数据安全审查综合解读|如何从被动合规到主动战略风控？

Posted 2021-09-19 阿里云开发者

简介：8月27日，《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。阿里云高级安全咨询专家李娜对数据安全相关法律法规做了综合解读，她指出，数据安全合规不能仅看片面，需要有整体的数据安全观，知其然也要知其所以然，真正做到从被动合规到主动战略风控。

1.《网络安全法》作为基础性法律，有哪些比较重要的数据安全要求？

1)第二十一条： 国家实行网络安全等级保护制度。防止网络数据泄露或者被窃取、篡改。
划重点：这一条说明，等保2.0测评也包含数据安全相关内容。

2)第三十一条：国家对重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。
划重点：这一条说明，涉及关键信息基础设施的数据泄露问题，在等保基础上，需要重点保护，包括但不限于商用密码应用安全性评估，数据安全审查、云计算评估等。

3)第三十七条：关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
划重点：这一条说明，向境外提供数据，需要经过网信部门评估后方可出境。

4)第七十六条：术语中网络安全，包括保障网络数据的完整性、保密性、可用性的能力。
划重点：这一条说明，网络数据的完整性、保密性、可用性是网络安全的基础能力，需纳入基础安全防护能力的范畴。

2.《数据安全法》的立法进程非常迅速，这是为什么？

这要从《数据安全法》的立法背景来看：
1)社会经济发展层面，数字经济快速发展，数据成为“国家基础性战略资源”，保护这些数据保护需要法律依据；

2)数据开发利用层面，数据已经从生产要素转变为生产力，促进数据合理开发利用需要法律依据。

鉴于上述两个需求的迫切性，数据安全法从立法规划到正式颁布非常迅速，而且在其他行政法规中及时得到具体应用。

3.《数据安全法》的适用范围是什么？

1)境内开展数据处理活动及其安全监管；

2)境外开展数据处理活动，损害国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任；
划重点：这里明确了数据安全属地管辖为主，保护性管辖为辅。

4.《数据安全法》每章重点讲了什么？

1)第一章总则，主要技术要求包括建立数据安全治理体系以及主要监管为国家网信和行业主管等。其中数据安全治理比较重要，包括数据梳理、数据安全风险分析、分类分级、监控预警、数据安全规划等较多内容，这些内容都涵盖在数据安全咨询的服务范围。

2)第二章数据安全与发展，主要包括支持数据安全评估与认证、建立数据交易管理制度等。
划重点：第一，数据安全评估与认证有可能像等保和密评一样成为数安法落地的检查手段；第二，建立数据交易管理制度而不是数据交易制度，重点在数据交易的管理。

3)第三章数据安全制度，包括最受关注的数据分类分级、数据安全审查和数据出口管制，

4)第四章数据安全保护义务，主要包括数据安全管理、风险监控与处置和数据处理及服务三部分。
划重点：数据处理中的数据来源核实及记录，主要针对的是数据交易场景中数据源的权属，不是传统数据安全的访问溯源取证场景。本章最重要的是，数据出境，未经批准，不得对外提供。

5)第五章政务数据安全与开放，重点是国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台。
划重点：建议各单位遵循相关标准与规定，不要自行制定数据目录，可能导致互联互通困难。

6)第六章法律责任，简单地说，多条处罚，包括除了罚款，还可以责令停业整顿、吊销相关业务许可证或营业执照。
划重点：可依法追究直接责任人的刑事责任。

7)第七章附则，数据安全法今年9月1号实施。

5.《数据安全法》有哪些条文需要重点关注？

1)《数据安全法》第二十一条的数据分类分级。首先国家建立数据分类分级保护制度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，
**a)划重点：国家部委或行业的分类分级，尽量采用已有的数据分类标准或目录，不建议单独制定专门的分类分级制度，避免因数据目录不同而影响数据集交换与共享。
b)数据分类是为了更好地区分管理对象，分级是为了实施不同程度的保护，数据分类一定是面向某种管理目标、监管手段的，不能一言以蔽之。**

2)《数据安全法》十八条关于国家支持数据安全检测评估与认证服务的发展。
**a)划重点：标准37988数据安全能力成熟度模型，可以作为数据安全法检测落地的抓手。该标准已在ISO立项，有可能成为国际数据安全标准；
b)标准37988数据安全能力成熟度模型的1-5级不能和等保作简单的对应关系，企业确定自己的数据安全能力等级需要按照预评估的实际情况而定，能力不具备时盲目追求高等级可能整改困难。**

3)《数据安全法》第二十七条强调的也是全流程数据安全管理，涵盖数据安全的核心八大能力，包括数据安全生命周期的分类分级、传输加密、存储安全、数据脱敏、数据资产管理、终端数据安全、监控与审计、数据鉴别与访问控制。这些核心的技术能力加上数据管理能力和运维能力，是DSMM评估与认证检查的核心技术能力，如果满足DSMM评估与认证检查，数据安全法提出的技术要求基本满足。

6.《数据安全法》和《网络安全审查办法》之间是什么关系？

新修订的《网络安全审查办法》将数据安全纳入网络安全审查范围。
《网络安全审查办法》修订前后比对情况：
1)第二条：关键信息基础设施的运营者，数据处理者，开展数据处理活动，可能影响国家安全的，将进行网络安全审查，
划重点：数据处理活动是重点规范对象

2)第六条：增加了掌握超过100万用户个人信息的运营者赴国外上市，必须向网信办申报安审。
划重点：对数据运营者作出了100万的定量描述。

3)第四条：审查单位增加了中国证监会；

4)第十条：网络安全审查评估内容增加了数据处理活动和海外上市场景，其中重点增加的国家安全风险有核心数据、重要数据或大量个人信息被窃取、泄露毁损以及非法利用或出境风险，国外上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
划重点：网络安全审查将数据处理活动及海外上市增加为评估内容，重点评估的是数据安全。

5)第十三条：将网络安全审查的时间从45个工作日，延长到3个月。

6)最关键的第一条，为了确保关键信息基础设施的安全，执法依据除了《国家安全法》、《网络安全法》，增加了《数据安全法》；第十六条，违反本办法规定的，处罚依据增加《数据安全法》。
划重点：这二条说明《数据安全法》被列为审查和处罚的依据。

因此整体来看，数据安全不仅有相关的数据安全能力评估认证作为抓手，还有网络安全审查作为检查和处罚手段。

7.数据安全法正式实施在即，我们应该如何看待数据合规？

划重点：数据安全要从被动合规转化为主动战略风控
首先，总体国家安全观中，网络安全是16个之一。从国家安全法的安全观到《网络安全法》的网络空间主权到《数据安全法》的具体条文，其内容一脉相承。目前涉及数据安全的还有《个人信息保护法》、民典法、刑法修正案（十一）等法律，都涵盖相关内容。

其次数据安全相关法律法规和政策的落地，正在经历一个逐渐完善监管手段、提升监管能力的过程，“让法律长出牙齿”，目前国家不仅在解决“有法可依”的问题，也在解决“违法必究”的问题。

在此情况下，企业对数据安全合规的理解不能片面，甚至怀有不检查不处罚的侥幸心理，需要将数据安全合规风险上升到业务风险，甚至企业风险，积极采纳企业法务与安全合规团队意见，或者聘请专业的安全咨询团队解决问题，确保对政策趋势有足够的敏感性和前瞻性，从被动数据安全合规到主动战略风控。
两

原文链接：https://developer.aliyun.com/article/789229?

版权声明：本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。