功夫:2022-02-23
本文10505字阅读约需27分钟
2021年是我国数据安全立法元年,,,,,数据安全政策系统建设获得沉大战术进展,,,,,数据安全工作迈入了新阶段。。。。。。
这一年,,,,,我国正式颁布了《中华人民共和国数据安全法》《中华人民共和国幼我信息;;;;;;しā返攘讲克痉ǎ,,,,添补了我国数据安全的司法空缺,,,,,同时配套推出了《网络数据安全治理条例(征求定见稿)》,,,,,将两部司法中的准则要求、吞吐地带进行了明确,,,,,并对车联网等沉点行业、数据出境等沉点领域进行了落实细化。。。。。。
本文拔取2021年颁布的拥有代表性的6部数据安全司法律规,,,,,从8个维度梳理了其中的内涵逻辑关系,,,,,对数据安全政策的新特点、新趋向进行了深度分析,,,,,在此基础上提出了推动数据安全;;;;;;さ挠泄亟ㄒ。。。。。。
一、概述
《中华人民共和国数据安全法》《中华人民共和国幼我信息;;;;;;しā肥巧衔环ǎ,,,,涉及领域广、准则要求多,,,,,提供了基础司法凭据,,,,,必要在执行过程、具体领域中进行细化;;;;;;《网络数据安全治理条例(征求定见稿)》进一步细化落实数据安全治理,,,,,对多项准则要求进行细化,,,,,满足了当前日益火急的数据安全治理需要;;;;;;《汽车数据安全治理若干划定(试行)》《关于加强车联网网络安全和数据安全工作的通知》加强汽车数据、出格是车联网网络安全和数据安全治理,,,,,是汽车领域数据安全的重要造度,,,,,是上位法在具体领域的细化;;;;;;《数据出境安全评估法子(征求定见稿)》进一步细化落实数据出境有关治理要求,,,,,是对当前数据出境过程中有关要求的整合细化。。。。。。在两部司法颁布的昔时,,,,,就配套推出有关条例、法子、划定、通知,,,,,既体现了国度对数据安全的高度器沉,,,,,也反映出加强汽车数据安全、数据出境安全的紧迫性和沉要性。。。。。。

上述数据安全政策之间重要出现以下三个方面关系。。。。。。
执行方面。。。。。。数据安全法和幼我信息;;;;;;しㄊ巧衔环ǎ,,,,网络数据安全治理条例是为了执行上位法而设立的造度,,,,,给出了具体的执行蹊径。。。。。。划定、通知、法子是在沉点行业、沉点领域的落实落细。。。。。。对于上位法中已经明确的内容,,,,,条例、划定、通知、法子往往不再沉复划定。。。。。。
细化方面。。。。。。对于上位法中的准则要求,,,,,或者理解执行过程中必要进一步明确的内容,,,,,条例、划定、通知、法子作了进一步细化。。。。。。例如上位法中提出的“网信部门划定的前提”“网信部门划定的数量”等概想的内涵,,,,,条例都作了明确。。。。。。
新增方面。。。。。。条例、划定、通知、法子能够创设造度,,,,,设定行政许可,,,,,增长新的要求。。。。。。例如沉要数据处置者登记要求和年度汇报要求、数据出境安全治理使命、网络平台责任等。。。。。。

二、重要数据安全政策的新特点新趋向
2021年,,,,,我国数据安全;;;;;;すぷ髀跞肓诵陆锥。。。。。。一方面,,,,,随着数字经济的急剧发展,,,,,数据已经成为基础性资源和战术性资源,,,,,是决定数字经济发展水平和竞争力的主题资源。。。。。。另一方面,,,,,数据安全局势日益严格,,,,,高价值数据泄漏、幼我信息滥用情况凸起,,,,,针对数据的攻击、窃取、劫持、滥用等不休推陈出新,,,,,滴滴事务、阿里云事务露出了数据安全面对的巨大潜在风险。。。。。。数据安全政策出现出一系列新特点新趋向,,,,,必要正确意识和把握方向、抓好沉点,,,,,加快提升数据安全;;;;;;つ芰。。。。。。
(一)主体概想系统越发美满,,,,,衔接统一成为沉要方向
