细数《数据安全法(草案)》要点
作者:安华金和 发布时间:2020-07-20

微信图片_20200720092741 副本.jpg

近期,各方围绕《中华人民共和国数据安全法(草案)》(下文简称《数安法(草案)》)热议不断;这样一部代表我国数据安全治理特色的法律草案,其所涵盖的内容与传递出的信号远比用于描述它的文字要多得多!

作为一家成立已逾十一年,专注数据安全的行业领跑者,安华金和自2016年在国内首倡“数据安全治理”理念之后,实践的脚步从未停顿。如今《数据安全法》确立在即,先行者的坚持终于迎来了一座“里程碑”!此刻回望来路,诸事历历在目。在本文中,安华金和将结合实践经验与成果,针对《数安法(草案)》当中的十六项条款进行细致解读:

草案摘要

· 明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;

· 确立数据分级分类、风险评估,检测预警与应急处置等数据安全管理基本制度;

· 坚持数据安全与发展相互促进,支持对数据安全技术、产品及培训服务的拓展;

· 推进电子政务建设,确立“保障政务数据安全、推动政务数据开放”相关制度。

逐条细看

第三条

微信图片_20200720092812 副本.jpg

[解读]

1. 相较《网络安全法》对数据的定义和涵盖范围更广,不局限于“互联网和电子形式”;

2. 相较《数据安全管理办法(征求意见稿)》,新增“加工、提供、交易、公开”四个数据活动环节;

3. 强调了“持续保障能力”对于数据安全的重要性。

第四条

微信图片_20200720092817 副本.jpg

[解读]

明确强调,应建立“数据安全治理”体系,用以提高数据安全保障能力。

2016年,安华金和在国内首倡“数据安全治理”理念,并于2017-2019年连续举办三届“中国数据安全治理高峰论坛(DSG)”!中国数据安全治理建设一路走来,披荆斩棘、从无到有,在安华金和及后续参与者不断实践的过程中持续成长、发展,日益为更多行业领域及客户群体所认识、认知与认可。随着《数安法(草案)》的公布,安华金和对数据安全治理“体系化、系统化、模型化”的理论研究与实践方向,即将从法律层面得到“认可”。

· 首届中国数据安全治理高峰论坛圆满召开

· 第二届中国数据安全治理高峰论坛圆满召开

· 第三届中国数据安全治理高峰论坛圆满召开

第六条、第七条

微信图片_20200720092822 副本.jpg

[解读]

通过如下两张示意图,我们将更加直观的理解《数安法(草案)》对开展数据安全工作的“监管体系”设置与“角色责任”划分。

微信图片_20200720092826 副本.jpg

(图1:监管体系)

微信图片_20200720092829 副本.jpg

(图2:角色责任)

第十二条、第十三条

微信图片_20200720092834 副本.jpg

[解读]

明确“数据安全与发展”是并行并重、相互促进的关系,鼓励并支持数据在各行业、各领域的创新应用,让数据作为生产要素在保障安全的前提下高效流转,即数据的“绝对安全”不是最终目的,而要将其作为持续促进社会经济与产业发展的基础与动能。

安华金和很早就意识到:数据的真正价值,只有通过流动和使用才能得到充分发挥。“让数据使用自由而安全”是安华金和的企业愿景与座右铭,并融入到公司多年数据安全治理实践的方方面面。

· 央视《态度》栏目专访安华金和CEO刘晓韬

· 数据安全治理:从严防死守到价值流动

· 流动的时代 · 让数据使用自由而安全

第十四条、第十五条

微信图片_20200720092839 副本.jpg

[解读]

明确了从国家层面对数据安全技术、产品、服务及产业体系创新发展的重视和支持;同时,鼓励并支持符合条件的厂商、企业参与数据安全相关标准制定与体系建设工作。关键词:“技术创新、产品迭代、产业升级、体系建设、标准制定”。

作为等分保数据库安全产品标准等国家标准的参与制订单位,安华金和一直积极响应国家及行业号召,仅2020年已先后参与《金融数据安全 数据生命周期安全规范(征求意见稿)》、《关键信息基础设施网络安全监测预警数据规范》、《信息安全技术 关键信息基础设施数据流动安全监管强化要求》、《信息安全技术 关键信息基础设施安全运营一体化强化要求》、《数据安全风险监测评估实施指南》等标准制定工作。

