前沿动态
司法文明协同创新中心的建设目标是按照“国家急需、世界一流、制度先进、贡献重大”的要求,依据科学研究、学科建设、资政育人“三位一体”的方针,打造中国乃至世界司法研究的重镇、中国司法学科建设的平台、卓越司法人才培养的基地、司法文明和法治中国建设的核心智库。

你在这里

首页 > 前沿动态 > 司法文明实践前沿 > 正文
《重要数据处理安全要求》标准解读与企业应对策略
  • 浏览
    • print document


    【学科类别】数据法
    【出处】微信公众号:中岛数据法评
    【写作时间】2023年
    【中文关键字】数据;数据安全;数据合规
    【全文】      


引言

在数字时代,数据被誉为"新的石油",数据已成为驱动经济和社会发展的关键资源,因其巨大的价值潜力而备受关注。然而,随着数据的快速增长,数据安全问题也变得愈发突出。为了应对这一挑战,中国全国信息安全标准化技术委员会于2023825日发布了国家标准《信息安全技术 重要数据处理安全要求》征求意见稿(以下简称标准),旨在指导数据处理者遵守《数据安全法》及相关重要数据安全保护制度的要求。这一标准的发布在当前数字化时代具有重要意义,为企业提供了更具体的指导,以满足法规合规性要求和保护和管理重要数据。本文将在介绍重要数据安全与合规法规框架的基础上,深入解读《重要数据处理安全要求》的编制原则、主要内容以及其在数据安全法实施中的重要性,并探讨在此背景下企业的应对策略。

一、新标准的背景与重要性

数字化时代的核心是数据,而中国正经历着数据爆炸式增长的时刻。随着数据的不断积累,对数据的安全性和隐私保护提出了更高的要求。因此,确保重要数据的安全性和合规性已成为当务之急。《重要数据处理安全要求》标准的发布填补了中国现有数据安全法规中的一些重要空白,为数据处理者提供了详细的指南,该标准的发布具有以下重要性:

1.数据安全增强:标准强调了数据处理者应采取的措施,以保护重要数据的安全性。从设施安全到数据处理过程的安全,再到运行与管理的安全,标准提供了全面的安全指导,有助于降低数据泄露和攻击的风险。

2.数据安全合规责任:中国的数据安全法规日益完善,对于数据处理者来说,遵守法规已成为不可回避的责任。这一标准的发布明确了法律法规中的相关要求,将有助于数据处理者更好地满足合规性的要求。

3.技术与管理提升:标准不仅关注技术方面的要求,还强调了组织与人员、数据治理、供应链管理、审计、应急处置、风险评估等方面的运行安全要求。这将推动数据处理者提升技术能力和管理水平,更好地适应不断变化的信息环境。

二、国家重要数据安全法律框架的完善

重要数据的保护已成为国家数据安全立法的关键内容。中国已在法律层面逐步建立了重要数据保护制度体系。以下是相关法律法规的主要概述:

1. 《网络安全法》(2017年):该法首次明确提出了重要数据的概念,并规定了网络运营者应采取的数据分类、备份、加密等安全措施。

2. 《数据安全法》(2021年):该法规定了建立数据分类分级保护制度,明确提出了建立重要数据目录。它强调了数据出境的安全评估和申报要求。

3. 各部门法规和指南:为细化重要数据保护要求,多个部门发布了相关法规文件,如《关键信息基础设施安全保护条例》、《汽车数据安全管理若干规定(试行)》、《数据出境安全评估办法》、《工业和信息化领域数据安全管理办法》等。这些法规不仅明确了重要数据的概念,还对其保护和管理提出了一系列要求。除此之外,行业内也发布了一系列指南和指引,如《重要数据识别指南(征求意见稿)》、《网络数据分类分级指引》等,以指导企业的实际操作。

三、标准编制原则

标准编制的重要原则之一是明确与基础性网络安全要求的区别。为了理解数据安全的内涵,编制组从四个方面入手,包括环境安全、资产安全、行为安全和生产要素安全。这一理念强调了数据安全的多维度性质,不仅仅关注数据本身,还关注了数据处理的各个环节。特别值得注意的是,尽管标准关注环境安全方面,但并未对此进行过多展开,因为已有大量标准对此进行了规范。

标准突出了三个关键领域——

1.网络安全等级保护:数据处理者应按照网络安全等级保护要求,强化数据处理系统、数据传输网络、数据存储环境等的安全防护。特别强调,处理重要数据的系统原则上应满足三级以上网络安全等级保护要求。这一要求对确保数据的机密性和完整性至关重要。

2.密码保护:标准要求数据处理者使用密码对重要数据和核心数据进行保护。密码是数据安全的基础,有效的密码策略可以降低数据泄露的风险。

3.云计算服务安全管理:标准明确了云计算服务的安全管理要求,确保云平台在处理重要数据时符合国家相关规定。随着云计算的广泛应用,其安全性变得尤为重要。

另一个重要原则是明确与普通数据处理的差异性要求。这一原则基于四个方面的理解,包括安全保护的强度、管理制度、合规要求以及配合监管。在处理重要数据时,需要更加严格的安全保护,更加严格的管理制度,以及满足法律法规的明确合规要求。此外,重要数据处理者还需要承担特定的法律义务,与监管机构密切合作。

与普通数据处理的差异性要求——

1.安全保护的强度:重要数据处理要求更为严格。由于重要数据的敏感性和价值,安全保护必须达到最高水平,以防止泄露、篡改或其他安全威胁。这可能涉及到更复杂的加密措施、访问权限管理和监测系统的部署,以确保数据的机密性和完整性。

2.管理制度:企业必须建立更严密的数据管理流程和标准操作程序,以确保重要数据的合规性和安全性。这包括对数据的分类、存储、访问、传输和销毁等方面的详细规定,以及相关人员的培训和监督。

