在整體安全運營中，可參照PDCA模型循序漸進，通過對安全組織、制度、技術、培訓、檢查等各子模塊的不斷研究、建設、服務和優化，形成一個完整的PDCA循環體系，以全面提升企業數據安全管理能力。

圖：安全運營示例

作為新安全領域的安恒信息，以“助力安全中國、助推數字經濟”為使命，為客戶提供專業安全產品和安全服務，13年以來深耕網絡和信息安全領域。在本輪的數字經濟大潮中，我們將和行業同仁一道為中國數字經濟發展賦能，共同筑起信息安全的新“長城”。

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業互聯網安全>