《中华人民共和国数据安全法》《中华人民共和国幼我信息;;;;;;しā贰锻缡莅踩卫硖趵ㄕ髑蠖澹贰镀凳莅踩卫砣舾苫ǎㄊ孕校返4个造度重要涉及27个概想内涵。。。。。。《关于加强车联网网络安全和数据安全工作的通知》《数据出境安全评估法子(征求定见稿)》沿用上述司法律规的概想内涵,,,,,并未作出新的概想界定。。。。。。上述司法律规中,,,,,将数据、数据处置和数据处置者的概想进行了相互衔接与细化美满。。。。。。
关于数据的界说:两全了通用性与针对性。。。。。。《数据安全法》作了通用表述;;;;;;《幼我信息;;;;;;しā废拊斓接胍鸭鸹蛘呖墒洞送馓烊蝗擞泄氐母骼嘈畔;;;;;;《网络数据安全治理条例》限造到电子方式纪录的信息,,,,,并拓展界定了沉要数据、主题数据、公共数据、公共信息的内涵;;;;;;《汽车数据安全治理若干划定(试行)》限造到汽车设计、出产、销售、使用、运维等过程中涉及的幼我信息数据和沉要数据,,,,,并拓展界定了幼我信息、敏感幼我信息、沉要数据的内涵,,,,,为汽车行业提供了针对性的造度保险。。。。。。
关于数据处置的界说:体现了不休发展与逐步细化。。。。。。《数据安全法》《汽车数据安全治理若干划定》颁布功夫较早,,,,,提到了网络、存储、使用、加工、传输、提供、公开等7个环节;;;;;;《幼我信息;;;;;;しā吩龀ち松境方冢,,,,在《网络数据安全治理条例》作了沿用。。。。。。
关于数据处置者的界说:蕴含了界定和细化。。。。。。《数据安全法》只作了分类,,,,,并未具体界说;;;;;;《幼我信息;;;;;;しā泛汀锻缡莅踩卫硖趵罚,,,,均作了描述界定,,,,,数据处置活动中自主决定处置主张和处置方式的幼我和组织;;;;;;《汽车数据安全治理若干划定》则是具体指出了数据处置者的领域,,,,,蕴含汽车造作商、零部件和软件供给商、经销商、维建机构以及出行服务企业等。。。。。。
此表,,,,,《数据安全法》还提出了数据安全界说,,,,,指通过采取必要措施,,,,,确保数据处于有效;;;;;;ず秃戏ɡ米刺,,,,以及具备保险持续安全状态的能力。。。。。。《幼我信息;;;;;;しā诽岢隽俗远霾摺⑷ケ晔痘⒛涿慕缢担,,,,《网络数据安全治理条例》提出了委托处置、单独赞成、互联网平台运营者、大型互联网平台运营者、数据跨境安全网关等5个界说,,,,,组成了相对美满的概想系统。。。。。。
关于主体的明确:梳理6部司法律规,,,,,共涉及26个主体,,,,,根基实现了有关主体的全覆盖,,,,,但这些主体之间存在肯定交叉,,,,,必要在后续司法律规造订过程中做好衔接统一,,,,,保障司法律规之间的执行一致性。。。。。。主体清单:国度、国度机关、国度网信部门、推广幼我信息;;;;;;ぶ霸鸬牟棵拧⑸枨氖屑锻挪棵拧⒐丶畔⒒∩枋┰擞摺⒏鞯赜蚋鞑棵拧⒏饔泄仄笠怠⒅鞴懿棵拧⒓喙懿棵牛,,,,。。。。。。ㄇ⑹校┩ㄑ吨卫砭帧⒐ひ岛托畔⒒鞴懿棵牛,,,,幼我信息处置者、幼我信息处置者、数据处置者、沉要数据处置者、汽车数据处置者、互联网平台运营者、大型互联网平台运营者、智能网联汽车出产企业、车联网服务平台运营企业、数据安全服务机构、检测机构、商用密码检测机构、安全评估的机构和人员、专业机构、数据安全审计专业机构。。。。。。

(二)分类分级要求越发清澈,,,,,行业试点亟需细化落实
当前,,,,,司法律规中关于数据分类分级的要求在逐步深刻。。。。。。《数据安全法》中明确了国度分类分级的总体准则,,,,,即“凭据数据在经济社会发展中的沉要水平,,,,,以及一旦遭到篡改、粉碎、泄露或者犯法获取、犯法利用,,,,,对国度安全、公共利益或者幼我、组织合法权利造成的风险水平,,,,,对数据尝试分类分级;;;;;;”;;;;;;《网络数据安全治理条例》对各地域各部门、各有关企业都提出了进行数据分类分级的要求。。。。。。但对于沉要水平、风险水平的怀抱,,,,,分级对象的颗粒度尚无具体尺度,,,,,这肯定水平上影响了具体行业领域数据安全分类分级工作的规范化发展。。。。。???????凸凵侠纯矗,,,,各行业的数据特点、数据量存在较大差距,,,,,奉行分类分级的紧迫性与要求也分歧,,,,,必要拔取典型行业发展试点,,,,,在索求中不休优化美满分类分级尺度。。。。。。
