数据安全落地实践谈，写在《数安条例》征求意见之际

2021年,“数字经济”在国家“十四五”规划中明确认定为未来推动中国经济发展的重要手段,数字经济一词也成为多地规划文件中的热词。随着数字经济的不断发展，数据安全和个人信息保护显得尤为迫切，数据的开发利用与安全保护已成为数字经济领域的重要议题。

我国陆续颁布了《网络安全法》、《数据安全法》、《个人信息保护法》和《关键信息基础设施安全保护条例》，相关法律法规已对个人信息、重要数据以及国家核心数据做出了规定。

11月14日，国家互联网信息办公室发出了关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知（以下简称《条例》），《网络安全法》、《数据安全法》、《个人信息保护法》作为《条例》的上位法，执行、细化、补充前述三部上位法的条款，进一步增强数据安全法律体系的完备性和可操作性是《条例》的基本定位。

《条例》共计九章七十五条，主要从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理几个方面进行法律定义。整体来看，《条例》的制度思路已非局限在数据安全合规和个人信息保护合规的方面，其可以广泛重塑数字经济下的数据处理以及开发利用的规则，在组织管理、制度流程、技术支撑等层面深度改造产业发展模式和企业治理架构。

01 组织管理

首先，在组织管理层面，《条例》要求重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，履行职责。数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，有权直接向网信部门和主管、监管部门反映数据安全情况。国家网信部门负责统筹协调数据安全和相关监督管理工作，相关部门和行业负责监管职责。

在数据安全工作实践中数据安全能力建设是一个复合型，需多方协同联动型的工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的协同联动小组，其中业务、安全等部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督等工作，以确保数据安全能力建设的有效执行。

设计数据安全的组织架构时，可按照决策层、管理层、执行层、监督层的组织体系设计。在具体执行过程中，组织也可赋予已有安全团队与其它相关部门数据安全的工作职能，或寻求第三方专业团队等形式开展工作。

02 制度流程

其次，制度流程层面，《条例》要求国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

各类数据处理者应当遵从数据分类分级保护制度，建立完善数据安全管理制度，包括建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。《条例》还要求各类数据处理者处理个人信息时应当制定个人信息处理规则并严格遵守，涉及重要数据业务时应当明确数据安全负责人，成立数据安全管理机构，并履行相关备案手续。

在制度流程实践过程中，数据安全管理制度和规范的设计时，范围应覆盖数据的全生命周期,组织可以参考法律法规、标准以及最佳实践等，从而建立组织内部制度规范去约束和规范相关人员开展日常工作，并赋予管理人员监督管理职责。制度流程需要从组织层面整体考虑和设计，并形成体系框架。制度体系需要分层，层与层之间，同一层不同模块之间需要有关联逻辑，在内容上不能重复或矛盾。

03 技术支撑

最后，在技术手段层面，《条例》强调各类数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善技术保护机制，通过采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性，并应当按照网络安全等级保护的要求，采用各种技术手段加强数据处理系统、数据传输网络、数据存储环境等安全防护，包括应当使用密码对重要数据和核心数据进行保护。

在技术支撑实践过程中，技术支撑工具需要通过数据安全治理平台形成协同联动、快速响应、敏捷处理的技术体系，构建从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个体系的完整链条，如下图所示；

实现u数据识别数据资产统一管理，数据自动识别以及分类分级；v安全策略统一管控和策略编排，采用场景化的数据生命周期管理，基于身份的数据安全管控，数据合规舒畅流动；w数据安全监测，数据风险建模，全面深度分析数据安全风险状态。

写在最后，伴随数字经济的飞速发展，相关国家法律法规和标准的出台，数字化转型带来的机遇和挑战并存，为了更好的拥抱数字化，我们需要平衡数据安全和数据开发利用，让数字化赋能千行百业，享受数字化带来的改变。

（本文作者：启明星辰信息技术集团股份有限公司 周瑞群）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。