欧美视频一区二区在线,精品丝袜一区,青青国产在线观看,日韩欧美你懂的,天天插天天干天天操,久久久久久久婷婷,国产男人搡女人免费视频

       2023年8月25日，全國信息安全標準化技術委員會發(fā)布《信息安全技術 重要數據處理安全要求》征求意見稿（以下簡稱“《重要數據處理安全要求》”）。該標準文件系依據國家有關數據安全的法律法規(guī)制定，體現了國家對于數據安全的重視，該標準指定與實施，也有助于應對來自國際網絡與數據安全的挑戰(zhàn)。

      為促進企業(yè)對重要數據安全保護要求的理解，本文在簡述重要數據安全保護與合規(guī)的立法框架基礎上，對《重要數據處理安全要求》進行如下解讀。

      一、重要數據安全與合規(guī)的立法框架

      重要數據是我國數據安全立法體系中的重要內容，對此，我國已在法律層面逐步建立了重要數據保護制度體系。

      2017年，我國發(fā)布并實施《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），該法第二十一條、第三十七條明確從法律層面提出了重要數據的概念，該法第二十一條規(guī)定了網絡運營者應“采取數據分類、重要數據備份和加密等措施”。但這一條款并沒有界定什么是重要數據。隨后，2021年施行的《中華人民共和國數據安全法》（“《數據安全法》”），明確規(guī)定建立數據分類分級保護制度，并明確提出建立重要數據目錄。

      同時，我國通過行政法規(guī)、部門規(guī)章等法規(guī)文件細化重要數據安全的保護要求。例如，2021年國務院發(fā)布的《關鍵信息基礎設施安全保護條例》第十八條規(guī)定了重要數據泄露的應急響應要求；2021年，《汽車數據安全管理若干規(guī)定（試行）》明確定義了汽車數據中的重要數據，并提出風險評估、報送汽車數據安全管理情況等要求；2022年，《數據出境安全評估辦法》明確規(guī)定了重要數據出境的安全評估要求；2022年，《工業(yè)和信息化領域數據安全管理辦法（試行）》對工業(yè)和信息化領域數據中的重要數據識別、分類分級管理、全生命周期安全管理等方面進行了更為細化的規(guī)定。

      此外，在上述法律法規(guī)的基礎上，為指導數據處理者開展數據分類分級工作、識別重要數據，不同行業(yè)發(fā)布了一系列指引、指南，例如《信息安全技術 重要數據識別指南（征求意見稿）》（以下簡稱“《重要數據識別指南（征求意見稿）》”）、《網絡安全標準實踐指南——網絡數據分類分級指引》《工業(yè)數據分類分級指南（試行）》《基礎電信企業(yè)重要數據識別指南》《金融數據安全 數據安全分級指南》《信息安全技術 網絡數據分類分級要求（征求意見稿）》等。

       綜上，重要數據保護與合規(guī)，在我國已經形成了一整套制度體系，并且重要數據保護與各項網絡安全保護制度、數據安全制度、個人信息保護制度、有關行業(yè)立法都有一定的交叉和融合，從而對重要數據保護與合規(guī)提出了很高的要求。

       二、 《重要數據處理安全要求》要點解讀

      （一） 重要數據定義

       《網絡安全法》《數據安全法》對重要數據提出了嚴格的監(jiān)管要求，但是截止目前尚未從全國人大通過的法律層面對重要數據予以定義。

國家互聯網信息辦公室于2017年4月11日公布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》第九條，對重要數據界定為：“重要數據，是指與國家安全、經濟發(fā)展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南?！?/span>

       2019年5月28日，國家互聯網信息辦公室公布了《數據安全管理辦法（征求意見稿）》，對“重要數據”界定為：“重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩(wěn)定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業(yè)生產經營和內部管理信息、個人信息等。”

       雖然《個人信息和重要數據出境安全評估辦法（征求意見稿）》和《數據安全管理辦法（征求意見稿）》當前均未正式通過，但作為監(jiān)管機構制定的規(guī)則征求意見稿，一定程度上反映了監(jiān)管機構的意見，對于識別重要數據，具有一定的參考價值。