在数据分类分级要求方面,,,,,明确了国度、各地域各部门、各有关企业的重要职责:
国度层面沉点明确了数据分类分级的三项准则要求,,,,,即成立数据分类分级;;;;;;ぴ於龋,,,,将数据分为通常数据、沉要数据、主题数据,,,,,对幼我信息和沉要数据进行沉点;;;;;;ぁ⒍灾魈馐莩⑹匝细癖;;;;;;。。。。。。
各地域各部门沉点掌管本地域、本部门以及有关行业、领域数据的分类分级治理。。。。。。
各有关企业重要蕴含幼我信息处置者和汽车行业有关企业。。。。。。幼我信息处置者要对幼我信息尝试分类治理。。。。。。汽车行业有关企业要严格落实网络安全分级防护要求,,,,,加强网络设施和网络系统资产治理,,,,,合理划分网络安全域,,,,,加强接见节造治理,,,,,做好网络天堑安全防护;;;;;;出格是智能网联汽车出产企业和车联网服务平台运营企业,,,,,还要成立数据治理台账,,,,,执行数据分类分级治理,,,,,加强幼我信息与沉要数据;;;;;;。。。。。。

(三)安全应急措置分类越发精密,,,,,能力建设火烧眉毛
司法律规中对国度、主管部门、数据处置者都提出了成立应急措置机造的要求,,,,,并依照数据安全事务、数据泄露风险和网络安全事务等三类事务及其严沉水平,,,,,精密化地划定了相应的应急措置要求。。。。。。对智能网联汽车出产企业和车联网服务平台运营企业,,,,,还要求定期发展应急演练,,,,,实时措置安全威胁、网络攻击、网络侵入等网络安全风险。。。。。。对各有关企业要求强化数据安全监测预警和应急措置能力建设,,,,,提升异常流动分析、违规跨境传输监测、安全事务追踪溯源等水平,,,,,不休提升数据安全应急措置能力。。。。。。
在数据安全应急措置方面,,,,,明确了对蕴含国度、主管部门、数据处置者的具体要求:
国度层面沉点明确了成立数据安全应急措置机造要求。。。。。。
主管部门该当依法启动应急预案,,,,,采取相应的应急措置措施,,,,,预防风险扩大,,,,,解除安全隐患,,,,,并实时向社会颁布与公家有关的警示信息。。。。。。
数据处置者要成立数据安全应急措置机造;;;;;;出格是智能网联汽车出产企业和车联网服务平台运营企业,,,,,还要造订网络安全事务应急预案,,,,,定期发展应急演练,,,,,实时措置安全威胁、网络攻击、网络侵入等网络安全风险。。。。。。

当数据安全事务、数据泄露风险和网络安全事务产生时,,,,,将触发数据安全应急措置流程。。。。。。
在数据安全事务产生时,,,,,数据处置者要实时启动应急响应机造,,,,,采取措施预防风险扩大,,,,,解除安全隐患。。。。。。并凭据数据安全事务态势决定进一步措施:若对幼我、组织造成风险,,,,,要将安全事务微风险情况、风险后果、已经采取的补救措施等以电话、短信、即时通讯工具、电子邮件等方式通知利害关系人,,,,,无法通知的可采取布告方式奉告;;;;;;若涉嫌犯罪,,,,,要按划定向公安机关报案;;;;;;若出现沉要数据或者十万人以上幼我信息泄露、毁损、迷失时,,,,,要在事务产生的八幼时内向设区的市级网信部门和有关主管部门汇报事务根基信息,,,,,在事务措置结束后五个工作日内向设区的市级网信部门和有关主管部门报送调查评估汇报。。。。。。
在数据泄露风险发现时,,,,,数据处置者要妥善发展应急措置,,,,,并保险幼我守护幼我信息权利的畅达渠路。。。。。。
