数据安全法整理学习笔记

数据安全法

一、内容学习

第一章　总则

目的：规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。

范围：境内数据处理活动；境外数据处理活动但损害中华人民共和国国家安全、公共利益或者公民、组织合法权益

定义：

• 数据：是指任何以电子或者其他方式对信息的记录。

• 数据处理：包括数据的收集、存储、使用、加工、传输、提供、公开等。

• 数据安全：是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

原则：坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

责任主体：

• 中央国家安全领导制定、决策、协调国家数据安全相关事项。

• 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

• 行业主管部门承担本行业、本领域数据安全监管职责。

• 公安机关、国家安全机关承担职责范围内数据安全监管职责。

• 国家网信部门统筹协调网络数据安全和相关监管工作。

发展：

• 经济层面：合理合法有效利用数据，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。
• 社会层面：宣传普及，提高保护意识和水平，共同参与，形成社会共同维护和促进发展的环境。
• 行业层面：依法制定规范和团体标准，促进行业健康发展。
• 国际层面：积极开展国际交流合作，参与相关国际规则和标准的制定，促进数据跨境安全、自由流动。

权利与义务：

• 遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。
• 任何人有权对违法行为投诉。收到投诉、举报的部门应及时处理，并保密投诉人信息，保护其合法权益。

第二章　数据安全与发展

关系：数据开发利用、产业发展促进数据安全，数据安全保障数据开发利用、产业发展。

战略规划建设：

• 国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。
• 省级以上规划发展数字经济

智能化建设：利用数据提升公共服务的智能化水平。提供智能化公共服务，考虑老年人、残疾人的需求

体系建设：

• 支持数据开发利用和数据安全技术研究，鼓励技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。
• 推进数据开发利用技术和数据安全标准体系建设。支持相关单位参与标准制定。

检测认证：

• 促进数据安全检测评估、认证等服务的发展，支持专业机构依法开展服务活动。
• 支持专业机构在数据安全风险评估、防范、处置等方面开展协作。

交易制度：建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

人才培养：开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养专业人才，促进人才交流。

第三章　数据安全制度

分类分级：

• 标准：经济社会发展中的重要程度+遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害程度
• 分工：
  • 重要数据：国家数据安全工作协调机制统筹协调制定重要数据目录。各地区、各部门应当按照数据分类分级保护制度，确定重要数据具体目录，对列入目录的数据进行重点保护。
  • 核心数据：国家核心数据实行更加严格的管理制度。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据

安全机制：

• 建立数据安全风险评估、报告、信息共享、监测预警机制。
• 加强数据安全风险信息的获取、分析、研判、预警工作。

应急处置：应急预案，处置措施，及时发布警示信息。

安全审查：对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

出口管制：国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

反制裁：与数据相关的投资、贸易方面对中国采取不对等措施的，可以对等采取措施。

第四章　数据安全保护义务

总体义务：

• 依法建立健全全流程数据安全管理制度，组织教育培训，保障数据安全。
• 数据处理活动以及研究新技术，应利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。
• 加强风险监测，发现数据安全缺陷、漏洞——补救措施；发生数据安全事件——处置，报告。

重要数据：

• 重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。
• 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。
• 风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

出镜管理：

• 关键信息基础设施的运营者境内数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；
• 其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。
• 合法合规或按平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。
• 未批准不得向外国司法或者执法机构提供存储于境内的数据。

不同角色：

• 任何组织、个人

  • 合法合规收集、使用数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。
  • 配合公安机关、国家安全机关经过批准的调取数据需要

• 数据交易中介服务的机构：

  • 要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。
  • 法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。

第五章　政务数据安全与开放

• 推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。
• 依法收集、使用数据，予以保密，不得泄露或者非法向他人提供
• 建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。
• 受托方应经过批准程序，依法履行义务，不得私自保留使用泄露数据。委托方应监督受托方履行保护义务。
• 遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。
• 制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

第六章　法律责任

• 监管职责中，发现存在较大安全风险的，可以按照规定的权限和程序进行约谈，并要求整改，消除隐患。

需要负法律责任的场景：

• 违反国家核心数据管理制度，危害国家主权、安全和发展利益的
• 向境外提供重要数据的，由有关主管部门责令改正
• 从事数据交易中介服务的机构，未核查交易双方身份，没有行政许可的
• 拒不配合数据调取的
• 未经主管机关批准向外国司法或者执法机构提供数据的
• 国家机关不履行本法规定的数据安全保护义务的
• 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的
• 以非法方式获取数据，损害个人、组织合法权益的

二、数据安全治理体系

参考标准：DSG体系

• 指导原则：经营策略、治理方案、合规、风险容忍度
• 资产梳理：资产整理，分类分级，数据类型、访问频率、
• 明确对象：访问关系、安全策略
• 安全工具：Crypto（加密）、DLP（防泄露）、IAM（身份识别）、DCAP（以数据为中心的审计保护）
• 具体策略：堡垒机、waf、IDS、IPS、文件防护、云、终端

三、企业实施策略

总体步骤：定战略+组织、数据整理、数据风险整理、数据风险评估、监测、维护

1. 定战略+组织

   • 领导层面，安全决策：总体方针、规划、组织建设、资源支持
   • 管理层面，组织管理：组织建设、制度建设、人员管理、教育培训
   • 执行层面，协调监督：统筹资源、协调沟通、监督管理
   • 总结层面，评估改造：检查评估、事件上报、制度完善

