大數(shù)據(jù)時(shí)代背景下，數(shù)據(jù)安全問題越來越多，不僅侵害了很多公民和企業(yè)的利益，也嚴(yán)重威脅著國家安全。在這樣備受關(guān)注的背景下，十三屆全國人大常委會(huì)第二十九次會(huì)議于6月10日表決通過了《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），真可以說是一場及時(shí)雨，為各個(gè)行業(yè)、各地區(qū)、各部門的網(wǎng)絡(luò)安全保護(hù)、管理工作提供了最權(quán)威的指導(dǎo)和要求。

《數(shù)據(jù)安全法》全文共分為七個(gè)章節(jié)，分別是第一章，總則；第二章，數(shù)據(jù)安全與發(fā)展；第三章，數(shù)據(jù)安全制度；第四章，數(shù)據(jù)安全保護(hù)義務(wù)；第五章，政務(wù)數(shù)據(jù)安全與開放；第六章，法律責(zé)任；第七章，附則，共計(jì)五十一條。

這部應(yīng)運(yùn)而生的法律對(duì)于從事網(wǎng)絡(luò)安全工作的部門，有哪些需要關(guān)注的要點(diǎn)呢？我們來學(xué)習(xí)一下。

一、明確了“管什么”？

該法對(duì)數(shù)據(jù)和數(shù)據(jù)安全做了法律上的定義，即：

l 本法所稱數(shù)據(jù)是指任何以電子或者其他方式對(duì)信息的記錄。

l 數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。

l 數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

    應(yīng)該說，該法對(duì)數(shù)據(jù)的定義是比較寬泛的，不僅包括了大家通常理解的信息通信設(shè)備、系統(tǒng)中的電子形式數(shù)據(jù)和文件，還包括了其他形式的信息記錄，例如打印出來的紙質(zhì)文件、單據(jù)（典型的是銀行、醫(yī)院開具的票據(jù)、處方）、證照等，所有這些都受到該法的保護(hù)。

對(duì)數(shù)據(jù)活動(dòng)的定義中除了“生產(chǎn)”環(huán)節(jié)外，涵蓋了數(shù)據(jù)處理的其它全過程。這主要是考慮到有些數(shù)據(jù)生產(chǎn)者擁有其數(shù)據(jù)的全部權(quán)力，自行對(duì)“生產(chǎn)”數(shù)據(jù)的活動(dòng)負(fù)責(zé)，例如求職者編寫自己的簡歷。但是，一旦數(shù)據(jù)進(jìn)入后續(xù)的環(huán)節(jié)，就進(jìn)入被保護(hù)的范圍，例如攻擊者竊取別人保存在電腦上的個(gè)人簡歷是違法的。此外，有些個(gè)人“生產(chǎn)”的數(shù)據(jù)涉及國家政治、經(jīng)濟(jì)、軍事等領(lǐng)域，甚至涉及他人或部門的重要信息，數(shù)據(jù)的“生產(chǎn)”者也必須承擔(dān)相關(guān)數(shù)據(jù)的保護(hù)責(zé)任。

該法對(duì)數(shù)據(jù)活動(dòng)相關(guān)主體的要求是確保有效保護(hù)、確保合法利用，且有能力確保。最后一句話很重要，要求數(shù)據(jù)活動(dòng)參與方要有能力。什么是能力？對(duì)一個(gè)部門來講，至少要包括管理制度、管理人員和必要的技術(shù)措施。

二、明確了“誰來管？”

l 中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制。

l 國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。

l 公安機(jī)關(guān)、國家安全機(jī)關(guān)等依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。

l 工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。

中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)即中央國家安全委員會(huì)，是大政方針的制定和決策部門；網(wǎng)信部門是統(tǒng)籌協(xié)調(diào)部門；公安、安全等部門按各自職責(zé)開展全領(lǐng)域的監(jiān)管執(zhí)法；工業(yè)、電信等主管部門則是要承擔(dān)本行業(yè)的具體監(jiān)管職責(zé)，需要建立必要的監(jiān)管制度、標(biāo)準(zhǔn)和技術(shù)能力。

三、明確了被監(jiān)管的責(zé)任主體

l 各地區(qū)、各部門對(duì)本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)。

不論是政府還是企事業(yè)單位、社會(huì)團(tuán)體，只要在工作中收集或產(chǎn)生了數(shù)據(jù)，那么就要承擔(dān)法律規(guī)定的數(shù)據(jù)安全責(zé)任。

四、要制定數(shù)據(jù)安全標(biāo)準(zhǔn)，開展數(shù)據(jù)安全檢測(cè)評(píng)估工作，規(guī)范數(shù)據(jù)交易活動(dòng)。

l 國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)部門根據(jù)各自的職責(zé)，組織制定并適時(shí)修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)。

l 國家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。

l 國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場。

在標(biāo)準(zhǔn)方面，已有的標(biāo)準(zhǔn)如涉及數(shù)據(jù)處理環(huán)節(jié)，則需進(jìn)行修訂。此外，針對(duì)當(dāng)前大數(shù)據(jù)時(shí)代各行各業(yè)各種新的數(shù)據(jù)活動(dòng)、數(shù)據(jù)應(yīng)用，需要研究制定有針對(duì)性的數(shù)據(jù)安全標(biāo)準(zhǔn)。