在网络安全事务产生时,,,,,智能网联汽车出产企业和车联网服务平台运营企业要启动应急预案,,,,,采取相应的补救措施,,,,,并依照《公共互联网网络安全突发事务应急预案》等划定向有关主管部门汇报。。。。。。

(四)网络安全审查要求越创造确,,,,,审查内容尚需持续优化
从司法、法子再到条例,,,,,司法律规中关于网络安全审查的申报前提逐步清澈、细化,,,,,但对于必要审查的内容并未做出明确要求,,,,,必要在实际索求中持续优化。。。。。。《数据安全法》第二十四条沉点明确了在国度层面“成立数据安全审查造度,,,,,对影响或者可能影响国度安全的数据处置活动进行国度安全审查”的总体要求。。。。。。《网络安全审查法子》提出了三种必要申报网络安全审查的情况,,,,,以及必要思考的国度安全风险成分。。。。。。《网络数据安全治理条例(征求定见稿)》提出了四种必要申报网络安全审查或汇报的情况。。。。。。
《网络安全审查法子》明确了网络安全审查沉点评估采购活动、数据处置活动以及国表上市可能带来的国度安全风险的情况。。。。。。
关键信息基础设施运营者采购网络产品和服务的,,,,,该当预判该产品和服务投入使用后可能带来的国度安全风险。。。。。。影响或者可能影响国度安全的,,,,,该当向网络安全审查办公室申报网络安全审查。。。。。。
把握超过100万用户幼我信息的网络平台运营者赴国表上市,,,,,必须向网络安全审查办公室申报网络安全审查。。。。。。
网络安全审查工作机造成员单元以为影响或者可能影响国度安全的网络产品和服务以及数据处置活动,,,,,由网络安全审查办公室按法式报中央网络安全和信息化委员会核准后,,,,,遵循本法子的划定进行审查。。。。。。为了防备风险,,,,,当事人该当在审查期间依照网络安全审查要求采取预防和消减风险的措施。。。。。。
《网络数据安全治理条例(征求定见稿)》第十三条明确了申报网络安全审查的触发前提和向国度网信部门和主管部门汇报的前提。。。。。。
在出现公司归并、沉组、分立,,,,,或者赴国表上视注赴香港上市,,,,,或者境表设立总部、运营中心、研发中心的情况时,,,,,须进行网络安全审查,,,,,数据处置者、互联网平台运营者要做好相应的审查申请或汇报。。。。。。
在公司归并、沉组、分立,,,,,且汇聚把握大量关系国度安全、经济发展、公共利益的数据资源,,,,,影响或者可能影响国度安全时,,,,,互联网平台运营者要申报网络安全审查;;;;;;
赴国表上市时,,,,,只有处置幼我信息达到一百万人以上的数据处置者,,,,,均需申报网络安全审查;;;;;;
赴香港上市时,,,,,影响或者可能影响国度安全的数据处置者,,,,,均需申报网络安全审查;;;;;;
在境表设立总部、运营中心、研发中心的大型互联网平台运营者,,,,,要向国度网信部门和主管部门汇报。。。。。。该要求目前仅针对大型互联网平台运营者,,,,,即用户超过五千万、处置大量幼我信息和沉要数据、拥有壮大社会带头能力和市场摆布职位的互联网平台运营者。。。。。。

(五)数据安全评估要求越发落地,,,,,以评促建成为沉要抓手
当前司法律规中关于数据安全评估的篇幅最大、要求最细,,,,,体现了数据安全评估的沉要性,,,,,也反映出数据安全评估工作相对成熟。。。。。。数据处置者、幼我信息处置者是数据安全治理和幼我信息;;;;;;ぶ魈澹,,,,该当规范发展数据处置活动,,,,,当真落实数据安全和幼我信息;;;;;;さ脑鹑问姑。。。。。??????7⒄故莅踩拦溃,,,,以评促建,,,,,是落实数据安全主体责任的沉要抓手,,,,,也是适应国度数据安整个系建设的必然要求,,,,,是数据处置者必要抓好的沉要工作。。。。。。
在数据安全评估方面,,,,,别离对国度网信部门,,,,,。。。。。。ㄇ⑹校┩ㄑ吨卫砭帧⒐ひ岛托畔⒒鞴懿棵牛,,,,各有关企业、数据处置者,,,,,检测评估机构的权责使命进行了注明。。。。。。
