8月30日,国务院常务会议审议通过了由国家网信办组织起草,连续三年写入国务院立法计划的《网络数据安全管理条例(草案)》(以下简称《条例》)。《条例》以《网络安全法》《数据安全法》《个人隐私信息保护法》等法律为顶层依据,旨在健全国家安全法治体系,规范网络数据处理活动,保障数据安全,保护个人、组织在互联网空间的合法权益,维护国家安全、公共利益。
《条例》核心内容主要明确部门监管职责与协同机制,制定通用一般规定,个人隐私信息、重要数据等保护制度,明确数据跨境安全管理要求,网络站点平台运营者义务,监督管理要求等。框架示意图如下。
《条例》承接《网络安全法》第21条“网络运营者应当采取数据分类、重要数据备份和加密等措施”,《数据安全法》第19条“国家对数据实行分级分类保护”的相关规定,进一步落实数据分类分级保护制度,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护的方法,包括制定重要数据目录、加强场景化防护等具体实际的要求,形成了数据分类分级目录、要求规范和责任主体数据安全管理实践的统一指引。
《条例》规定“数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任”;“数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制”。其一般规定包括:
2.数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护;
3.处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关法律法规从严保护;
《条例》承接《个人隐私信息保护法》“告知-同意”原则,明确数据处理者处理个人隐私信息时,应明确告知个人隐私信息处理的目的、类型、方式、范围等,取得个人单独同意,并确保个人信息的收集、使用、共享、交易等活动符合法律和法规要求。有必要注意一下的是“数据处理者处理一百万人以上个人隐私信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。”这也透露着处理一百万人以上个人隐私信息的数据处理者在数据安全管理及技术保护等方面等同于重要数据处理者。
《条例》规定各地区、各部门依照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。针对重要数据处理者,除制定重要数据和核心数据目录外,还包括:
2. 制定数据安全培训计划,每年组织并且开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不可以少于二十小时;
4.处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估;
5.数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意;
6. 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。
针对数据跨境传输问题,结合该《条例》征求意见稿分析,能够准确的看出除数据处理者需遵循的规范和程序外,《条例》还从监管角度明确国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术上的支持、传播推广、支付结算、应用下载等服务。境内用户访问境内网络的,其流量不得被路由至境外。另外,《促进和规范数据跨境流动规定》等政策相继发布,进一步细化数据出境的安全评估、个人隐私信息出境标准合同、个人隐私信息保护认证等制度,这都标志着我国对数据跨境行为的监管在逐步加强。
《条例》对网络站点平台运营者提出了更为细致的监督管理要求。大型网络站点平台运营者在实施合并、重组、分立等可能会影响国家安全的重大事项时,需申报网络安全审查。同时,日活用户超过一亿的大型网络站点平台运营者平台规则、隐私政策制定或者对用户权益有重大影响修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
针对传统以边界防护为主的网络安全手段已经难以应对内外“双循环”的数据流动场景等现实问题,中孚信息300659)结合国家对重要数据、工作秘密、个人隐私信息保护的相关规定,平衡业务需要和安全要求,以安全治理为视角,通过开展合规差距性评估、业务现状评估,摸清组织数据安全现状,针对性从管理和技术两方面加强数据安全体系建设,强化数据全生命周期安全防护,并通过安全动态运营,建立基于业务和数据的持续验证、集合、评价的动态改进能力。