2. 数据分级分类

   • 标准：重要性+危害性。企业相关、用户相关
   • 参考：国标，省标，行标
   • 定级流程：资产梳理——定级准备——定级评定——级别审核——定级批准

3. 数据风险整理

   • 风险值计算：影响程度*概率=（范围*严重程度）*(措施有效性*措施全面性)
   • 输出标准：风险值决定处置建议
   • 风险可能出现的地方
     • 技术层面：数据全生命周期
     • 管理层面：人为因素、权限识别、时效
     • 运营层面：业务运行中的数据状态

4. 数据风险评估

   数据全生命周期：收集、运输、存储、处理、交换、销毁

   • 收集：分裂分级、合规、来源、数据质量、数据清洗
   • 运输：加密、边界安全、完整性、网络可用性
   • 存储：加密存储、安全审计、防泄露、灾备、防勒索
   • 处理：身份鉴别、授权、去标识化、脱敏
   • 交换：溯源、加密、水印
   • 销毁：流程、权限、介质

5. 监测、维护

   数据安全管理规范、评估、风险检测、预警处置、应急响应与灾备、安全能力认证

四、网络安全标准体系建设指南

4.1 思路和目标

• 思路：思想指导、法侓法规、统筹规划
• 原则：统筹规划，全面布局；基础先立，急用先行；多方参与，协同合作
• 目标：2021年，初步建立网络数据安全标准体系，研制网络数据安全行业标准20项以上。2023年，健全完善网络数据安全标准体系，研制网络数据安全行业标准50项以上。

4.2 内容

1. 基础共性标准：为各类标准提供基础性支撑。

   • 术语定义：规范概念，为其它部分标准的制定提供支撑

   • 数据安全框架：明确网络数据安全的角色、职责、边界、各部分的层级关系和内在联系。

   • 数据分类分级：给出基本原则、维度、方法、示例等，提供依据，支撑。

2. 关键技术标准：从数据全生命周期维度对数据安全关键技术进行规范。

   • 数据采集：规范技术要求，提升数据质量，主要包括数据清洗比对、数据质量监控等。

   • 数据传输：规范功能架构、安全协议，主要包括数据完整性保护、数据加密传输等标准。

   • 数据存储：规范存储平台安全机制、存储方法、安全审计、安全防护技术等相关技术要求，主要包括数据库安全、云存储安全、数据安全审计、数据防泄漏等标准。

   • 数据处理：规范敏感数据、个人信息的保护机制，明确敏感数据保护的场景、规则、技术方法，主要包括匿名化/去标识化、数据脱敏等标准。

   • 数据交换：规范数据安全交换模型、角色权责定义、安全管控技术框架，明确数据溯源模型、过程和方法，支撑数据安全共享、审计和监管，主要包括多方安全计算、透明加密、数据溯源等标准。

   • 数据销毁：规范数据销毁和介质销毁的安全机制和技术要求，确保存储数据永久删除、不可恢复，主要包括数据销毁、介质销毁等标准。

3. 安全管理标准 ：从管理视角出发，指导行业有效落实法侓法规关于网络数据安全管理的要求

   • 数据安全规范：落实细化规范要求，包括数据安全通用要求、个人信息保护要求、重要数据保护要求

   • 数据安全评估：指导行业规范开展网络数据安全评估工作，包括数据安全合规性评估、数据安全风险评估、个人信息安全影响评估、数据出境安全评估等标准。

   • 监测预警与处置：从政府主管部门监管需求的视角出发，明确技术要求，实时动态追踪数据安全风险。包括监测预警与处置方面的技术要求、接口规范、测试规范等标准。

   • 应急响应与灾难备份：规范数据安全事件的应急响应管理、处置措施，规范灾难备份及恢复工作的目标和原则、技术要求以及实施方法，包括数据安全应急响应指南、灾难备份技术要求、恢复能力评价等标准

   • 安全能力认证：指导运营者提升自身的安全能力、服务能力，包括管理安全认证、产品安全认证、安全服务认证、人员能力认证等标准。

4. 重点领域标准： 结合相关领域的实际情况和具体要求，指导行业有效开展重点领域网络数据安全保护工作

   • 5G：通用+差异化。总体要求、5G终端数据安全、5G网络侧数据安全、5G网络能力开放数据安全等。

   • 移动互联网：移动应用个人信息保护、移动应用软件SDK安全

   • 车联网：云平台数据安全、V2X通信数据安全、智能网联汽车数据安全、移动App数据安全。

   • 物联网：物联网云端数据安全保护、物联网管理系统数据安全保护、物联网终端数据安全保护等。

   • 工业互联网：工业互联网数据安全保护、工业互联网数据分级技术等。

   • 云计算：客户数据保护、云服务业务数据安全、云上资产管理等。

   • 大数据：包括大数据平台安全、大数据资产管理等。

   • 人工智能：人工智能平台数据安全、人工智能终端个人信息保护等。

   • 区块链：区块链隐私数据保护、区块链数字资产存储与交互保护等。

4.3 组织实施

• 实施动态更新。
• 推进标准研制。
• 加强宣贯实施。
• 加强国际交流合作。

五、参考相关法规标准

• 关键信息基础设施保护条例
• 网络安全标准体系建设指南
• 个人信息和重要数据出境安全评估办法