国度网信部门会同国务院有关部门凭据处置数据情况对运营者进行数据安全评估,,,,,以抽查方式核验向境表提供幼我信息或沉要数据的类型、领域等(运营者该当以明文、可读方式予以展示)。。。。。。
。。。。。。ㄇ⑹校┩ㄑ吨卫砭帧⒐ひ岛托畔⒒鞴懿棵哦云笠低乒闶莅踩;;;;;;な姑屑喽讲槌。。。。。。
沉要数据处置者对其数据处置活动定期发展风险评估,,,,,并向有关主管部门报送风险评估汇报。。。。。。
汽车行业有关企业要自行或者委托检测机构定期发展网络安全切合性评测微风险评估,,,,,实时解除风险隐患。。。。。。出格是智能网联汽车出产企业和车联网服务平台运营企业,,,,,要发展数据安全风险评估,,,,,并向地点。。。。。。ㄇ⑹校┩ㄑ吨卫砭帧⒐ひ岛托畔⒒鞴懿棵疟ū;;;;;;智能网联汽车出产企业还要加强在线升级服务(OTA)安全和缝隙检测评估,,,,,车联网服务平台运营企业在平台被认定为关键信息基础设施后要自行或者委托商用密码检测机构发展商用密码利用安全性评估。。。。。。
检测评估机构掌管发展网络安全切合性评测微风险评估,,,,,不得披露评估中获悉的运营者贸易奥秘、未公开信息,,,,,不得将评估中获悉的信息用于评估以表主张。。。。。。


在向境表提供数据,,,,,赴境表上市,,,,,共享、买卖、委托处置沉要数据,,,,,利用幼我信息进行自动化决策等情况下,,,,,将触发数据安全评估。。。。。。
1、在向境表提供数据时,,,,,分为提供数据、幼我信息、沉要数据三类情景。。。。。。
(1)提供数据的情景。。。。。。国度机关要进行安全评估,,,,,能够要求有关部门提供支持与协助;;;;;;关键信息基础设施运营者要通过国度网信部门组织的安全评估;;;;;;数据处置者在切合国度网信部门划定的必要申报数据出境安全评估的情况下(具体情况在数据出境安全评估法子第四条中予以明确)要通过地点地省级网信部门向国度网信部门申报数据出境安全评估。。。。。。
(2)提供幼我信息的情景。。。。。。国度网信部门掌管组织数据出境安全评估。。。。。。幼我信息处置者进行幼我信息;;;;;;び跋炱拦溃,,,,并对处置情况进行纪录。。。。。。其中,,,,,处置幼我信息达到国度网信部门划定数量或者属于汽车行业的幼我信息处置者,,,,,必要通过国度网信部门组织的数据出境安全评估。。。。。。
(3)提供沉要数据的情景。。。。。。国度网信部门掌管组织数据出境安全评估。。。。。。沉要数据处置者必要通过国度网信部门组织的数据出境安全评估。。。。。。对于智能网联汽车出产企业和车联网服务平台运营企业,,,,,除了必要进行数据出境安全评估,,,,,还必要向地点。。。。。。ㄇ⑹校┩ㄑ吨卫砭帧⒐ひ岛托畔⒒鞴懿棵疟ū。。。。。。
2、在赴境表上市时,,,,,数据处置者要自行或者委托数据安全服务机构每年发展一次数据安全评估,,,,,每年1月31日前将上一年度数据安全评估汇报报设区的市级网信部门,,,,,并至少保留三年的风险评估汇报。。。。。。
3、共享、买卖、委托处置沉要数据时,,,,,数据处置者要发展安全评估,,,,,评估以为可能风险国度安全、经济发展和公共利益,,,,,不得共享、买卖、委托处置沉要数据。。。。。。
4、涉及利用幼我信息进行自动化决策的幼我信息处置者,,,,,要进行幼我信息;;;;;;び跋炱拦溃,,,,并对处置情况进行纪录。。。。。。



(六)数据安全治理责任越发夯实,,,,,治理能力建设任沉路远
明确专门的数据安全掌管人和治理机构,,,,,是压实数据安全治理责任的沉要基础。。。。。。司法律规对达到国度网信部门划定数量的幼我信息处置者、沉要数据处置者,,,,,以及汽车数据处置者,,,,,均明确提出了设立数据安全掌管人和治理机构的要求,,,,,为数据安全治理工作提供了基础保险。。。。。。但充分阐扬数据安全治理责任,,,,,还必要借助先进的数据安全治理平台,,,,,支持数据安全有关沉大决策、数据安全事务应急响应、数据安全风险监测、数据安全风险和事务措置、数据安全风险评估,,,,,有效提升数据安全治理能力。。。。。。
