兰迪研究 兰迪研究
LANDING RESEARCH
兰迪研究
首页 兰迪研究 专业文章 文章详情
Luật chơi xì dách nhà cái实施在即,企业如何应对分类分级保护制度?

一、什么是“Luật chơi xì dách nhà cái分类分级保护制度”

Luật chơi xì dách nhà cái在第三章规定了各项数据安全制度,其中之一便是“数据分类分级保护制度”。

Luật chơi xì dách nhà cái第二十一条规定,国家建立Luật chơi xì dách nhà cái分类分级保护制度,根据Luật chơi xì dách nhà cái在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对Luật chơi xì dách nhà cái实行分类分级保护。国家Luật chơi xì dách nhà cái工作协调机制统筹协调有关部门制定重要Luật chơi xì dách nhà cái目录,加强对重要Luật chơi xì dách nhà cái的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等Luật chơi xì dách nhà cái属于国家核心Luật chơi xì dách nhà cái,实行更加严格的管理制度。

各地区、各部门应当按照Luật chơi xì dách nhà cái分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要Luật chơi xì dách nhà cái具体目录,对列入目录的Luật chơi xì dách nhà cái进行重点保护。

(一)如何理解Luật chơi xì dách nhà cái第二十一条

Luật chơi xì dách nhà cái第二十一条包括了三个层面的规定:


首先

Luật chơi xì dách nhà cái第二十一条界定了数据分类分级的标准,明确规定国家将“根据数据在经济社会发展中的重要程度”,以及“(数据)遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”制定“重要数据目录”,从而加强对重要数据的保护。


其次

Luật chơi xì dách nhà cái第二十一条还界定了“国家核心数据”的概念,即“关系到国家安全、国民经济命脉、重要民生、重大公共利益等数据”属于国家核心数据,对国家核心数据将适用更加严格的管理制度。


最后

Luật chơi xì dách nhà cái第二十一条还划分了职能界限。在国家层面,将由国家数据安全工作协调机制来统筹协调有关部门制定重要数据目录。同时,各地区、各部门将按照此数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的Luật chơi xì dách nhà cái进行重点保护。

(二)Luật chơi xì dách nhà cái分级分类制度的必要性

对数据进行分类分级并不是一个新鲜概念,在之前推送的文章中也已对此有所提及,数据的收集、存储、处理、交易、传输、出入境等一系列活动都应在数据分类分级的基础上进行,可以说数据分级分类制度是Luật chơi xì dách nhà cái的基础性制度。《信息安全技术大数据安全管理指南( GB/T 3797320-2019)》、《信息安全技术个人信息安全规范(GB/T 35273-2020)》与《个人金融信息保护技术规范(JR/T 0171-2020)》等国家标准已对数据分类分级进行了规范。典型如《个人金融信息保护技术规范》第4.1条,个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。


二、Luật chơi xì dách nhà cái分类分级 vs 网络安全等级

Luật chơi xì dách nhà cái第二十一条规定的数据分类分级保护制度类似于网络安全等级保护制度采用的分级管理,但二者并不完全一致。

《网络安全法》首次提出了网络安全等级保护制度的概念,并从管理制度和技术措施两个方面对网络运营者的网络安全保障义务进行规定,包括制定内部安全规范、确定网络安全负责人、采取防范病毒攻击的技术措施、监测网络运营、留存网络日志、采取加密措施等。在调整对象方面,《网络安全法》规范的是在中华人民共和国境内建设、运营、维护和使用网络的行为,而Luật chơi xì dách nhà cái侧重规范Luật chơi xì dách nhà cái处理活动,立法目的在于保障Luật chơi xì dách nhà cái,促进数据开发利用。

但同时,Luật chơi xì dách nhà cái和《网络安全法》也具有相同的立法目的,即维护国家主权、安全和发展利益。因而在立法上,Luật chơi xì dách nhà cái与《网络安全法》相衔接,具体表现在Luật chơi xì dách nhà cái第二十七条规定了相应的数据安全保护义务。

Luật chơi xì dách nhà cái第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程Luật chơi xì dách nhà cái管理制度,组织开展Luật chơi xì dách nhà cái教育培训,采取相应的技术措施和其他必要措施,保障Luật chơi xì dách nhà cái。

利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述Luật chơi xì dách nhà cái保护义务。

重要Luật chơi xì dách nhà cái的处理者应当明确Luật chơi xì dách nhà cái负责人和管理机构,落实Luật chơi xì dách nhà cái保护责任。

该Luật chơi xì dách nhà cái保护义务同样包括了三个方面:


首先

该条明确了网络安全是Luật chơi xì dách nhà cái的前提,利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行Luật chơi xì dách nhà cái保护义务。

其次

履行该义务的方式之一是建立健全“Luật chơi xì dách nhà cái管理制度”,组织开展Luật chơi xì dách nhà cái教育培训,采取相应的技术措施和其他必要措施。


最后


与数据分类分级制度相衔接,在Luật chơi xì dách nhà cái第二十一条的基础上划定“重要数据处理者”的数据安全保护责任。


综上,“数据分类分级保护制度”与“网络安全等级制度”作为两个不同的制度,二者内涵相近,且存在一定的关联,但规制对象与具体要求并不相同,从业者依据Luật chơi xì dách nhà cái搭建数据保护制度时应注意二者的区别与关联。

三、有关企业如何落实“Luật chơi xì dách nhà cái分类分级制度”