       2022年9月1日施行的《數據出境安全評估》則在第十九條明確規(guī)定，重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全等的數據。

       因此，針對何謂重要數據，我們可以根據《數據出境安全評估辦法》第十九條規(guī)定進行理解。同時參考關于重要數據識別、分類分級的指引性文件，即《重要數據識別指南（征求意見稿）》中關于“重要數據”的定義，重要數據指以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。

       對于重要數據的定義，《重要數據處理安全要求》第3.1條進一步明確：“重要數據（key data）”是指“特定領域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的數據，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩(wěn)定、公共健康和安全?！?/span>

       對比《重要數據處理安全要求》與之前的相關規(guī)定，我們可以發(fā)現，相比較《重要數據識別指南（征求意見稿）》對重要數據的定義，《重要數據處理安全要求》中的重要數據定義增加了“領域”“群體”“區(qū)域”“達到一定精度和規(guī)?！钡戎匾獢祿R別因素作為定語。重要數據識別因素在概念層面予以明示，一方面延續(xù)了《信息安全技術 網絡數據分類分級規(guī)則》定義，共同構成數據安全處理的重要技術文件[1]；另一方面識別因素的強調，可以指引企業(yè)開展重要數據識別工作，即企業(yè)不能僅從單一的某個字段來判斷該數據是否納入重要數據范疇，而應在確定數據范圍后從“領域”“群體”“區(qū)域”“精度”“規(guī)模”等因素綜合考慮數據分級要素，以識別、梳理形成企業(yè)自身的重要數據目錄、清單。舉例來說，個人信息的某些字段可能屬于敏感個人信息，而不能納入重要數據。但是，如果達到一定數量人群的特定信息，則可能構成重要數據。

      （二） 設施安全

       重要數據安全保護不能脫離網絡安全而討論，系統及網絡作為數據處理環(huán)境，保護數據安全必然需要保護系統及網絡安全。

       對此，《重要數據處理安全要求》針對性的明確兩項要求“4.1系統安全”及“4.2云計算服務平臺安全”。前者要求處理重要數據的系統應符合《信息安全技術：網絡安全等級保護基本要求（GBT 22239-2019）》第三級安全要求，并通過網絡安全等級保護三級（含）以上測評；后者則要求企業(yè)在重要數據在上云前論證重要數據上云的必要性，并重點評估云計算服務提供者的安全可信性，以及云計算服務平臺的安全狀況，并在數據上云后定期開展安全評估。

       將系統部署在公有云，數據云上處理是數字化模式下較為常見的一種方式。按照《重要數據處理安全要求》的要求，需要論證數據上云的必要性，這一規(guī)定意味著必要性評估是重要數據云上存儲的必備合規(guī)要求。

       （三） 數據處理活動安全

      《重要數據處理安全要求》從重要數據處理的全生命周期，逐個環(huán)節(jié)明晰了數據安全保護要求，要點如下：

       1、收集

       數據處理者[2]應采取如下保障收集數據收集過程的合法性以及數據質量的措施：

1）制定數據收集程序，明確數據收集目的、規(guī)模、方式、范圍、類型、存儲期限、存儲地點等，以及數據格式、質量準則和評價方式等要求；

2）在收集前進行安全評估，評估內容包括收集數據的目的、范圍、頻度、方式、存儲期限等是否符合法律法規(guī)的規(guī)定；

3）采取合法、正當的方式收集數據；

4）驗證數據的真實性、準確性，并定期對數據質量進行分析和監(jiān)控，及時對異常數據進行告警、修正等；

5）跟蹤和記錄數據收集過程，保證數據收集活動的可追溯性。

       同時，數據處理者應落實數據分類分級制度要求，在指定符合自身需求的重要數據識別制度通知，識別、更新自身的重要數據目錄、清單。根據《重要數據處理安全要求》第5.1.4、5.1.5，重要數據目錄系“描述數據基本情況、責任主體情況、數據處理情況、數據安全情況等信息”；重要數據清單則是“對識別出的重要數據進行記錄，標明重要數據的來源、用途、重要性時限、存儲位置、存儲期限、數據處理者、數據安全負責人、數據格式、數據量、訪問控制規(guī)則等信息”。