司法律规对国度机关、数据处置者(幼我信息处置者、沉要数据处置者、汽车数据处置者)、汽车行业有关企业在数据安全治理责任方面进行了明确。。。。。。
国度机关沉点掌管成立健全数据安全治理造度的总体要求,,,,,落实数据安全;;;;;;ぴ鹑危,,,,保险政务数据安全。。。。。。
数据处置者的职责重要面向幼我信息处置者、沉要数据处置者、汽车数据处置者。。。。。。
幼我信息处置者在处置幼我信息达到国度网信部门划定数量时,,,,,要指定幼我信息;;;;;;ふ乒苋耍,,,,公开幼我信息;;;;;;ふ乒苋说牧捣绞剑,,,,并将幼我信息;;;;;;ふ乒苋说男彰⒘捣绞降缺ㄋ屯乒阌孜倚畔⒈;;;;;;ぶ霸鸬牟棵。。。。。。
沉要数据处置者要明确数据安全掌管人,,,,,成立数据安全治理机构,,,,,钻研提出数据安全有关沉大决策建议,,,,,造订执行数据安全;;;;;;ご蛩愫褪莅踩挛裼痹ぐ福,,,,发展数据安全风险监测,,,,,实时措置数据安全风险和事务,,,,,定期组织发展数据安全宣布道育培训、风险评估、应急演练等活动,,,,,受理、措置数据安全投诉、举报,,,,,向网信部门和主管、监管部门汇报数据安全情况。。。。。。
汽车数据处置者在发展沉要数据处置活动时,,,,,向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全治理情况(蕴含汽车数据安全治理掌管人、用户权利事务联系人的姓名和联系方式)
汽车行业有关企业要成立网络安全和数据安全治理造度,,,,,明确掌管人和治理机构,,,,,落实网络安全和数据安全;;;;;;ぴ鹑。。。。。。

(七)数据安全培训要求显著提高,,,,,部门主体须发展强造进建
司法律规明确要求幼我信息处置者要定期对从业人员进行安全教育和培训,,,,,沉要数据处置者要每年组织发展全员数据安全教育培训,,,,,数据安全有关的技术和治理人员每年教育培训功夫不得少于二十幼时。。。。。。这些刚性需要创造了巨大市场增量,,,,,加上国度在《数据安全法》《网络数据安全治理条例》中明确提出激励支持数据开发利用技术和数据安全培训的政策,,,,,将来数据安全市场有望实现急剧增长。。。。。。
在数据安全培训方面,,,,,司法律规对国度、幼我信息处置者、沉要数据处置者、汽车行业有关企业的重要职责进行明确。。。。。。
国度明确支持教育、科研机构和企业等发展数据开发利用技术和数据安全有关教育和培训,,,,,激励国度机关、行业组织、企业、教育和科研机构、有关专业机构等发展数据开发利用和安全;;;;;;ず献鳎,,,,发展数据安全宣布道育和培训。。。。。。
幼我信息处置者要定期对从业人员进行安全教育和培训。。。。。。
沉要数据处置者要造订数据安全培训打算,,,,,每年组织发展全员数据安全教育培训,,,,,数据安全有关的技术和治理人员每年教育培训功夫不得少于二十幼时。。。。。。
汽车行业有关企业要加强网络安全和数据安全宣传、教育和培训。。。。。。

(八)数据安全审计职位越发提升,,,,,数据合规成为审计沉点
相比美欧等国度地域,,,,,我国对数据安全领域的审计器沉水平不够,,,,,使用不充分,,,,,除了银行业等沉点行业(银保监会2018年颁布《银行业金融机构数据治理指引》提出了定期审计数据安全的要求),,,,,数据安全审计尚未纳入公司年度业务治理的必要组成。。。。。。
