↑ 点击上方“安全狗”关注我们
近日,国家互联网信息办公室发布了关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知。此份征求意见稿的拟定,旨在落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
此前,国家也发布了与数据安全、信息安全相关的法律法规,并在各自的解释范畴内强调了不同层面的安全保护,如:
《网络安全法》强调的是保障网络安全。对于数据安全的具体保护仅在第十八条中“ 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展”提及。
《数据安全管理办法》征求意见稿发布后,在随后第二年举行了初次审议。而第三年通过的《数据安全法》则在今年9月1日正式执行。该法律法规的颁布,全面地规定了数据安全在数据收集、存储、传输、处理、使用等生命周期中的安全规范。但对于个人信息的定义却没有给出具体解释。
《网络安全等级保护条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,标志着等级保护正式迈入2.0时代。
《个人信息保护法》在此前《数据安全法》的生命周期上新增了加工、提供、公开、删除等环节。
可以说,上述几部法律法规之间相互关联,相互支持,强调了不同的安全防护点,但在具体落地和实践上,却都留有一定空白。值得关注的是,也是这一空白的存在,推动了《网络数据安全管理条例(征求意见稿)》(以下简称“征求意见稿”)的出台,为《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等提供了最佳实践方向与路径。
与此前网安行业相关政策法规内容不一样的是,在《网络数据安全管理条例(征求意见稿)》中,明确对数据采取分类分级保护制度,数据分为一般数据、重要数据、核心数据等三大类,不同级别的数据采取不同的保护措施。
这一举措的提出,与当前互联网用户越来越多;“万物皆可物联”现状下物联网产生的众多数据;数字经济转型催生企业业务系统纷纷云化等的数据指数型增长的局面相互呼应。
本着“物善其用”的成本和资源控制原则,对数据进行分级分类,让数据处理者能够集中重要的安全成本保护重要核心数据,安全利益最大化。《网络数据安全管理条例(征求意见稿)》对重要数据的具体解释与定义,以及明确了如何对数据要素中的重要数据进行管理等内容也成为此次意见稿中值得关注的关键内容。
第三章个人信息保护
1、处理规则:个人信息处理者应该制定并执行处理规则,包括信息清单(含第三方)、限定期限、安全风险、保护措施、投诉渠道、解决途径等内容。
2、个人同意:收集信息前获得个人同意、敏感信息需单独同意、儿童信息需监护人同意。
3、信息删除:目的达成、合同到期、终止服务、注销账号,需在十五个工作日内删除数据。
4、请求响应:个人提出数据查阅、复制、更正、补充、限制处理、删除、转移等请求时,需在十五个工作日内处理并反馈。
5、生物特征:数据处理者不能只提供生物识别一种认证方式。
第四章重要数据安全
1、建立目录:重要数据和核心数据都需要建立数据目录并报国家网信部门。
2、管理机构:重要数据处理者应该成立数据安全管理机构。
3、识别备案:重要数据识别以后十五个工作日内向设区的市(通常是地级市)级网信部门报告。
4、安全培训:制定并执行全员数据安全培训计划,每年培训时长不得少于二十小时。
5、安全评估:处理重要数据或者赴境外上市的数据处理者应每年开展一次数据安全风险评估,并于1月31日前上报设区的市(通常是地级市),评估报告至少保留三年。
6、采购评估:国家机关和关基运营者采购云服务,要通过国家网信部门会同国务院有关部门开展的安全评估。
围绕数据安全展开的具体管理意见稿的起草与拟定,也表明了国家在当前以及未来很多年内会持续关注和强化数据安全发展的相关管理。对于想抓住数字经济发展风口、云计算、AI、5G技术的互联网侧、信息化企业用户而言,也需要提前关注和了解如何围绕重要核心数据开展有效的数据安全建设与治理。
作为致力于提供云安全领域相关产品、服务及解决方案,是国内最早引入云工作负载(CWPP)安全概念,并成功构建相应产品线的专业云安全厂商,安全狗结合了自身多年的数据安全治理专业经验,围绕数据安全治理的核心四个问题做了全面思考与解读。
第一问:我们对数据的定义是什么?
数据是指任何以电子或者其他方式对信息的记录。
“数据”和“信息”之间的关系一直处于模糊的状态,根据业界常见的解释,一般可以分为两类关系:一是包含关系,即,“信息”包含在“数据”内或“数据”包含在“信息”内;二是交叉关系,即,“信息”与“数据”之间没有明确区分。本文里描述的数据主要是个人数据和重要业务数据。
第二问:数据安全保障需要遵循生命周期吗?
在上述的政策法规中,都或多或少地提及了数据安全治理的几个生命周期,概括总结起来主要有:收集、存储、使用、加工、传输、提供、公开、销毁等8个生命周期。
对于数据处理者而言,自身的发展规模、业务数据体量等参差不齐,对应的能覆盖到的生命周期也有所差异。企业用户应围绕自身的发展现状以及未来的发展计划等有针对性地围绕具体的数据加密脱敏、数据防泄露、数据保护与业务身份结合、数据访问治理与流转审计、数据中台与安全引擎集成等5个场景做好数据安全保护。
第三问:我们数据保护目标是什么?
前文提到的,在信息爆炸的时代下,不管是个人还是企业单位或者国家每天面临的数据量都异常庞大,不可能对全部数据进行一一处理与消化。因此,在保护数据时,应考虑的是实现保障数据机密性,维护核心价值;有效降低或避免数据泄漏事件的发生;降低业务风险;满足合规要求;实现数据安全管理的可优化等目标。
第四问:哪些企业部门该牵头承担数据安全治理责任?
经历了几年的发酵与发展,数据安全这一概念才得到重视,这与科技、经济等时代发展离不开关系。总体而言,数据安全还是属于新事物,落实到企业用户的具体实践上还需要一定的消化时间。
企业内部,由于业务部门对核心数据的重要价值比较清楚,而风控合规部门和法务审计部门等对国家政策法规的敏感度更高,所以需要由业务部门牵头,在风控合规部门和法务审计部门的指导下,依靠信息部门或者外部安全顾问配合具体安全技术落地,从而确保企业重要数据安全获得有效保障。
本文作者:安全狗
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/169674.html