意义
《数据安全法》
我国第一部数据安全领域专门法律,相较《网络安全法》,更强调数据安全和发展并重,相较《个人信息保护法》,更关注数据宏观层面的安全,为中国网络、信息及数据安全构筑更加全面和完善的法律框架。
《数据安全治理白皮书3.0》
国内最早的数据安全治理白皮书系列,围绕数据安全治理,“新理论、新技术、新实践”,一次系统汇总、梳理分析与集中呈现,2018年-2021年,已发布1.0/2.0/3.0三个版本,持续完善、收录更新前沿内容。
重点信息和关联解读目录
《中华人民共和国数据安全法》第一章:总则第二章:数据安全与发展第三章:数据安全制度第四章:数据安全保护义务第五章:政务数据安全与开放第六章:法律责任第七章:附则
《数据安全治理白皮书3.0》第一章:概述第二章:数据安全形势与挑战第三章:数据安全治理框架第四章:行业实践案例第五章:数据安全政策法律和标准第六章:国内外相关理论与介绍第七章:问题和展望第八章:附录
内容
《中华人民共和国数据安全法》
【制定目的】
为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
【适用范围】
在中华人民共和国境内开展数据处理活动及其安全监管,适用本法;在中华人民共和国境外开展数据处理活动,损害国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
【核心定义】
数据:指任何以电子或者其他方式对信息的记录;数据处理:包括数据的收集、存储、使用、加工、传输、提供、公开等;数据安全:是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
《数据安全治理白皮书3.0》
【治理核心】
核心目标:让数据使用更安全;核心需求:满足安全合规、隐私管理和价值数据保护;核心思想:数据分类分级、场景化安全、最小化授权原则;核心安全框架:是实现“组织、规范和技术”的三位一体。
【建设步骤】
完成“组织构建、资产梳理、策略制定、过程控制、行为集合、持续完善”六大步骤。
【新版内容】
1、新增针对“数据安全、信息安全、网络安全”及“数据安全治理、数据安全管理”等近似概念间联系与区别的解读;
2、更新“政务云及金融、能源、教育、电信运营商及医疗”等行业数据安全治理实践案例;
3、新增数据安全相关政策、法律和标准介绍;
4、新增数据安全治理国内外相关理论与介绍;
5、新增数据安全治理发展进程中的问题与展望;
6、更新国内外重大数据安全事件汇总;
7、更新数据安全关键技术——新增数据资产梳理、差分隐私、数据安全运维、数据水印和数据使用行为溯源、多层次数据保护等内容;
8、新增数据安全新兴前沿技术:多方计算、联邦学习、数据安全虚拟化引擎、数据安全SaaS能力等内容。
关联一
《数据安全法》第一章 第一条 & 《白皮书3.0》第二章 2.1-2.2
《数据安全法》第一章 第一条
为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
《白皮书3.0》第二章从“重新认识数据的价值与风险”、“了解空前严峻的数据安全形势”、“明确安全是价值实现的前提”等方面阐述了当下数据安全的形势及所面临的挑战,并指出由国家出台数据安全保护相关法律法规,以维护国家安全、保护个人及组织合法权益的重要性和必要性。在此背景下,《数据安全法》的制定、颁布和施行,正是贯彻落实“国家总体安全观”,聚焦数据安全隐患风险,促进数字经济健康发展的重要举措。
关联二
《数据安全法》第一章 第四条 & 《白皮书3.0》第三、四章节
《数据安全法》第一章 第四条维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