随着数据安全问题加剧和职位上升,,,,,在今年颁布的数据安全司法律规中,,,,,对主管部门、监管部门、幼我信息处置者、数据处置者、大型互联网平台运营者都提出了定期组织或发展数据安全审计、合规审计等要求,,,,,出格是大型互联网平台运营者,,,,,更是要求每年对平台数据安全情况、平台规定和自身承诺的执行情况、幼我信息;;;;;;で榭觥⑹菘⒗们榭龅冉心甓壬蠹疲,,,,并披露审计了局。。。。。。将来,,,,,随着数字经济的急剧发展,,,,,数据安全审计、合规审计将越发推广,,,,,成为国度监管、公司业务运营的沉要方面。。。。。。
在数据安全审计方面,,,,,明确了国度、主管部门、监管部门、幼我信息处置者、数据处置者、大型互联网平台运营者的重要职责。。。。。。
国度层面沉点明确了成立数据安全审计造度的要求。。。。。。
主管部门和监管部门掌管组织发展对沉要数据处置活动的审计,,,,,沉点审计数据处置者推广司法、行政律例划定的使命等情况。。。。。。
幼我信息处置者该当定期对其处置幼我信息遵守司法、行政律例的情况进行合规审计。。。。。。
数据处置者该当委托数据安全审计专业机构定期对其处置幼我信息遵守司法、行政律例的情况进行合规审计。。。。。。
大型互联网平台运营者该当通过委托第三方审计方式,,,,,每年对平台数据安全情况、平台规定和自身承诺的执行情况、幼我信息;;;;;;で榭觥⑹菘⒗们榭龅冉心甓壬蠹疲,,,,并披露审计了局。。。。。。

在发现幼我信息处置活动存在较大风险或者产生幼我信息安全事务时,,,,,推广幼我信息;;;;;;ぶ霸鸬牟棵拍芄煌ü街址绞酵乒慵喙苤霸穑憾愿糜孜倚畔⒋χ谜叩姆ǘù砣嘶蛘咧匾乒苋私性继福,,,,或者要求幼我信息处置者委托专业机构对其幼我信息处置活动进行合规审计。。。。。。幼我信息处置者必要依照要求采取措施,,,,,进行整改,,,,,解除隐患。。。。。。

三、启迪及建议
(一)针对数据处置者的建议
数据处置者重要涉及数据处置者、沉要数据处置者、幼我信息处置者、汽车数据处置者等四类主体。。。。。。
1、数据处置者均必要沉点关注数据安全应急措置和数据安全审计工作。。。。。。成立数据安全应急措置机造;;;;;;委托数据安全审计专业机构定期对其处置幼我信息遵守司法、行政律例的情况进行合规审计。。。。。。
2、沉要数据处置者必要沉点关注数据安全评估、数据安全治理责任、数据安全培训等三项工作。。。。。。(1)数据安全评估方面,,,,,必要对其数据处置活动定期发展风险评估,,,,,并向有关主管部门报送风险评估汇报。。。。。。(2)数据安全治理责任方面,,,,,一是明确数据安全掌管人,,,,,成立数据安全治理机构;;;;;;二是钻研提出数据安全有关沉大决策建议;;;;;;三是造订执行数据安全;;;;;;ご蛩愫褪莅踩挛裼痹ぐ;;;;;;四是发展数据安全风险监测,,,,,实时措置数据安全风险和事务;;;;;;五是定期组织发展数据安全宣布道育培训、风险评估、应急演练等活动;;;;;;六是受理、措置数据安全投诉、举报;;;;;;七是向网信部门和主管、监管部门汇报数据安全情况。。。。。。(3)数据安全培训方面,,,,,造订数据安全培训打算,,,,,每年组织发展全员数据安全教育培训;;;;;;确保数据安全有关的技术和治理人员每年教育培训功夫不得少于二十幼时。。。。。。
3、幼我信息处置者必要沉点关注分类分级;;;;;;ぁ⑹莅踩卫碓鹑巍⑹莅踩嘌怠⑹莅踩蠹频人南罟ぷ。。。。。。(1)分类分级;;;;;;し矫妫,,,,必要对幼我信息尝试分类治理。。。。。。(2)数据安全治理责任方面,,,,,一是在处置幼我信息达到国度网信部门划定数量时,,,,,要指定幼我信息;;;;;;ふ乒苋耍,,,,掌管对幼我信息处置活动以及采取的;;;;;;ご胧┑冉屑喽;;;;;;二是公开幼我信息;;;;;;ふ乒苋说牧捣绞剑,,,,并将幼我信息;;;;;;ふ乒苋说男彰⒘捣绞降缺ㄋ屯乒阌孜倚畔⒈;;;;;;ぶ霸鸬牟棵。。。。。。(3)数据安全培训方面,,,,,要定期对从业人员进行安全教育和培训。。。。。。(4)数据安全审计方面,,,,,要对其处置幼我信息遵守司法、行政律例的情况进行合规审计。。。。。。