在安全檢測(cè)和安全評(píng)估方面，同樣要針對(duì)數(shù)據(jù)安全制定有針對(duì)性的檢測(cè)和評(píng)估標(biāo)準(zhǔn)，開展專門的檢測(cè)、評(píng)估業(yè)務(wù)。

在數(shù)據(jù)交易方面，需要按照數(shù)據(jù)安全法完善管理制度，落實(shí)管理要求，確保數(shù)據(jù)在交易活動(dòng)中處于安全的狀態(tài)。

五、著重強(qiáng)調(diào)要建立數(shù)據(jù)安全制度

1. 建立數(shù)據(jù)分級(jí)分類保護(hù)制度

l 根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)

l 國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。

l 各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

未來，國家將依據(jù)數(shù)據(jù)安全法進(jìn)一步制定數(shù)據(jù)分級(jí)分類保護(hù)制度，各地區(qū)、各部門則要相應(yīng)制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)、重要數(shù)據(jù)目錄，并采取技術(shù)和管理措施落實(shí)對(duì)重要數(shù)據(jù)的保護(hù)。特別是對(duì)關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等國家核心數(shù)據(jù)，要實(shí)行更加嚴(yán)格的管理制度。

2. 建立數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)警機(jī)制

l 建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制。

l 國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。

當(dāng)前，我國在國家、地方、行業(yè)層面已經(jīng)建立了網(wǎng)絡(luò)安全威脅、事件的評(píng)估、監(jiān)測(cè)、通報(bào)等相關(guān)工作機(jī)制，今后則需要在原有機(jī)制基礎(chǔ)上進(jìn)行優(yōu)化完善，重點(diǎn)加強(qiáng)針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的信息獲取、事件監(jiān)測(cè)、分析研判和通報(bào)預(yù)警。這些工作要重點(diǎn)圍繞被列入國家核心數(shù)據(jù)、重點(diǎn)數(shù)據(jù)目錄的數(shù)據(jù)和數(shù)據(jù)活動(dòng)而開展。

如果有些從事重要數(shù)據(jù)活動(dòng)的政府、企事業(yè)部門尚未建立自身的數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)現(xiàn)能力，沒有參與國家相關(guān)預(yù)警機(jī)制，則需要高度重視、立即采取行動(dòng)。

3. 建立數(shù)據(jù)安全應(yīng)急處置機(jī)制

l 發(fā)生數(shù)據(jù)安全事件，有關(guān)主管部門應(yīng)當(dāng)依法啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，防止危害擴(kuò)大，消除安全隱患，并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。

4. 建立數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制要求

l 對(duì)影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查。

l 對(duì)于維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。

國家網(wǎng)信辦等12個(gè)部委聯(lián)合制定的《網(wǎng)絡(luò)安全審查辦法》已經(jīng)在2020年6月1日生效。該辦法主要面向網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購活動(dòng)，沒有專門涉及數(shù)據(jù)安全。因此，國家未來可望出臺(tái)專門的制度，對(duì)影響或可能影響國家安全的數(shù)據(jù)活動(dòng)進(jìn)行審查，對(duì)相關(guān)數(shù)據(jù)的出口活動(dòng)進(jìn)行管制。

六、明確數(shù)據(jù)保護(hù)的義務(wù)

1. 規(guī)定了數(shù)據(jù)保護(hù)義務(wù)的內(nèi)容

l 依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

l 重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

數(shù)據(jù)保護(hù)義務(wù)簡單來說有三個(gè)方面，即管理制度、教育培訓(xùn)、技術(shù)措施和其他措施。需要注意的是，在制度建設(shè)上強(qiáng)調(diào)了要建立“全流程”數(shù)據(jù)安全管理制度，即要覆蓋數(shù)據(jù)活動(dòng)的各個(gè)環(huán)節(jié)，一旦有涉及就要有對(duì)應(yīng)的制度。

為了落實(shí)責(zé)任，法律還規(guī)定要明確重要數(shù)據(jù)的安全負(fù)責(zé)人和管理機(jī)構(gòu)。

如果一個(gè)部門發(fā)生的數(shù)據(jù)安全事件，在判斷其是否違法和衡量其違法責(zé)任的時(shí)候，就是要從其落實(shí)三方面義務(wù)的情況和是否明確了責(zé)任人和管理機(jī)構(gòu)來考察。

