91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

       2023年8月25日，全國信息安全標準化技術委員會發(fā)布《信息安全技術 重要數(shù)據(jù)處理安全要求》征求意見稿（以下簡稱“《重要數(shù)據(jù)處理安全要求》”）。該標準文件系依據(jù)國家有關數(shù)據(jù)安全的法律法規(guī)制定，體現(xiàn)了國家對于數(shù)據(jù)安全的重視，該標準指定與實施，也有助于應對來自國際網(wǎng)絡與數(shù)據(jù)安全的挑戰(zhàn)。

      為促進企業(yè)對重要數(shù)據(jù)安全保護要求的理解，本文在簡述重要數(shù)據(jù)安全保護與合規(guī)的立法框架基礎上，對《重要數(shù)據(jù)處理安全要求》進行如下解讀。

      一、重要數(shù)據(jù)安全與合規(guī)的立法框架

      重要數(shù)據(jù)是我國數(shù)據(jù)安全立法體系中的重要內(nèi)容，對此，我國已在法律層面逐步建立了重要數(shù)據(jù)保護制度體系。

      2017年，我國發(fā)布并實施《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》），該法第二十一條、第三十七條明確從法律層面提出了重要數(shù)據(jù)的概念，該法第二十一條規(guī)定了網(wǎng)絡運營者應“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”。但這一條款并沒有界定什么是重要數(shù)據(jù)。隨后，2021年施行的《中華人民共和國數(shù)據(jù)安全法》（“《數(shù)據(jù)安全法》”），明確規(guī)定建立數(shù)據(jù)分類分級保護制度，并明確提出建立重要數(shù)據(jù)目錄。

      同時，我國通過行政法規(guī)、部門規(guī)章等法規(guī)文件細化重要數(shù)據(jù)安全的保護要求。例如，2021年國務院發(fā)布的《關鍵信息基礎設施安全保護條例》第十八條規(guī)定了重要數(shù)據(jù)泄露的應急響應要求；2021年，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》明確定義了汽車數(shù)據(jù)中的重要數(shù)據(jù)，并提出風險評估、報送汽車數(shù)據(jù)安全管理情況等要求；2022年，《數(shù)據(jù)出境安全評估辦法》明確規(guī)定了重要數(shù)據(jù)出境的安全評估要求；2022年，《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》對工業(yè)和信息化領域數(shù)據(jù)中的重要數(shù)據(jù)識別、分類分級管理、全生命周期安全管理等方面進行了更為細化的規(guī)定。

      此外，在上述法律法規(guī)的基礎上，為指導數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作、識別重要數(shù)據(jù)，不同行業(yè)發(fā)布了一系列指引、指南，例如《信息安全技術 重要數(shù)據(jù)識別指南（征求意見稿）》（以下簡稱“《重要數(shù)據(jù)識別指南（征求意見稿）》”）、《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)分類分級指引》《工業(yè)數(shù)據(jù)分類分級指南（試行）》《基礎電信企業(yè)重要數(shù)據(jù)識別指南》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》《信息安全技術 網(wǎng)絡數(shù)據(jù)分類分級要求（征求意見稿）》等。

       綜上，重要數(shù)據(jù)保護與合規(guī)，在我國已經(jīng)形成了一整套制度體系，并且重要數(shù)據(jù)保護與各項網(wǎng)絡安全保護制度、數(shù)據(jù)安全制度、個人信息保護制度、有關行業(yè)立法都有一定的交叉和融合，從而對重要數(shù)據(jù)保護與合規(guī)提出了很高的要求。

       二、 《重要數(shù)據(jù)處理安全要求》要點解讀

      （一） 重要數(shù)據(jù)定義

       《網(wǎng)絡安全法》《數(shù)據(jù)安全法》對重要數(shù)據(jù)提出了嚴格的監(jiān)管要求，但是截止目前尚未從全國人大通過的法律層面對重要數(shù)據(jù)予以定義。