4、汽车数据处置者必要沉点关注数据安全治理责任,,,,,要向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全治理情况(蕴含汽车数据安全治理掌管人、用户权利事务联系人的姓名和联系方式)。。。。。。
(二)针对有关企业的建议
有关企业重要涉及大型互联网平台运营者、智能网联汽车出产企业、车联网服务平台运营企业、汽车行业有关企业等四类主体。。。。。。
1、大型互联网平台运营者必要沉点关注数据安全审计。。。。。。要通过委托第三方审计方式,,,,,每年对平台数据安全情况、平台规定和自身承诺的执行情况、幼我信息;;;;;;で榭觥⑹菘⒗们榭龅冉心甓壬蠹疲,,,,并披露审计了局。。。。。。
2、智能网联汽车企业和车联网服务平台运营企业必要沉点关注分类分级;;;;;;ぁ⑹莅踩贝胫谩⑹莅踩拦赖热罟ぷ。。。。。。(1)分类分级;;;;;;し矫妫,,,,要成立数据治理台账,,,,,执行数据分类分级治理,,,,,加强幼我信息与沉要数据;;;;;;。。。。。。(2)数据安全应急措置方面,,,,,要成立网络安全应急响应机造,,,,,造订网络安全事务应急预案,,,,,定期发展应急演练,,,,,实时措置安全威胁、网络攻击、网络侵入等网络安全风险。。。。。。(3)数据安全评估方面,,,,,要发展数据安全风险评估,,,,,并向地点。。。。。。ㄇ⑹校┩ㄑ吨卫砭帧⒐ひ岛托畔⒒鞴懿棵疟ū。。。。。。同时,,,,,智能网联汽车企业还要加强在线升级服务(OTA)安全和缝隙检测评估;;;;;;车联网服务平台运营企业在认定为关键信息基础设施时,,,,,还要自行或者委托商用密码检测机构发展商用密码利用安全性评估。。。。。。
3、汽车行业有关企业要沉点关注分类分级;;;;;;ぁ⑹莅踩拦馈⑹莅踩卫碓鹑巍⑹莅踩嘌档人南罟ぷ。。。。。。(1)分类分级;;;;;;し矫妫,,,,要严格落实网络安全分级防护要求,,,,,加强网络设施和网络系统资产治理,,,,,合理划分网络安全域,,,,,加强接见节造治理,,,,,做好网络天堑安全防护。。。。。。(2)数据安全评估方面,,,,,要自行或者委托检测机构定期发展网络安全切合性评测微风险评估,,,,,实时解除风险隐患。。。。。。(3)数据安全治理责任方面,,,,,要成立网络安全和数据安全治理造度,,,,,明确掌管人和治理机构,,,,,落实网络安全和数据安全;;;;;;ぴ鹑。。。。。。(4)数据安全培训方面,,,,,要加强网络安全和数据安全宣传、教育和培训。。。。。。
关于作者
刘勇首席战术官、副总裁,,,,,中科院信息工程钻研所钻研员,,,,,博士生导师,,,,,中央网信办国度推算机网络与信息安全治理中心科技委副主任。。。。。。持久参加国度信息化、网络安全、电子政务、电子商务、智慧城视注大数据、物联网等方面的专项规划、政策的钻研造订工作。。。。。。曾获得国度科技进取一等奖1次、国防科学技术奖二等奖2次、国度发改委优良钻研成就奖3次。。。。。。
张妍网络安全高级战术钻研员、工程师、MBA。。。。。。毕业于英国兰卡斯特大学。。。。。。重要从事国际网络空间安全治理、网络安全态势分析、数据安全治理及跨境流动、全球网络安全产业发展等领域的钻研。。。。。。
郝雅楠网络安全钻研员、高级工程师。。。。。。持久从事战术政策钻研与治理征询工作,,,,,聚焦数据安全治理和幼我信息;;;;;;ぁ踩觳庥敕阑す丶际踝暄杏肜玫攘煊颍,,,,参加中央网信办、科技部等单元多项钻研课题,,,,,颁发论文20余篇,,,,,获得全国企业治理现代化创新成就一等奖、国防科技工业企业治理创新成就一等奖等多项嘉奖。。。。。。