2、規(guī)定了數(shù)據(jù)處理者應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的要求

l 開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

l 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。

首先要求數(shù)據(jù)處理者還要有數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)能力，并且在發(fā)現(xiàn)風(fēng)險(xiǎn)或事件的時(shí)候要立即響應(yīng)處置，并向主管部門報(bào)告。

重要數(shù)據(jù)處理者還需要定期做風(fēng)險(xiǎn)評(píng)估，并且向主管部門報(bào)告。

3、對(duì)其第三方的數(shù)據(jù)處理活動(dòng)的保護(hù)要求

l 收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑?/span>

l 從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。

l 法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的，服務(wù)提供者應(yīng)當(dāng)依法取得許可。

首先明確規(guī)定“任何組織、個(gè)人不得竊取或者以其他非法方式獲取數(shù)據(jù)?！逼浯?，規(guī)定了提供特定數(shù)據(jù)處理相關(guān)服務(wù)要實(shí)現(xiàn)取得行政許可（例如某些特定行業(yè)或者特定業(yè)務(wù)等）。強(qiáng)調(diào)數(shù)據(jù)交易中介機(jī)構(gòu)要對(duì)數(shù)據(jù)來源、交易者身份進(jìn)行審核，確保合法交易。

4、對(duì)境內(nèi)外司法部門提供數(shù)據(jù)的規(guī)定

l 公安機(jī)關(guān)、國家安全機(jī)關(guān)因依法維護(hù)國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，應(yīng)當(dāng)按照國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，依法進(jìn)行，有關(guān)組織、個(gè)人應(yīng)當(dāng)予以配合。

l 非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的數(shù)據(jù)。

首先明確要依法配合我國公安、安全機(jī)關(guān)的執(zhí)法活動(dòng)，但也強(qiáng)調(diào)相關(guān)執(zhí)法活動(dòng)要嚴(yán)格執(zhí)行批準(zhǔn)手續(xù)。其次明確不得擅自向境外機(jī)構(gòu)提供存儲(chǔ)在我國境內(nèi)的數(shù)據(jù)。

七、對(duì)政務(wù)數(shù)據(jù)安全做了重點(diǎn)規(guī)定

l 國家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)，應(yīng)當(dāng)在其履行法定職責(zé)的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進(jìn)行；對(duì)在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。

l  國家機(jī)關(guān)應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定，建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全。

l 第四十條 國家機(jī)關(guān)委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng)，存儲(chǔ)、加工政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序，并應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)。

l 國家制定政務(wù)數(shù)據(jù)開放目錄，構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺(tái)，推動(dòng)政務(wù)數(shù)據(jù)開放利用。

首先規(guī)定國家機(jī)關(guān)只能在履職所需范圍內(nèi)收集和使用數(shù)據(jù)，不能超范圍收集；其次，在履職過程中知悉的個(gè)人數(shù)據(jù)、商業(yè)數(shù)據(jù)等要給予保密，不得向他人泄露。

另外，要求國家機(jī)關(guān)不僅要建立數(shù)據(jù)安全管理制度，還要落實(shí)保護(hù)責(zé)任。這就要求相關(guān)部門要具備必要的技術(shù)能力或內(nèi)部管理能力。當(dāng)國家機(jī)關(guān)委托他人從事政務(wù)系統(tǒng)建設(shè)、數(shù)據(jù)處理活動(dòng)的時(shí)候，首先要經(jīng)過批準(zhǔn)，然后要監(jiān)督受托方履行數(shù)據(jù)安全保護(hù)義務(wù)。所選擇的受托方必須要具備數(shù)據(jù)安全保護(hù)的管理能力、技術(shù)能力。

通過上面的介紹，不論是政府、還是企事業(yè)單位的網(wǎng)絡(luò)安全管理者都應(yīng)該深刻認(rèn)識(shí)到國家在數(shù)據(jù)安全管理上的決心，要高度重視自身的數(shù)據(jù)安全管理工作，簡要來講有如下幾點(diǎn)：

1、建立數(shù)據(jù)安全管理制度，完善相關(guān)數(shù)據(jù)處理流程，明確崗位和責(zé)任人。

2、建立數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)和重要數(shù)據(jù)目錄，建設(shè)數(shù)據(jù)安全防護(hù)、風(fēng)險(xiǎn)檢測(cè)、事件監(jiān)測(cè)的技術(shù)能力，定期開展安全評(píng)估。

3、與主管部門建立通報(bào)預(yù)警和應(yīng)急處置機(jī)制。

4、開展數(shù)據(jù)安全保護(hù)意識(shí)和基本防護(hù)措施的教育培訓(xùn)。

網(wǎng)絡(luò)安全管理工作任重而道遠(yuǎn)，在當(dāng)前大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全工作的核心就在于數(shù)據(jù)安全。我們相信，在數(shù)據(jù)安全法的引領(lǐng)下，我國各行各業(yè)的數(shù)據(jù)安全工作水平將會(huì)迅速提高，數(shù)據(jù)對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的驅(qū)動(dòng)力將得到充分的保障！