國家互聯(lián)網(wǎng)信息辦公室于2017年4月11日公布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第九條，對重要數(shù)據(jù)界定為：“重要數(shù)據(jù)，是指與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關的數(shù)據(jù)，具體范圍參照國家有關標準和重要數(shù)據(jù)識別指南?！?/span>

       2019年5月28日，國家互聯(lián)網(wǎng)信息辦公室公布了《數(shù)據(jù)安全管理辦法（征求意見稿）》，對“重要數(shù)據(jù)”界定為：“重要數(shù)據(jù)，是指一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等?！?/span>

       雖然《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和《數(shù)據(jù)安全管理辦法（征求意見稿）》當前均未正式通過，但作為監(jiān)管機構制定的規(guī)則征求意見稿，一定程度上反映了監(jiān)管機構的意見，對于識別重要數(shù)據(jù)，具有一定的參考價值。

       2022年9月1日施行的《數(shù)據(jù)出境安全評估》則在第十九條明確規(guī)定，重要數(shù)據(jù)，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)。

       因此，針對何謂重要數(shù)據(jù)，我們可以根據(jù)《數(shù)據(jù)出境安全評估辦法》第十九條規(guī)定進行理解。同時參考關于重要數(shù)據(jù)識別、分類分級的指引性文件，即《重要數(shù)據(jù)識別指南（征求意見稿）》中關于“重要數(shù)據(jù)”的定義，重要數(shù)據(jù)指以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。

       對于重要數(shù)據(jù)的定義，《重要數(shù)據(jù)處理安全要求》第3.1條進一步明確：“重要數(shù)據(jù)（key data）”是指“特定領域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全。”

       對比《重要數(shù)據(jù)處理安全要求》與之前的相關規(guī)定，我們可以發(fā)現(xiàn)，相比較《重要數(shù)據(jù)識別指南（征求意見稿）》對重要數(shù)據(jù)的定義，《重要數(shù)據(jù)處理安全要求》中的重要數(shù)據(jù)定義增加了“領域”“群體”“區(qū)域”“達到一定精度和規(guī)模”等重要數(shù)據(jù)識別因素作為定語。重要數(shù)據(jù)識別因素在概念層面予以明示，一方面延續(xù)了《信息安全技術 網(wǎng)絡數(shù)據(jù)分類分級規(guī)則》定義，共同構成數(shù)據(jù)安全處理的重要技術文件[1]；另一方面識別因素的強調(diào)，可以指引企業(yè)開展重要數(shù)據(jù)識別工作，即企業(yè)不能僅從單一的某個字段來判斷該數(shù)據(jù)是否納入重要數(shù)據(jù)范疇，而應在確定數(shù)據(jù)范圍后從“領域”“群體”“區(qū)域”“精度”“規(guī)?！钡纫蛩鼐C合考慮數(shù)據(jù)分級要素，以識別、梳理形成企業(yè)自身的重要數(shù)據(jù)目錄、清單。舉例來說，個人信息的某些字段可能屬于敏感個人信息，而不能納入重要數(shù)據(jù)。但是，如果達到一定數(shù)量人群的特定信息，則可能構成重要數(shù)據(jù)。

      （二） 設施安全

       重要數(shù)據(jù)安全保護不能脫離網(wǎng)絡安全而討論，系統(tǒng)及網(wǎng)絡作為數(shù)據(jù)處理環(huán)境，保護數(shù)據(jù)安全必然需要保護系統(tǒng)及網(wǎng)絡安全。

       對此，《重要數(shù)據(jù)處理安全要求》針對性的明確兩項要求“4.1系統(tǒng)安全”及“4.2云計算服務平臺安全”。前者要求處理重要數(shù)據(jù)的系統(tǒng)應符合《信息安全技術：網(wǎng)絡安全等級保護基本要求（GBT 22239-2019）》第三級安全要求，并通過網(wǎng)絡安全等級保護三級（含）以上測評；后者則要求企業(yè)在重要數(shù)據(jù)在上云前論證重要數(shù)據(jù)上云的必要性，并重點評估云計算服務提供者的安全可信性，以及云計算服務平臺的安全狀況，并在數(shù)據(jù)上云后定期開展安全評估。

