簡(jiǎn)介：8月27日，《數(shù)據(jù)安全法》解讀與阿里云三大合規(guī)方案線上直播活動(dòng)完美收官。阿里云高級(jí)安全咨詢專家李娜對(duì)數(shù)據(jù)安全相關(guān)法律法規(guī)做了綜合解讀，她指出，數(shù)據(jù)安全合規(guī)不能僅看片面，需要有整體的數(shù)據(jù)安全觀，知其然也要知其所以然，真正做到從被動(dòng)合規(guī)到主動(dòng)戰(zhàn)略風(fēng)控。

1.《網(wǎng)絡(luò)安全法》作為基礎(chǔ)性法律，有哪些比較重要的數(shù)據(jù)安全要求？

1)第二十一條： 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
劃重點(diǎn)：這一條說(shuō)明，等保2.0測(cè)評(píng)也包含數(shù)據(jù)安全相關(guān)內(nèi)容。

2)第三十一條：國(guó)家對(duì)重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。
劃重點(diǎn)：這一條說(shuō)明，涉及關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)泄露問(wèn)題，在等保基礎(chǔ)上，需要重點(diǎn)保護(hù)，包括但不限于商用密碼應(yīng)用安全性評(píng)估，數(shù)據(jù)安全審查、云計(jì)算評(píng)估等。

3)第三十七條：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。
劃重點(diǎn)：這一條說(shuō)明，向境外提供數(shù)據(jù)，需要經(jīng)過(guò)網(wǎng)信部門評(píng)估后方可出境。

4)第七十六條：術(shù)語(yǔ)中網(wǎng)絡(luò)安全，包括保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。
劃重點(diǎn)：這一條說(shuō)明，網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性是網(wǎng)絡(luò)安全的基礎(chǔ)能力，需納入基礎(chǔ)安全防護(hù)能力的范疇。

2.《數(shù)據(jù)安全法》的立法進(jìn)程非常迅速，這是為什么？

這要從《數(shù)據(jù)安全法》的立法背景來(lái)看：
1)社會(huì)經(jīng)濟(jì)發(fā)展層面，數(shù)字經(jīng)濟(jì)快速發(fā)展，數(shù)據(jù)成為“國(guó)家基礎(chǔ)性戰(zhàn)略資源”，保護(hù)這些數(shù)據(jù)保護(hù)需要法律依據(jù)；

2)數(shù)據(jù)開發(fā)利用層面，數(shù)據(jù)已經(jīng)從生產(chǎn)要素轉(zhuǎn)變?yōu)樯a(chǎn)力，促進(jìn)數(shù)據(jù)合理開發(fā)利用需要法律依據(jù)。

鑒于上述兩個(gè)需求的迫切性，數(shù)據(jù)安全法從立法規(guī)劃到正式頒布非常迅速，而且在其他行政法規(guī)中及時(shí)得到具體應(yīng)用。

3.《數(shù)據(jù)安全法》的適用范圍是什么？

1)境內(nèi)開展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管；

2)境外開展數(shù)據(jù)處理活動(dòng)，損害國(guó)家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任；
劃重點(diǎn)：這里明確了數(shù)據(jù)安全屬地管轄為主，保護(hù)性管轄為輔。

4.《數(shù)據(jù)安全法》每章重點(diǎn)講了什么？

1)第一章總則，主要技術(shù)要求包括建立數(shù)據(jù)安全治理體系以及主要監(jiān)管為國(guó)家網(wǎng)信和行業(yè)主管等。其中數(shù)據(jù)安全治理比較重要，包括數(shù)據(jù)梳理、數(shù)據(jù)安全風(fēng)險(xiǎn)分析、分類分級(jí)、監(jiān)控預(yù)警、數(shù)據(jù)安全規(guī)劃等較多內(nèi)容，這些內(nèi)容都涵蓋在數(shù)據(jù)安全咨詢的服務(wù)范圍。

2)第二章數(shù)據(jù)安全與發(fā)展，主要包括支持?jǐn)?shù)據(jù)安全評(píng)估與認(rèn)證、建立數(shù)據(jù)交易管理制度等。
劃重點(diǎn)：第一，數(shù)據(jù)安全評(píng)估與認(rèn)證有可能像等保和密評(píng)一樣成為數(shù)安法落地的檢查手段；第二，建立數(shù)據(jù)交易管理制度而不是數(shù)據(jù)交易制度，重點(diǎn)在數(shù)據(jù)交易的管理。

3)第三章數(shù)據(jù)安全制度，包括最受關(guān)注的數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全審查和數(shù)據(jù)出口管制，