目前Luật chơi xì dách nhà cái的相关配套法律法规还未出台,尤其是最核心的“重要数据目录”,有待于国家数据安全工作协调机制统筹协调有关部门制定。但这并不意味着相关企业在此期间无法行动,其仍旧可以根据Luật chơi xì dách nhà cái第三章、第四章的规定进行调整。

(一)履行Luật chơi xì dách nhà cái保护义务

网络安全是Luật chơi xì dách nhà cái的前提,根据Ponemon研究机构和IBM发布的第14份年度数据泄露成本报告中指出:恶意攻击和网络犯罪行为是2019年数据泄露的主要根源(占51%),而系统故障导致的数据泄露虽占四分之一,但其中有24%是人为错误所造成的。因此,利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行Luật chơi xì dách nhà cái保护义务,健全全流程Luật chơi xì dách nhà cái管理制度,组织开展Luật chơi xì dách nhà cái教育培训,采取相应的技术措施和其他必要措施,保障Luật chơi xì dách nhà cái。

该保障措施可参照《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》等“等保2.0”系列标准要求。此外,在2018年《网络安全法》出台后,地方行政机关也可依据《网络安全法》对行为人进行惩处。处罚涉及处罚对象发生了未定级备案、未按期进行等级测评、未按规定留存网络日志、未采取安全保护技术措施、未采取Luật chơi xì dách nhà cái分类、重要Luật chơi xì dách nhà cái备份和加密措施等违法行为。同时,从公安部门网络安全等级保护执法案例来看,除部分是因为执法机关在网络安全执法检查中发现问题,多数案件源于处罚对象发生漏洞利用攻击、重要信息泄露等网络安全事件。

*2017年6月至7月间,忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。

https://weibo.com/ttarticle/p/show?id=2309404133545370116717

综上,在建立“Luật chơi xì dách nhà cái分类分级制度”前,应当先行搭建、完善“网络等级保护制度”,为Luật chơi xì dách nhà cái处理提供安全空间。

(二)设立Luật chơi xì dách nhà cái分类分级制度

Luật chơi xì dách nhà cái分类分级制度包括Luật chơi xì dách nhà cái识别、分类、分级等多个环节,涉及企业运行各个方面。如Luật chơi xì dách nhà cái识别工作,需要贯穿企业整个业务流程,与企业信息管理工作密切结合;而Luật chơi xì dách nhà cái分类则应当根据企业所处的行业特性、业务内容、技术要求等情形综合判断Luật chơi xì dách nhà cái属性。

因此,企业进行分类分级管理工作,应当建立相应的管理制度,做到高层牵头,打通业务部门与技术部门,做到分类分级结果与Luật chơi xì dách nhà cái存储、权限、脱敏、开发等措施挂钩,从而实现体系管理。而已经建立了分类分级管理体系的企业,则可根据重要Luật chơi xì dách nhà cái目录的具体内容对现有体系作出适当调整。

在分级标准方面,已出台多个国家标准、行业标准(包括草案、报批稿等),典型如《金融Luật chơi xì dách nhà cái Luật chơi xì dách nhà cái分级指南》、《基础电信企业数据分类分级方法(报批稿)》、《信息安全技术电信和互联网大Luật chơi xì dách nhà cái管控分类分级实施指南(工作组讨论稿)》,以及《汽车Luật chơi xì dách nhà cái管理若干规定(征求意见稿)》第三条明确汽车Luật chơi xì dách nhà cái管理中的“重要数据”。企业可以将上述标准作为分级参考。此外,在具体的分级工作中,建议企业可将数据划分成“个人隐私数据”与“企业敏感数据”这两个基本类别,并对元数据拆分评估,按照“就高不就低”的原则对该类数据整体定级。


i-分级参考:电信和互联网大Luật chơi xì dách nhà cái管控分类分级实施指南

同时,企业还应当注意,相同Luật chơi xì dách nhà cái在不同的服务场景中可能处于不同的类别/级别。因此企业应当结合自身业务状况,根据其服务场景以及Luật chơi xì dách nhà cái在场景中的作用对Luật chơi xì dách nhà cái的类别/级别进行评定,并实施针对性的保护措施。如Luật chơi xì dách nhà cái出境场景下的Luật chơi xì dách nhà cái级别是否需要进行调整?企业应对此事先进行评定并制定相应的处理方案。

(三)设立Luật chơi xì dách nhà cái负责人和管理机构

对于业务内容涉及重要Luật chơi xì dách nhà cái的企业,应当任命Luật chơi xì dách nhà cái负责人并搭建相应的管理机构,上文对此重要性已作说明。

具体的设立要求和管理内容,可参照个人信息保护机构/负责人(或DPO)制度,即Luật chơi xì dách nhà cái负责人能够协调各部门工作,甚至还应当对企业数据处理活动承担责任。

同时,该机构/负责人应当承担Luật chơi xì dách nhà cái规定的法律义务,对企业数据处理活动承担责任。

最后,个人信息保护机构/负责人应当有足够的权利,包括协调各个业务部门的支持和配合的权利,具备对于高风险的Luật chơi xì dách nhà cái处理场景业务的决策权利。


四、总结

Luật chơi xì dách nhà cái是与《网络安全法》、《个人信息保护法(草案)》并列的基础性规范,而“数据分类分级保护制度”又是Luật chơi xì dách nhà cái规定的数据保护的基础性制度。在今年9月份Luật chơi xì dách nhà cái正式实施前,相关企业应当根据Luật chơi xì dách nhà cái规定搭建相应的数据保护制度,做到未雨绸缪。

以上分析,即是我们团队几点粗浅见解,难免挂一漏万,欢迎大家批评、指正、交流、合作。

RECOMMEND
相关推荐