《数据安全法》解读系列文章一:国家任务映射到企业落地建议
创建时间:2021-06-15 浏览次数:1514

数据安全法

背景

数据作为我国新兴的生产要素,是国家基础性和战略性资源,其价值凸显;数据不仅关乎每个人、每个组织的利益,同时与国家安全、经济发展有着密切的关系,必须得到全方位保护。各国纷纷立法加强了数据安全管控,我国于 2021年6月10日公布《中华人民共和国数据安全法》, 并于2021年9月1日起正式施行。

《数据安全法》发布,标志着我国数据安全已上升到国家安全层面,弥补了我国数据安全领域的法律空白;我国数据安全建设工作及监管工作正式步入有法可循、有法可依的新时代。该法明确了数据、数据处理、数据安全的范畴,厘清了数据安全防护的主体责任,规范了国家机关、企业、个人在数据安全防护的职责,为数据安全防护奠定了基础。


数据安全

总览

《数据安全法》分为七章,明确定义了数据、重要数据、国家核心数据,从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放,明确了国家机关、组织、企业数据安全保护的职责,国家层面建立了数据安全治理体系、数据安全工作协调机制、数据分类分级制度等,同时明确了组织、企业、个人数据安全保护义务及处罚条款。

《数据安全法》总览


数据安全

合规建议


>> 数据安全与发展映射到企业落地建议


国家统筹发展和安全,从政策上支持、培训、发展数据利用和数据安全产品和产业,为更好的落地,企业应积极响应国家号召,其工作可映射到企业侧,国家任务如下:

国家任务


国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展;

 国家实施大数据战略

 国家支持开发利用数据提升公共服务的智能化水平;

 国家支持数据开发利用和数据安全技术研究鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系;

 国家推进数据开发利用技术和数据安全标准体系建设,国家支持企业、社会团体和教育、科研机构等参与标准制定

 支持数据安全检测评估、认证等专业机构依法开展服务活动;

 国家支持政府、企事业单位、教育和科研及行业和专业组织等在数据安全风险评估、防范、处置等方面开展协作

 国家建立健全数据交易管理制度

国家支持开展数据开发利用技术和数据安全相关教育和培训


企业侧映射及落地建议如下:


企业映射


 企业在进行数据利用开发时,应同样注重数据安全治理;

 企业可加大公共服务智能化研发、创新,并通过申报获取国家政策支持需考虑避免对老年人、残疾人的日常生活造成障碍;

 企业可加大数据开发利用和数据安全技术研发、创新,并申报国家、部委级相关奖项及相应的扶持政策;

 企业有能力的情况下,积极参与数据开发利用与数据安全标准制定

 企业建立内外部协作机制,指定相应的部门或人员负责具体协作事务

 有能力的企业可获取数据安全检测评估、认证服务资质,对外提供相应服务;对于技术能力缺乏或人力不足的企业,可以购买第三方专业机构提供的数据安全检测评估、认证服务,以满足法律法规要求;

 数据交易企业/平台企业应在国家数据交易管理制度的基础上,完善企业内部数据交易管理制度,规范数据交易行为;

有能力的企业对外,可提供数据开发利用技术和数据安全相关教育和培训服务对内企业可定期开展数据安全、安全开发等相关技术技能、规范培训教育。

建议动作


 合作进行数据开发利用和数据安全技术研发;

 企业参与国家标准、行业标准、团体标准、地方标准制定;

 企业建立内外部协调机制,并指定专人负责内外部协调;

 企业定期开展数据安全监测评估等;

企业定期开展数据安全人才培养和储备。


>> 数据安全制度映射及企业落地建议


国家建立数据分类分级保护制度、数据安全工作协调机制、风险管理机制、数据安全应急处置机制、数据安全审查机制以及数据出口管制机制,国家主要任务如下:


国家任务


 建立数据分类分级保护制度,对数据实行分类分级保护。

 数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

▚ 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度

 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

 国家建立数据安全应急处置机制。

 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查

 属于管制物项的数据依法实施出口管制。

数据和数据开发利用技术投资、贸易中采取对等反制措施。


企业侧映射落地建议如下:


企业映射


 建立数据分类分级和重要数据管理制度,完善数据分类分级技术能力建设,全面开展数据分类分级梳理和重要数据识别,形成数据分类分级清单和重要数据保护清单;(数据分类分级和重要数据识别互联网和基础电信企业可参考《基础电信企业数据分类分级方法》(YDT 3813-2020)、《基础电信企业重要数据识别指南》(YDT 3867-2021),金融企业可参考《金融数据安全 数据安全分级指南》(JRT 0197-2020))。

▚ 企业应全面梳理企业自身是否具有国家核心数据,并制定严格的管理制度,对国家核心数据实施清单化管理;

 企业建立数据安全监测技术能力,并按要求上报相关数据安全风险评估、报告、信息共享、监测预警信息;

 制定企业级数据安全应急预案,并定期开展应急演练和培训

企业业务涉及数据跨境时,需进行国家安全审查,同时数据跨境所在国家或地区的企业是否在管制范围或反制名单内


>> 政务数据安全与开放映射到企业落地建议


国家机关应建立健全全流程数据安全管理制度,落实数据安全保护责任,在职责范围内,按照规定条件和程序收集和使用政务数据,制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用,其工作可映射到企业侧,国家任务如下:


国家任务


  国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性;

  国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;

  建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全;

  国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序;

  国家制定政务数据开放目录


企业侧映射及落地建议如下:


企业映射


 企业应严格遵守政务数据数据安全管理制度,积极配合监督检查;

承接建设、维护电子政务系统,存储、加工政务数据的企业,要履行相应的数据安全保护义务,不得擅自留存、使用、泄露或向他人提供政务数据,对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密