《中华人民共和国数据安全法》从数据安全与发展,安全制度,安全保护义务,政务数据安全与开放四大领域结合整体数字经济的发展提出了发展与安全并重的具体要求。全国人民代表大会常务委员会通过。2021年9月1日起施行。
总体框架包括了七章五十五条,是数据安全领域的基础性法律,同时又是继网络安全法发布之后,又一部重大法律。
适用范围包括:中华人民共和国境内开展数据活动,适用本法,在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
1、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
2、确立数据分级分类管理以及风险评估,监测预警和应急处置等数据安全管理各项基本制度;
3、坚持安全与发展相互促进,支持数据安全技术、产品和培训服务的拓展;
4、确立保障政务数据安全和拖动政务数据开放的制度措施。
数据梳理
敏感数据梳理及不同角色权限梳理
入侵防御
对外部攻击进行有效防护,对内部数据库漏洞进行有效防护,防止漏洞利用。
权限管控
针对不同访问需求,规范信息管理员、运维人员等的不同数据访问权限,实现内部数据操作行为的有效控制与监管。
脱敏流转
数据使用流转过程,遵循数据最小使用原则,去标识,去隐私,实现数据的安全高效利用,提升数据的使用价值。
密文存储
重要的核心数据,加密存储,支持国密算法,满足合规要求,守护数据安全。
监管稽核
从数据产生,到场景化使用,进行流向监控、精准分析,实现有效监管。
第二十一条 国家建立数据分类分级保护制度,根据…对数据试行分类分级保护,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
解读:数据分类分级服务(含数据资产梳理、分类分级标准、级别打标、分类管控)。
开展数据处理活动应当按照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
解读:数据安全治理 (咨询服务:数据安全管理制度、分级分类、安全培训、安全评估、建设方案)(技术措施:敏感数据识别、防火墙、审计、脱敏、加密、水印、安全评估、管控运营平台等)。
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
解读:可以通过数据安全技术管控(数据库防火墙、数据安全风险评估、数据库安全审计、数据安全运营管控平台等)。
国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
解读:数据安全治理(咨询服务:数据安全管理制度、分级分类、安全培训、安全评估、建设方案),(技术措施:敏感数据识别、数据库防火墙、数据库审计、数据库脱敏、数据库加密、数据水印、数据安全风险评估、数据安全管控运营平台等)。
【第四十四条】
有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
【第四十五条】到【第五十条】
继承了《国家网络安全法》的双罚机制,开展数据处理活动的组织、个人,从事数据交易中介服务的机构,拒不配合数据调取的,国家机关不履行本法规定的数据安全保护义务的,组织罚款5万到50万,直接负责的主管人员和其他直接责任人员罚款1万到10万。
【第五十一条】和【第五十二条】
窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。违反本法规定,给他人造成损害的,依法承担民事责任。
数据处理:包括数据的收集、存储、使用、加工、 传输、提供、公开等。
数据安全:是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及保障持续安全状态的能力。
《网络安全法》网络数据:通过网络收集、存储、传输、处理和产生的各种电子数据。
《民法典》个人信息:以电子或者其他方式记录的能够单独或者与其他信息总结合识别特定自然人的各种信息,包括:姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
《数据安全管理办法》:数据收集、存储、传输、处理、使用等活动。
重点行业:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
管理制度:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。