借助自动识别发现工具,对用户数据资源进行识别梳理。基于全面专业的“国家、工作、商业、个人”四级敏感数据标准库、丰富的行业样例数据及内置专业数学算法模型,自动完成元数据翻译,智能标识国家秘密、工作秘密、商业机密、个人隐私等敏感数据,在内容分析的基础上,完成全局数据梳理。并对用户的数据资产使用情况、数据表情况、数据字段使用情况、敏感数据分布情况,以及数据库、数据库账户、应用系统和终端IP之间的敏感数据流转情况,进行简洁直观可视化呈现,帮助用户及时掌握敏感数据的安全传输情况。
数据分类分级:以国家、地方以及行业法律和法规为基础,结合用户数据资源现状,制定自身分类分级指南与标准,凭借AI算法、指纹、数据分级分类规则模型和人工配置数据分级分类规则集等工具方法,对实体数据实施归类定级,形成数据分类分级清单。
当前,中孚可对《信息安全技术数据安全能力成熟度模型》、《网络安全标准实践指南——网络数据安全风险评估实施指引》以及工作秘密进行专项风险评估,识别分析组织数据资产及其在采集、存储、传输、使用、加工、处理、销毁等相关处理活动中面临的安全风险,评估安全事件若发生会造成的危害程度,针对性提出抵御威胁的防护对策和整改措施,将风险控制在组织可接受的水平。
以5层组织架构与4层管理制度为依据,帮助用户逐步完成数据安全组织、管理制度体系的建设。目前中孚信息已帮助某部委、某招商局等国内重要客户完成数据安全管理制度建设。
以零信任为理念,强隔离、高隐身、细管控为思路,面向“云网数用端”多维覆盖,形成了“1+N”的数据安全产品体系。1为数据安全态势感知平台;N为安全沙箱、API审计与监测平台、数据标识等安全加固产品,以及数据库审计、数据库防火墙、数据动态/静态脱敏等数据安全标品,有力支撑用户完成终端隔离威胁进不来、业务隐身漏洞找不到、攻击检测(诱捕)违规走不脱、安全管控数据拿不走、监测预警风险漏不掉五类能力建设。
针对数据跨境流转场景,中孚以“端到端”的防护体系为建设思考,以人、设备、网络、应用、数据为链路,以数据库审计、数据库防火墙、数据脱敏等标品为基础,围绕终端接入人员鉴别(谁)、终端环境隔离(通过什么设备)、数据传输(什么网络)、数据标识流转管控(对什么数据来进行了什么操作)、数据流转统一监测,综合应用安全沙箱、零信任网关、API审计与监测系统、数据标识、数据安全态势感知平台,构建数据跨境流转安全防护与监督管理体系,实现终端工作区数据与个人生活区数据落盘隔离加密存储能力,解决终端被控状态下,工作重要数据泄露的问题;实现终端侧基于数据标识的敏感数据流转管控能力,解决终端侧非授权、超范围数据滥用的问题;实现数据跨境场景下数据存储、数据使用、数据共享全过程的融合安全风险监测能力,解决数据跨境流转全链条风险无法全面感知的难题。
在数据作为重要核心资源呈现内外双循环的背景下,中孚信息面向新一代数据安全动态细粒度保护的需求,以强隔离、高隐身、细管控为思路,构建了涵盖“数据安全治理、数据安全管理、数据安全技术防护、数据安全动态运用”数据安全体系,旨在支撑用户以重要数据混合使用与流转防护为主要防护建设实践,围绕“云网数用端”形成立体化、场景化防护能力,确保数据在各类场景下收集、利用、流转、开放、共享等不同处理活动安全,护航政企数字化转型。
【原创】股市特别报道·公司行动丨近来上市公司密集回购 近60家公司“董监高”净增持
牧原股份:预计2024年前三季度净利润100亿元–110亿元 同比扭亏为盈
韦尔股份:预计2024年前三季度净利润同比增加515.35%到569.64%
杭州:商业性个人住房贷款不再区分首套、二套住房,最低首付款比例统一为15%
专家:财政部要进一步解放思想、创新观念,积极打造积极财政政策的“升级版”
杭州:商业性个人住房贷款不再区分首套、二套住房,最低首付款比例统一为15%
专家:财政部要进一步解放思想、创新观念,积极打造积极财政政策的“升级版”
新闻推荐
【2024-11-08】
【2024-11-08】
【2024-11-07】
【2024-11-05】
【2024-11-03】
【2024-11-03】
【2024-10-31】
【2024-10-31】
【2024-10-31】
【2024-10-31】
【2024-10-31】
【2024-10-29】