数据安全在我国的发展例程

三、政 策梳 理

随着《数据安全法》正式发布,数据安全工作首次升至国家安全最高监管层 级 ,数 据 传 输 安 全 相 关 法 律 法 规 体 系 日 益 完 善 。

3.1国家层面

2014年2月27日,中央网络安全和信息化领导小组成立,习近平总书记亲自领导、亲自指挥、亲自部署。“没有网络安全就没有国家安全”,在国家顶层战略引导下,我国在国家安全、网络安全、数据安全、个人信息保护、关键信息基础设施、车联网等多个领域密集出台了多项法律法规和政策文件,有效促进了网络安全领域的技术创新和应用落地,为筑牢国家网络安全屏障、推进网络强国建设提供了有 力支撑。
数字经济时代背景下,更多的数据开始从个人与组织中被提取出来,经过分析和处理后,进入公共通信和信息服务、电子政务、公共服务、金融、交通、能源、水利等重要行业和领域,成为重要的数据资产。这些行业和领域属于关键信息基础设施,是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健 康发展、维护公共利益和公民合法权益都具有十分重大的意义。
目前从整体来看,我国数据安全相关法律体系日趋完善,但数据传输安全方向的法律体系尚不完整,法域不宽广,结构内容不丰富。在数据传输安全的重要性日益突显的今天,我国应该在思想观念、结构布局、体制机制等方面做好顶层设计,发挥法治对数据传输安全的规范和保障作用,尽快从国家层面制定相关法律 细则,构建和完善数据传输安全法律体系。
2015年7月1日,我国公布并施行了《国家安全法》,第二十五条提出,国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。2017年6 月1日,《网络安全法》施行,第七十六条明确,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状 态,以及保障网络数据的完整性、保密性、可用性的能力。

2020年1月1日,《密码法》施行,为规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,提供有效法律支撑。通过立法提升密码管理科学化、规范化、法治 化水平,促进我国密码事业的稳步健康发展。
2021年1月1日,《民法典》施行,第一百一十一条强调,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非 法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

2021年3月11日,《中华人民共和国国民经济和社会发展第十四个五年规划和年远景目标纲要》通过,第十八章提出,统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。2021年9月1日,《数据安全法》施行,第三条明确,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。2 021年9月1日,《关键信息基础设施安全保护条例》施行,第六条要求,运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据 的完整性、保密性和可用性。
2021年11月1日,《个人信息保护法》施行,第四条明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提 供 、公 开 、删 除 等 。
《民法典》《数据安全法》《个人信息保护法》相继施行,标志着我国以数据安全保障数据开发和利用产业的健康有序发展全面进入法治化轨道,重要数据及个人信息保护成为时代需求。从相关法律的发布进程来看,我国数据安全领域的政策体 系不断完善,基础法规架构已初步构建完成,数据安全产业将迎来发展的黄金期。

3.2部委层面

从部委层面来看,网信办、工信部、财政部、商务部、国家安全部等各部门发布相应规定,对数据安全问题都愈加重视。但对于数据传输安全并没有单独发布相关政策法律法规,只在数据安全相关文件中涉及了部分数据传输安全问题。从各部委发布的政策数量分布来看,工业和信息化部发布了数据安全相关政 策共32份,其中有8份涉及数据安全传输问题。
2016年底发布的《工业和信息化部关于印发大数据产业发展规划(2016-2020年)的通知》中强调,发挥企业创新主体作用,整合产学研用资源优势联合攻关,研发大数据采集、传输、存储、管理、处理、分析、应用、可视化和安全等关键技术。2019年12月发布的《网络预约出租汽车经营服务管理暂行办法下》则在第二十七条中要求,网约车平台公司不得利用其服务平台发布法律法规禁止传播的信息,不得为企业、个人及其他团体、组织发布有害信息提供便利,并采取有效措施过滤阻断有害信息传播;发现他人利用其网络服务平台传播有害信息的,应当立 即停止传输,保存有关记录,并向国家有关机关报告。
2020年5月发布的《工业和信息化部关于工业大数据发展的指导意见》,在加强工业数据安全产品研发的部分中,明确要开展加密传输、访问控制、数据脱敏等安全技术攻关,提升防篡改、防窃取、防泄露能力。加快培育安全骨干企业,增强 数据安全服务,培育良好安全产业生态。
2020年底发布的《电信和互联网行业数据安全标准体系建设指南》,从数据采集、传输、存储、处理、交换、销毁等全生命周期环节出发,对数据安全的关键技术进行规范;并明确数据传输标准用于规范数据传输过程中可以标准化的功能架构、安全协议及其他安全相关技术要求,主要包括数据传输完整性保护、数据加 密传输等标准。
2021年9月发布的《关于加强车联网网络安全和数据安全工作的通知》强化车载通信设备、路侧通信设备、服务平台等安全通信能力,采取身份认证、加密传输等必要的技术措施;加强在线升级服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全;提升数据安全技术保障能力,要采取合法、正当方式收集数据,针对数据全生命周期采取有效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用、滥用等风险;各相关企业要强化数据安全 监测预警和应急处置能力建设。
2021年4月发布的《智能网联汽车生产企业及产品准入管理指南(试行)(征求意见稿)》则要求,采取有效技术措施,强化数据采集、传输、存储、使用等安全 保护,及时处置数据泄露、滥用等安全事件。
2022年2月10日第二次公开发布《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)要求,工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施;传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议 等措施。
2021年12月22日发布的《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》,明确了违规传输,包括但不限于数据未按照有关 规定擅自进行传输等相关风险。
国家互联网信息办公室发布了数据安全相关政策共26份,其中有6份涉及数 据安全传输问题。
2019年2月发布的《金融信息服务管理规定》中第十一条要求,金融信息服务提供者发现含有本规定第八条所列信息内容的,应当立即终止传输、禁止使用和停止传播该信息内容,及时采取处置措施,消除相关信息内容,保存完整记录并向 国家或地方互联网信息办公室报告。
2019年11月发布的《App违法违规收集使用个人信息行为认定方法》,明确了既未经用户同意,也未做匿名化处理,数据传输至App后台服务器后,向第三方提供其收集的个人信息,可被认定为“未经同意向他人提供个人信息”。
2021年1月发布的《互联网信息服务管理办法(修订草案征求意见稿)》中则对传输的信息类别、上报机关等方面做出要求。
2021年10月发布的《互联网用户账号名称信息管理规定(征求意见稿)》,明确了未经互联网用户账号使用者授权同意,不得收集、存储、使用、加工、传输、提供或者公开个人信息及账号名称信息。
2021年11月发布的《网络数据安全管理条例(征求意见稿)》,在加强数据处理系统、数据传输网络、数据存储环境等安全防护方面做出要求;同时,明确任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推 广、支 付 结 算 、应 用 下 载 等 服 务 。
此外,2019年8月国家互联网信息办公室还联合市场监管局等八部门发布了《关于引导规范教育移动互联网应用有序健康发展的意见》,并在规范数据管理方面,明确教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制。

参考文档

信通院 数据资产化:数据资产确认与会计计量研究报告-2020年
信通院 数据资产管理实践白皮书
信通院 新型智慧城市产业图谱研究报告-2021年
信通院 新型智慧城市研究报告-2019年
信通院 新形势下电信网络诈骗治理研究报告-2020年
信通院 智慧城市产业图谱研究报告-2020年
信通院 混合云白皮书2019
信通院 混沌工程实践指南-2021年

你可能感兴趣的:(数据安全在我国的发展例程)