“建立健全数据安全治理体系”被首次写入数据安全专门法律!2016年,安华金和就已在国内率先提出“数据安全治理”概念并持续付诸实践,并于2018-2021年相继发布《数据安全治理白皮书》1.0/2.0/3.0版本。《白皮书3.0》第三章节整章篇幅,专门就“数据安全组织架构”、“数据安全管理体系”、“数据安全技术体系”、“数据安全治理规划建设”四大方面进行了系统梳理与详细介绍,并在第四章给出了各重点行业的实践案例,以更加直观、清晰的方式呈现安华金和多年以来在数据安全治理实践落地过程中的经验成果。
关联三
《数据安全法》第二章 & 《白皮书3.0》第二章 2.1-2.2(第十三至第二十条)
《数据安全法》第十三条明确提出:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,表明国家将数据安全及其开发、利用并重,要求二者协同发展的态度。《白皮书3.0》开篇就指出了:数据安全治理是以“让数据使用更安全”为目的!党的十九届四中全会首次提出将数据作为生产要素参与分配,过分强调数据安全将阻碍对数据价值的合理利用与功能发挥,而一味追求数据所蕴含的利益则会诱发对数据的违规使用等问题,继而损害数据主体权益。因此,二者必须相辅相成,要在保障数据安全的前提和基础之上,充分挖掘并发挥数据的价值和作用。
关联四
分类分级,《数据安全法》第三章 第二十一条 & 《白皮书3.0》第三章 3.3.2.2
《数据安全法》要求国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护...各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
《白皮书3.0》中指出,数据安全治理是以数据的分类分级为核心,进行安全策略的设定;应遵循“以分类分级为基准,以权限控制为措施,管理与技术并重”的数据安全治理方针;应建立分类分级操作指南、技术防护操作规范、数据安全审计规范等指导性文件。
安华金和认为:对数据的分类要密切贴合企业或组织的自身业务特点;对数据的分级则要考虑数据的价值、敏感程度及被泄露后可能造成的影响等因素。在对数据分类分级的过程中,由于类别和级数增多会导致管理和维护成本的上升,因而建议企业或组织在满足国家和行业监管合规要求的前提下,选用尽量简单的分类分级规则,并借助自动化工具准确、高效地完成相关工作。
关联五
监管制约 《数据安全法》第一章(第五、六条)& 《白皮书3.0》第五章 5.3(各行业标准和要求)
从数据全场景构建数据全监管体系,明确国家安全机关、公安机关在职权范围内承担的数据安全监管职责;明确行业主管部门对本行业、本领域的数据安全监管职责;明确各地区、各部门的主体责任,以全面的数据监管制度和切实可行的数据保护操作规范,落实数据安全保护责任,推动数据安全发展。《数据安全法》不仅对国家机关做出数据安全权责规定,对各地区、各部门、各行业均提出了数据安全监管要求,相关方面如何依据自身特点落实执行则成为关键。
《白皮书3.0》对金融、医疗、电信、互联网、教育、政务、能源等重点行业相关数据安全政策、法律及监管标准进行了大量梳理、汇总,并由安华金和数据安全专家进行了详细解读,为各行业开展数据安全监管、合规等工作提供指导。
关联六
全局保障 《数据安全法》第三章 (第二十二、二十三、二十四条)& 《白皮书3.0》3.3.2.11(数据安全风险评估)
《数据安全法》中要求从源头预警数据安全风险,建立全场景下“集中统一的风险评估、风险上报、信息共享、应急处置与安全审查”机制,以识别对经济社会发展可能产生负面影响的内外部潜在风险因素,并在风险识别基础上确立数据安全应急处置机制,从而对已知安全风险开展及时、高效的应急处置,最大限度降低数据安全的威胁与危害。
在《白皮书3.0》中,安华金和对数据安全风险评估的概念体系也进行了详细介绍。数据安全风险评估能够帮助数据安全管理者掌握数据安全防护核心,清晰了解潜在风险威胁情况,从而更好制定数据安全防护策略并采用相关技术措施。同时,数据安全风险评估覆盖数据全生命周期,可结合企业或组织自身的使用场景、技术体系、应急处置及安全审查机制,从全局防护并保障数据安全。
免责声明:本站内容来源于互联网公开信息,仅供学习和参考使用。如涉及版权问题,请联系我们,我们将在核实后第一时间删除相关内容。