齐安说 |《数据安全法》政策解析（二）

06 数据安全与发展

数据安全法第二章内容安全与发展并重，对促进数据安全与发展的措施作了规定，保护个人、组织与数据有关的权益。在这里面包含了省级以上的人民政府，必须将数字经济发展纳入本省的发展规划；数据开发利用技术与数据安全相互之间的关系；数据安全防护要建立一套完整的数据安全标准体系等。具体如下：

○ 国家实施大数据战略，推进数据基础设施建设

○ 数字经济发展纳入本级国民经济和社会发展规划

○ 国家支持数据开发利用和数据安全技术研究

○ 国家推进数据开发利用技术和数据安全标准体系建设

○ 国家促进数据安全检测评估、认证等服务

○ 国家建立健全数据交易管理制度

○ 国家支持和开展数据安全教育和培训，专业人才培养与交流

6.1. 数据安全与产业发展并重

数据安全法第十三条和第十六条指出国家统筹数据产业发展和数据安全，坚持以数据的开发利用和产业发展促进数据安全；以数据安全保障数据开发利用和产业发展；支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系，营造数据安全与产业发展齐头并进的良好态势。

6.2. 数据安全检测、评估、认证

《数据安全法》阐述了数据是否安全需要做相应的检测、评估和认证，国家对于数据安全评估发布了《数据管理能力成熟度评估模型(GB/T 36073-2018)》、《数据安全能力成熟度模型(GB/T 37988-2019)》和《数据安全治理能力评估方法(T/ISC-0011-2021)》等评估办法指导。

6.3. 数据安全人才培养

国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

数据安全工作涉及层面广泛、知识技能繁多，对于各项工作的负责人员要求专业化程度高，因此进行分层次的阶梯化培养是科学、合理的选择。数据安全人才培养体系的层次通常可以划分为数据安全管理层、数据安全技术实施层、非安全领域普通员工层，层次结构以涵盖人员数量级来体现，呈现出金字塔结构。

07 数据安全管理制度 

数据安全法第三章说的是从顶层出发，国家建立数据安全制度，要加强具体制度与整体治理框架的衔接。从基础定义、数据安全管理、数据分类分级、重要数据出境等方面加强与《中华人民共和国网络安全法》等法律的衔接，完善我国数据治理法律制度建设。国家层面建立重要数据目录，同时授权各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录，强化重要数据处理者数据安全保护义务，加强对重要数据的保护。具体如下：

○ 国家建立数据分类分级保护制度，制定重要数据目录，加强重要数据保护。

○ 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共 享、监测预警机制。

○ 国家建立数据安全应急处置机制（应急预案、预警通报）。

○ 国家建立数据安全审查制度 ，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

○ 国家对属于管制物项的数据依法实施出口管制。

○ 国家针对对华歧视性的禁止、限制等对等保护措施。

7.1. 数据分类分级保护保护制度

数据安全法明确“国家建立数据分类分级保护制度”，与国家“网络安全等级保护”制度呼应。要求各地区、各部门、各行业制定各自范围里的“重要数据目录”进行重点保护，由国家数据安全工作协调机制统筹协调有关部门制定，对国家核心数据实行严格的管理制度。 

如何做好数据安全，就是要知道重要的数据在哪，哪些数据涉及到国家核心及敏感数据在哪，如果分类分级没有做好的话，后期安全保护措施几乎是没法用起来。在数据分类分级保护制度里面，金融领域和电信领域走得都比较靠前，可以参考JR/T0158-2018《证券期货业数据分类分级指南》、JR/T0197-2020《金融数据安全 数据安全分级指南》、YD/T3813-2021《基础电信企业数据分类分级方法》、YD∕T 2781-2014 电信和互联网服务用户个人信息保护定义及分类、YD∕T 2782-2014 电信和互联网服务用户个人信息保护分级指南。

7.2. 数据安全审查和出口管制

数据安全法第二十四条指出从事和国家安全相关工作，需要进行数据安全事件的国家级别的安全审查工作。 

数据安全法第二十五条说明国际合作数据方面的出口要求，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。根据《中华人民共和国出口管制法》的要求，源代码、算法等技术资料列入管制范围，这些数据的出口企业需按照出口管制法的要求执行。

以上两条法条都衔接《网络安全审查办法》,通过制定数据安全审查制度进一步针对涉及国家安全数据的入境与离境活动实施审查机制。《网络安全审查办法》里对赴国外上市掌握超100万用户个人信息的运营者规定要必须接受网络安全审查，对核心、重要及个人数据的处理和风险也进行了规定。

文章引用微信公众号"指尖安全",如有侵权,请联系管理员删除!