此外,安华金和于“中国数据安全治理高峰论坛”期间发布《数据安全治理白皮书》、《数据安全治理建设指南》;与行业知名咨询机构联合发布《数据库安全应用指南》、《数据脱敏应用指南报告》;公司旗下数据库攻防实验室多次发布《数据库漏洞安全威胁报告》、《数据安全事件盘点及行业分析报告》等参考资料。

· 《数据脱敏应用指南报告》

· 《数据库安全应用指南》

· 《2019年全球数据安全事件盘点及行业分析报告》

· 《2019年数据库漏洞安全威胁报告》

第十八条

微信图片_20200720092844 副本.jpg

[解读]

强调企业开展数据安全相关教育、培训以及培养内部数据安全专业人才等工作的重要性;说明企业不只是数据安全产品、服务的使用者和需求方,应积极参与到数据安全建设之中。

作为国内专业、领先的数据安全厂商,安华金和十分重视面向客户企业、渠道合作伙伴等的数据安全教育和培训工作;疫情期间,安华金和在线上持续开展包括“DBSEC数据安全培训认证”、“数据安全直播课程”在内的一系列数据安全培训、交流活动。

·  DBSEC数据安全全国渠道培训认证进行中

· 13场数据安全演说课程一次收录

第十九条

微信图片_20200720092848 副本.jpg

[解读]

延续了我国对数据分级分类的管理思路,根据可能引发数据安全事件的“危害程度”,对数据实行“分级分类”认定与保护;并通过法律授权的方式,让多个主体参与到相关认定工作中来,形成各自的重要数据保护目录,体现出“多元治理”的概念。

“分级分类”是安华金和数据安全产品与解决方案设计的重要一环,也是客户实现“权限最小化”和“细粒度管控”等需求的重要前提和基础;厂商应参考数据分级分类科学方法,结合国家及行业相关法律法规、政策指南以及企业自身实际需求,与客户共同制定数据分级分类标准,帮助企业根据不同需求对数据资产(例如一般数据、重要数据、敏感数据等)执行重点、有针对性的防护措施。

 · 安华金和数据资产梳理系统

· 大数据安全治理的需求目标与建设过程

第二十五条

微信图片_20200720092853 副本.jpg

[解读]

强调对数据的采集、传输、存储、处理、交换、共享等“全流程”安全管控的重要性;同时,应定岗定责、规范流程,建立组织完整、严格落地的数据安全治理体系。

数据安全治理是“点线面”多维防护共建的过程!安华金和在设计“数据安全能力成熟度模型”时,专门针对数据的全生命周期,结合实际业务需求及相关监管法规要求,持续提升客户整体的数据安全能力,构建以数据为核心的安全治理体系。

· 《数据安全治理白皮书》2.0

· 《数据安全治理建设指南》

第三十条、第三十一条

微信图片_20200720092856 副本.jpg

[解读]

1. 首次确立了数据交易中介服务机构在“数据安全防护”方面的义务;

2. “经营业务许可与备案”依据出自工信部《电信业务经营许可管理办法》和《电信业务分类目录》,所对应的《中华人民共和国电信条例》并无上位法支撑;此次《数安法(草案)》的公布,在一定程度上填补了《中华人民共和国电信条例》上位法缺失的情况。

第三十六条、第三十七条、第三十九条

微信图片_20200720092901 副本.jpg

[解读]

1. 强调应通过“制度化”管理保障政务数据安全;

2. 明确在使用政务数据的过程中,责任主体不变;

3. 明确了构建“政务数据开放平台”的价值作用。

历经多年深耕,安华金和在政务数据安全领域积累了丰富的项目实践经验,针对政府机构在数据共享时代所面临的的安全、合规需求及平台建设特点,具备成熟的产品与解决方案。

· 政府大数据共享平台安全实践

· 政务数据共享背景下的脱敏实践

· “互联网+政务”时代的数据公开与保护思路

第四十二条

微信图片_20200720092907 副本.jpg

[解读]

明确指出,违反“数据安全保护义务”等本法条款规定,将受到警告、罚款等法律制裁。

梦想正在照进现实~

距离草案公开征求意见截止日期2020年8月16日还有不到一个月的时间,《数据安全法》相关立法工作已开始倒数计时,数据安全行业即将步入“有法可依,有法必依”的新阶段!作为一家中国数据安全企业,安华金和将与广大客户及全体数据安全从业者共同见证这一重要历史时刻的到来,并紧跟时代发展趋势,专注专业、保持前进,让数据使用自由而安全!