4)第四章數(shù)據(jù)安全保護(hù)義務(wù)，主要包括數(shù)據(jù)安全管理、風(fēng)險(xiǎn)監(jiān)控與處置和數(shù)據(jù)處理及服務(wù)三部分。
劃重點(diǎn)：數(shù)據(jù)處理中的數(shù)據(jù)來(lái)源核實(shí)及記錄，主要針對(duì)的是數(shù)據(jù)交易場(chǎng)景中數(shù)據(jù)源的權(quán)屬，不是傳統(tǒng)數(shù)據(jù)安全的訪問(wèn)溯源取證場(chǎng)景。本章最重要的是，數(shù)據(jù)出境，未經(jīng)批準(zhǔn)，不得對(duì)外提供。

5)第五章政務(wù)數(shù)據(jù)安全與開放，重點(diǎn)是國(guó)家制定政務(wù)數(shù)據(jù)開放目錄，構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺(tái)。
劃重點(diǎn)：建議各單位遵循相關(guān)標(biāo)準(zhǔn)與規(guī)定，不要自行制定數(shù)據(jù)目錄，可能導(dǎo)致互聯(lián)互通困難。

6)第六章法律責(zé)任，簡(jiǎn)單地說(shuō)，多條處罰，包括除了罰款，還可以責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執(zhí)照。
劃重點(diǎn)：可依法追究直接責(zé)任人的刑事責(zé)任。

7)第七章附則，數(shù)據(jù)安全法今年9月1號(hào)實(shí)施。

5.《數(shù)據(jù)安全法》有哪些條文需要重點(diǎn)關(guān)注？

1)《數(shù)據(jù)安全法》第二十一條的數(shù)據(jù)分類分級(jí)。首先國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，
**a)劃重點(diǎn)：國(guó)家部委或行業(yè)的分類分級(jí)，盡量采用已有的數(shù)據(jù)分類標(biāo)準(zhǔn)或目錄，不建議單獨(dú)制定專門的分類分級(jí)制度，避免因數(shù)據(jù)目錄不同而影響數(shù)據(jù)集交換與共享。
b)數(shù)據(jù)分類是為了更好地區(qū)分管理對(duì)象，分級(jí)是為了實(shí)施不同程度的保護(hù)，數(shù)據(jù)分類一定是面向某種管理目標(biāo)、監(jiān)管手段的，不能一言以蔽之。**

2)《數(shù)據(jù)安全法》十八條關(guān)于國(guó)家支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估與認(rèn)證服務(wù)的發(fā)展。
**a)劃重點(diǎn)：標(biāo)準(zhǔn)37988數(shù)據(jù)安全能力成熟度模型，可以作為數(shù)據(jù)安全法檢測(cè)落地的抓手。該標(biāo)準(zhǔn)已在ISO立項(xiàng)，有可能成為國(guó)際數(shù)據(jù)安全標(biāo)準(zhǔn)；
b)標(biāo)準(zhǔn)37988數(shù)據(jù)安全能力成熟度模型的1-5級(jí)不能和等保作簡(jiǎn)單的對(duì)應(yīng)關(guān)系，企業(yè)確定自己的數(shù)據(jù)安全能力等級(jí)需要按照預(yù)評(píng)估的實(shí)際情況而定，能力不具備時(shí)盲目追求高等級(jí)可能整改困難。**

3)《數(shù)據(jù)安全法》第二十七條強(qiáng)調(diào)的也是全流程數(shù)據(jù)安全管理，涵蓋數(shù)據(jù)安全的核心八大能力，包括數(shù)據(jù)安全生命周期的分類分級(jí)、傳輸加密、存儲(chǔ)安全、數(shù)據(jù)脫敏、數(shù)據(jù)資產(chǎn)管理、終端數(shù)據(jù)安全、監(jiān)控與審計(jì)、數(shù)據(jù)鑒別與訪問(wèn)控制。這些核心的技術(shù)能力加上數(shù)據(jù)管理能力和運(yùn)維能力，是DSMM評(píng)估與認(rèn)證檢查的核心技術(shù)能力，如果滿足DSMM評(píng)估與認(rèn)證檢查，數(shù)據(jù)安全法提出的技術(shù)要求基本滿足。

6.《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全審查辦法》之間是什么關(guān)系？

新修訂的《網(wǎng)絡(luò)安全審查辦法》將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全審查范圍。
《網(wǎng)絡(luò)安全審查辦法》修訂前后比對(duì)情況：
1)第二條：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者，數(shù)據(jù)處理者，開展數(shù)據(jù)處理活動(dòng)，可能影響國(guó)家安全的，將進(jìn)行網(wǎng)絡(luò)安全審查，
劃重點(diǎn)：數(shù)據(jù)處理活動(dòng)是重點(diǎn)規(guī)范對(duì)象