       將系統(tǒng)部署在公有云，數(shù)據(jù)云上處理是數(shù)字化模式下較為常見的一種方式。按照《重要數(shù)據(jù)處理安全要求》的要求，需要論證數(shù)據(jù)上云的必要性，這一規(guī)定意味著必要性評估是重要數(shù)據(jù)云上存儲的必備合規(guī)要求。

       （三） 數(shù)據(jù)處理活動安全

      《重要數(shù)據(jù)處理安全要求》從重要數(shù)據(jù)處理的全生命周期，逐個環(huán)節(jié)明晰了數(shù)據(jù)安全保護要求，要點如下：

       1、收集

       數(shù)據(jù)處理者[2]應采取如下保障收集數(shù)據(jù)收集過程的合法性以及數(shù)據(jù)質(zhì)量的措施：

1）制定數(shù)據(jù)收集程序，明確數(shù)據(jù)收集目的、規(guī)模、方式、范圍、類型、存儲期限、存儲地點等，以及數(shù)據(jù)格式、質(zhì)量準則和評價方式等要求；

2）在收集前進行安全評估，評估內(nèi)容包括收集數(shù)據(jù)的目的、范圍、頻度、方式、存儲期限等是否符合法律法規(guī)的規(guī)定；

3）采取合法、正當?shù)姆绞绞占瘮?shù)據(jù)；

4）驗證數(shù)據(jù)的真實性、準確性，并定期對數(shù)據(jù)質(zhì)量進行分析和監(jiān)控，及時對異常數(shù)據(jù)進行告警、修正等；

5）跟蹤和記錄數(shù)據(jù)收集過程，保證數(shù)據(jù)收集活動的可追溯性。

       同時，數(shù)據(jù)處理者應落實數(shù)據(jù)分類分級制度要求，在指定符合自身需求的重要數(shù)據(jù)識別制度通知，識別、更新自身的重要數(shù)據(jù)目錄、清單。根據(jù)《重要數(shù)據(jù)處理安全要求》第5.1.4、5.1.5，重要數(shù)據(jù)目錄系“描述數(shù)據(jù)基本情況、責任主體情況、數(shù)據(jù)處理情況、數(shù)據(jù)安全情況等信息”；重要數(shù)據(jù)清單則是“對識別出的重要數(shù)據(jù)進行記錄，標明重要數(shù)據(jù)的來源、用途、重要性時限、存儲位置、存儲期限、數(shù)據(jù)處理者、數(shù)據(jù)安全負責人、數(shù)據(jù)格式、數(shù)據(jù)量、訪問控制規(guī)則等信息”。

      2、存儲

      《重要數(shù)據(jù)處理安全要求》對數(shù)據(jù)存儲提出了包括本地化存儲、管理存儲期限、采取數(shù)據(jù)備份與恢復措施等要求。

       其中值得關注的是，《重要數(shù)據(jù)處理安全要求》第5.2.2條在強調(diào)重要數(shù)據(jù)本地化存儲原則的同時，通過禁止性規(guī)定明確“存儲重要數(shù)據(jù)的數(shù)據(jù)中心、云平臺等不應設置在境外”。筆者理解，這一規(guī)定與《數(shù)據(jù)安全法》及《數(shù)據(jù)出境安全評估辦法》中所規(guī)定的重要數(shù)據(jù)出境應申報數(shù)據(jù)出境安全評估的規(guī)定是形成匹配的。

       3、使用與加工

       《重要數(shù)據(jù)處理安全要求》對使用與加工環(huán)節(jié)設置了包括使用和加工過程中應進行的訪問控制、評估、審批、保密審查等方面的要求。其中，保密審查是指建立保密審查制度，明確數(shù)據(jù)保密審查的責任領導、責任部門，規(guī)定保密審查的具體責任，防止因數(shù)據(jù)匯聚等泄露國家秘密信息。