      2、存儲

      《重要數據處理安全要求》對數據存儲提出了包括本地化存儲、管理存儲期限、采取數據備份與恢復措施等要求。

       其中值得關注的是，《重要數據處理安全要求》第5.2.2條在強調重要數據本地化存儲原則的同時，通過禁止性規(guī)定明確“存儲重要數據的數據中心、云平臺等不應設置在境外”。筆者理解，這一規(guī)定與《數據安全法》及《數據出境安全評估辦法》中所規(guī)定的重要數據出境應申報數據出境安全評估的規(guī)定是形成匹配的。

       3、使用與加工

       《重要數據處理安全要求》對使用與加工環(huán)節(jié)設置了包括使用和加工過程中應進行的訪問控制、評估、審批、保密審查等方面的要求。其中，保密審查是指建立保密審查制度，明確數據保密審查的責任領導、責任部門，規(guī)定保密審查的具體責任，防止因數據匯聚等泄露國家秘密信息。

        4、傳輸與提供

       《重要數據處理安全要求》提出了重要數據在對外提供和共享時應遵循的安全要求，包括簽訂合同等法律文件約定重要數據處理目的、范圍、處理方式、安全保護義務等內容，還包括在對外提供和共享重要數據前的評估審批，采取傳輸保護措施，監(jiān)督重要數據接收方、受委托方，向境外提供重要數據的數據出境安全評估申報等要求。

        5、公開與刪除

       針對公開環(huán)節(jié)，《重要數據處理安全要求》對數據處理者公開重要數據及其加工結果，提出了制定數據公開管理制度、采取必要安全措施等要求；針對刪除環(huán)節(jié)，《重要數據處理安全要求》要求數據處理者應刪除已廢棄或超出約定期限的重要數據，并針對數據刪除和介質銷毀分別進行細化規(guī)定。

      （四）運營與管理安全

       除上述重要數據全生命周期的安全保護要求外，《重要數據處理安全要求》針對企業(yè)內部建立建設重要數據安全管理體系，亦提出了明確的規(guī)范要求，重點包括：

1、建立健全數據安全管理體系。重要數據處理者在建立健全數據安全管理體系需同時關注組織人員構建和制度建設：組織與人員方面包括委任安全負責人、安全成立管理機構明確相關人員、崗位職責，制度方面則應建立健全數據安全管理制度。

2、部署數據治理設施。重要數據處理者應通過部署數據治理工具，并進行統一管理等方式保障重要數據安全。

3、管理采購、供應商等供應鏈。重要數據處理者應嚴格管理采購策略與流程、評估審查供應商，以降低因與外部數據交互而引發(fā)的數據安全風險。

4、其他運行與管理安全要求。此外，《重要數據處理安全要求》還對重要數據處理者提出了多方面的重要數據管理要求，包括開展數據安全培訓、制定重要數據安全應急預案，如發(fā)生重要數據泄露、毀損、丟失等數據安全事件時則應及時采取應急響應措施、采取應急處置方案，開展重要數據審計、安全風險評估，配合主管部門或執(zhí)法部門針對重要數據安全的監(jiān)督檢查等。

       三、小結

       綜上，重要數據的安全事關國家安全、經濟運行、社會穩(wěn)定、公共健康和安全，我國通過法律法規(guī)及規(guī)范性文件逐步落實重要數據監(jiān)管制度的同時，亟需可以指引、指導企業(yè)開展重要數據處理安全保護工作的標準性文件。盡管《重要數據處理安全要求》尚有部分內容有待明晰，但是其通過對設施安全、數據處理活動安全，以及運行與管理安全的闡述，可以全面指導數據處理者落實《中華人民共和國數據安全法》及重要數據安全保護制度的相關合規(guī)要求。

注釋

[1] 根據《重要數據處理安全要求》編制說明第1.2條“制定背景”。

[2] 《重要數據處理安全要求》第3.3條，數據處理者是指在數據處理活動中自主決定處理目的、處理方式的組織和個人。