2)第六條：增加了掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)信辦申報(bào)安審。
劃重點(diǎn)：對(duì)數(shù)據(jù)運(yùn)營(yíng)者作出了100萬(wàn)的定量描述。

3)第四條：審查單位增加了中國(guó)證監(jiān)會(huì)；

4)第十條：網(wǎng)絡(luò)安全審查評(píng)估內(nèi)容增加了數(shù)據(jù)處理活動(dòng)和海外上市場(chǎng)景，其中重點(diǎn)增加的國(guó)家安全風(fēng)險(xiǎn)有核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露毀損以及非法利用或出境風(fēng)險(xiǎn)，國(guó)外上市后關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被國(guó)外政府影響、控制、惡意利用的風(fēng)險(xiǎn)。
劃重點(diǎn)：網(wǎng)絡(luò)安全審查將數(shù)據(jù)處理活動(dòng)及海外上市增加為評(píng)估內(nèi)容，重點(diǎn)評(píng)估的是數(shù)據(jù)安全。

5)第十三條：將網(wǎng)絡(luò)安全審查的時(shí)間從45個(gè)工作日，延長(zhǎng)到3個(gè)月。

6)最關(guān)鍵的第一條，為了確保關(guān)鍵信息基礎(chǔ)設(shè)施的安全，執(zhí)法依據(jù)除了《國(guó)家安全法》、《網(wǎng)絡(luò)安全法》，增加了《數(shù)據(jù)安全法》；第十六條，違反本辦法規(guī)定的，處罰依據(jù)增加《數(shù)據(jù)安全法》。
劃重點(diǎn)：這二條說(shuō)明《數(shù)據(jù)安全法》被列為審查和處罰的依據(jù)。

因此整體來(lái)看，數(shù)據(jù)安全不僅有相關(guān)的數(shù)據(jù)安全能力評(píng)估認(rèn)證作為抓手，還有網(wǎng)絡(luò)安全審查作為檢查和處罰手段。

7.數(shù)據(jù)安全法正式實(shí)施在即，我們應(yīng)該如何看待數(shù)據(jù)合規(guī)？

劃重點(diǎn)：數(shù)據(jù)安全要從被動(dòng)合規(guī)轉(zhuǎn)化為主動(dòng)戰(zhàn)略風(fēng)控
首先，總體國(guó)家安全觀中，網(wǎng)絡(luò)安全是16個(gè)之一。從國(guó)家安全法的安全觀到《網(wǎng)絡(luò)安全法》的網(wǎng)絡(luò)空間主權(quán)到《數(shù)據(jù)安全法》的具體條文，其內(nèi)容一脈相承。目前涉及數(shù)據(jù)安全的還有《個(gè)人信息保護(hù)法》、民典法、刑法修正案（十一）等法律，都涵蓋相關(guān)內(nèi)容。

其次數(shù)據(jù)安全相關(guān)法律法規(guī)和政策的落地，正在經(jīng)歷一個(gè)逐漸完善監(jiān)管手段、提升監(jiān)管能力的過(guò)程，“讓法律長(zhǎng)出牙齒”，目前國(guó)家不僅在解決“有法可依”的問(wèn)題，也在解決“違法必究”的問(wèn)題。

在此情況下，企業(yè)對(duì)數(shù)據(jù)安全合規(guī)的理解不能片面，甚至懷有不檢查不處罰的僥幸心理，需要將數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)上升到業(yè)務(wù)風(fēng)險(xiǎn)，甚至企業(yè)風(fēng)險(xiǎn)，積極采納企業(yè)法務(wù)與安全合規(guī)團(tuán)隊(duì)意見，或者聘請(qǐng)專業(yè)的安全咨詢團(tuán)隊(duì)解決問(wèn)題，確保對(duì)政策趨勢(shì)有足夠的敏感性和前瞻性，從被動(dòng)數(shù)據(jù)安全合規(guī)到主動(dòng)戰(zhàn)略風(fēng)控。
兩

原文鏈接：https://developer.aliyun.com/article/789229?

版權(quán)聲明：本文內(nèi)容由阿里云實(shí)名注冊(cè)用戶自發(fā)貢獻(xiàn)，版權(quán)歸原作者所有，阿里云開發(fā)者社區(qū)不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。具體規(guī)則請(qǐng)查看《阿里云開發(fā)者社區(qū)用戶服務(wù)協(xié)議》和《阿里云開發(fā)者社區(qū)知識(shí)產(chǎn)權(quán)保護(hù)指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容，填寫侵權(quán)投訴表單進(jìn)行舉報(bào)，一經(jīng)查實(shí)，本社區(qū)將立刻刪除涉嫌侵權(quán)內(nèi)容。 與50位技術(shù)專家面對(duì)面20年技術(shù)見證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的数据安全审查综合解读|如何从被动合规到主动战略风控？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。