        4、傳輸與提供

       《重要數(shù)據(jù)處理安全要求》提出了重要數(shù)據(jù)在對外提供和共享時應遵循的安全要求，包括簽訂合同等法律文件約定重要數(shù)據(jù)處理目的、范圍、處理方式、安全保護義務等內(nèi)容，還包括在對外提供和共享重要數(shù)據(jù)前的評估審批，采取傳輸保護措施，監(jiān)督重要數(shù)據(jù)接收方、受委托方，向境外提供重要數(shù)據(jù)的數(shù)據(jù)出境安全評估申報等要求。

        5、公開與刪除

       針對公開環(huán)節(jié)，《重要數(shù)據(jù)處理安全要求》對數(shù)據(jù)處理者公開重要數(shù)據(jù)及其加工結果，提出了制定數(shù)據(jù)公開管理制度、采取必要安全措施等要求；針對刪除環(huán)節(jié)，《重要數(shù)據(jù)處理安全要求》要求數(shù)據(jù)處理者應刪除已廢棄或超出約定期限的重要數(shù)據(jù)，并針對數(shù)據(jù)刪除和介質(zhì)銷毀分別進行細化規(guī)定。

      （四）運營與管理安全

       除上述重要數(shù)據(jù)全生命周期的安全保護要求外，《重要數(shù)據(jù)處理安全要求》針對企業(yè)內(nèi)部建立建設重要數(shù)據(jù)安全管理體系，亦提出了明確的規(guī)范要求，重點包括：

1、建立健全數(shù)據(jù)安全管理體系。重要數(shù)據(jù)處理者在建立健全數(shù)據(jù)安全管理體系需同時關注組織人員構建和制度建設：組織與人員方面包括委任安全負責人、安全成立管理機構明確相關人員、崗位職責，制度方面則應建立健全數(shù)據(jù)安全管理制度。

2、部署數(shù)據(jù)治理設施。重要數(shù)據(jù)處理者應通過部署數(shù)據(jù)治理工具，并進行統(tǒng)一管理等方式保障重要數(shù)據(jù)安全。

3、管理采購、供應商等供應鏈。重要數(shù)據(jù)處理者應嚴格管理采購策略與流程、評估審查供應商，以降低因與外部數(shù)據(jù)交互而引發(fā)的數(shù)據(jù)安全風險。

4、其他運行與管理安全要求。此外，《重要數(shù)據(jù)處理安全要求》還對重要數(shù)據(jù)處理者提出了多方面的重要數(shù)據(jù)管理要求，包括開展數(shù)據(jù)安全培訓、制定重要數(shù)據(jù)安全應急預案，如發(fā)生重要數(shù)據(jù)泄露、毀損、丟失等數(shù)據(jù)安全事件時則應及時采取應急響應措施、采取應急處置方案，開展重要數(shù)據(jù)審計、安全風險評估，配合主管部門或執(zhí)法部門針對重要數(shù)據(jù)安全的監(jiān)督檢查等。

       三、小結

       綜上，重要數(shù)據(jù)的安全事關國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全，我國通過法律法規(guī)及規(guī)范性文件逐步落實重要數(shù)據(jù)監(jiān)管制度的同時，亟需可以指引、指導企業(yè)開展重要數(shù)據(jù)處理安全保護工作的標準性文件。盡管《重要數(shù)據(jù)處理安全要求》尚有部分內(nèi)容有待明晰，但是其通過對設施安全、數(shù)據(jù)處理活動安全，以及運行與管理安全的闡述，可以全面指導數(shù)據(jù)處理者落實《中華人民共和國數(shù)據(jù)安全法》及重要數(shù)據(jù)安全保護制度的相關合規(guī)要求。

注釋

[1] 根據(jù)《重要數(shù)據(jù)處理安全要求》編制說明第1.2條“制定背景”。

[2] 《重要數(shù)據(jù)處理安全要求》第3.3條，數(shù)據(jù)處理者是指在數(shù)據(jù)處理活動中自主決定處理目的、處理方式的組織和個人。