3.合规要求:意味着重要数据处理者必须严格遵守相关法律法规,确保数据的处理活动符合法律要求。标准的制定可以帮助企业更好地理解和落实合规要求,降低法律风险。

4.配合监管:是重要数据处理的另一个重要方面。重要数据处理者需要与监管机构建立紧密的沟通和合作机制,及时报告数据安全事件,配合调查和处置工作。这种合作有助于确保数据安全问题能够迅速得到解决,尽可能地减少损失。

四、标准的主要内容解读

标准的主要技术内容包括以下方面:

1.设施安全:标准描述了处理重要数据的信息系统和云平台应满足的安全要求。这包括硬件和软件设备的安全性,确保它们不容易受到攻击或数据泄露。

2.数据处理过程的安全:重点强调了重要数据的整个生命周期中,各个处理过程应满足的安全要求。这包括数据的收集、存储、使用与加工、传输与提供、公开以及删除等方面。

>收集:数据的合法性、数据质量,以及国家数据安全分类分级制度要求等都是关注重点。

>存储:包括存储保护、存储位置、存储期限、备份与恢复等要求,确保数据在存储期间不会遭受威胁。

>使用与加工:强调了在数据使用和加工过程中应进行的访问控制、评估、审批、保密审查等方面的要求,确保只有授权人员可以访问和处理数据。

>传输与提供:描述了对外提供和共享时应遵循的安全要求,包括法律文件、评估与审批、监督与保护、交易、接收方义务、向境外提供等内容,以防止数据泄露或滥用。

>公开:当公开重要数据及其加工结果时,数据处理者应采取的安全要求,以保护数据的隐私和完整性。

>删除:描述了如何安全地删除已废弃或超出约定期限的重要数据,包括数据删除和介质销毁等,以避免数据残留成为潜在的安全隐患。

3.运行与管理安全:包括组织与人员、数据治理、供应链管理、审计、应急处置、安全风险评估,以及配合监督管理等方面的运行安全要求。

>组织与人员:强调了法律法规中相关要求,包括安全负责人、安全管理机构、机构变化、管理制度、人员培训等,以确保组织对数据安全有效的管理和监督。

>数据治理设施:从数据治理工具本身和统一管理等角度描述了数据治理设施的安全要求,确保数据管理工具本身也是安全的。

>供应链管理:描述了重要数据处理者在采购管理、供应商管理、评估等方面应遵循的要求,以更好地应对复杂、严峻的国际网络空间安全威胁。

>应急响应:描述了重要数据处理者在应急预案、演练计划、技术团队、处置机制等方面的要求,以确保在面对安全事件时能够迅速响应和恢复。

>安全风险评估:描述了评估制度、评估内容、评估时机等要求,以帮助组织识别和管理数据安全风险。

>配合监督管理:包括流程规范、提供技术支持、配合整改措施等,以确保与监管机构的合作顺利进行。

五、标准对企业的影响及企业应对策略

《重要数据处理安全要求》的发布是中国在数据安全领域的重要举措,为企业提供了更具体和全面的指导,以满足法规合规性要求,保护和管理重要数据。对于企业来说,针对重要数据的不同阶段进行针对性的安全风险评估是确保数据安全和合规性的关键举措。然而,这一过程是否会增加企业的合规成本是一个值得深入考虑的问题。

1.关键影响:安全风险评估是当前数据安全领域的一种常见实践,它具有重要的预防和危机处理价值。通过及时识别和预防潜在风险,企业可以降低数据安全事件的发生概率,减少潜在的经济和声誉损失。这种风险管理方法对于企业来说是非常必要的,因为数据泄露和安全漏洞可能导致巨大的法律诉讼、罚款以及客户信任的损害。

2.企业合规成本:与安全风险评估相关的合规成本可能会有所上升。这主要源于企业需要投入更多资源来建立和维护安全评估机制,包括专业人员、技术工具和培训。此外,合规要求的不断演进也可能导致合规成本的增加,因为企业需要不断适应新的法规和标准。不过,目前的安全风险评估标准并不会过度增加企业的合规成本。事实上,这些标准在以往的法律法规中早已提及,是企业原本就需要履行的合规义务。因此,进行针对性的安全评估实际上是一种合规性要求,而不是额外的负担。此外,通过更有效的风险预防措施,企业可以降低可能因数据安全事件而遭受的损失,从长远来看,这可以减少潜在的成本。

3.新兴产业机遇:重要数据保护制度的实施为新的产业方向提供了机会。从数据跨境流动到专业化、自动化工具和专业咨询服务,都将成为应对重要数据安全挑战的需求。这不仅为企业提供了机会,也为新的行业和领域开辟了新的蓝海。因此,企业可以积极寻求这一领域的发展机会,通过提供符合合规要求的解决方案来满足市场需求,从而实现成本效益和长期价值。

结语

随着数据的不断增长和重要性的提升,数据安全已经成为社会的共同关切点。《信息安全技术 重要数据处理安全要求》标准的发布为确保数据安全提供了坚实的基础,为数据处理者、监管机构和社会大众提供了有力的工具,以确保数据得到妥善保护和管理。这一标准将在中国数据安全领域发挥重要作用,也有望为其他国家和地区的数据安全管理提供有益的经验。我们期待看到这一标准的进一步演进和实施,以应对不断演变的数据安全挑战。


作者简介:

朱凯,TMT&数据合规专业委员会主任,中岛律师事务所高级合伙人。

吕品一,中岛律师事务所律师。




上一条:人民法院确认中信登股权信托登记效力第一案 下一条:上市公司违规的总体态势、原因分析及合规建议

关闭