目前,数据已经成为国家基础性战略资源,没有数据安全就没有国家安全。数据安全法贯彻落实总体国家安全观,聚焦数据安全领域的风险隐患,加强国家数据安全工作的统筹协调,通过建立健全各项制度措施,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。
背景解读
全球数据博弈加速数据安全法制定,数据是新的生产要素,是国家基础性资源和战略性资源,全球各国围绕数据的争夺和博弈在不断深化,加速了数据安全法的制定;
数据安全法是国家安全法的下位法,国家安全法和网络安全法目前已经生效,当下数据安全法的定位尤其重要,尽管国家安全法和网络安全法对数据安全已有原则性规定,但远远不够,因此数据安全法需将“数据自主可控”和“数据宏观安全”作为规制重心;
加快制定数据安全法,明确数据主权,随着各国之间数据资源竞争愈发激烈,数据主权成为各方博弈的焦点。我国近年已加快数据及信息安全方面的立法进度,并制定了《数据安全管理办法(征求意见稿)》,但仍存在基本法缺位、数据主权地位尚未确立、数据经营难有效监管等问题,针对数据保护立法或可设立域外适用条款,为国家数据主权保驾护航。
制度要点解读
数据分级分类保护制度
第二十条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
数据分类分级是确定数据保护和利用之间平衡点的一个重要依据,为政务数据、企业商业秘密和个人数据的保护奠定了基础,因此成为国家法规政策标准中的明确要求。
数据安全监测预警机制
第二十一条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。
加强数据安全监测和预警,建立安全信息通报和应急处置联动机制,建立健全数据安全工作机制。
数据安全应急处置机制
第二十二条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
我国《网络安全法》也规定了有关网络安全的应急处置机制,第二十五规定,“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
数据安全审查制度
第二十三条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
建立有效的数据安全审查机制 为保证信息安全方针、制度能够正确得到贯彻与执行,及时发现现有安全措施的漏洞和脆弱性,管理职能部门应定期组织相关部门人员按照数据安全审核和检查程序进行安全核查。
数据出口管制制度
第二十四条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
欧盟通用数据保护条例(GDPR)也规定了类似制度,但侧重点有所不同。具体而言,向获得欧盟保护水平认定的国家或国际组织(类似于白名单)转移个人数据,不需要任何特别授权。
