虎符智库 | 深度:一文读懂我国数据安全政策动向与趋势

时间:2022-02-18 作者:虎符智库

分享到:


    本文10505字阅读约需27分钟

    2021年是我国数据安全立法元年,数据安全政策体系建设取得重大战略进展,数据安全工作迈入了新阶段。

    这一年,我国正式颁布了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等两部法律,填补了我国数据安全的法律空白,同时配套推出了《网络数据安全管理条例(征求意见稿)》,将两部法律中的原则要求、模糊地带进行了明确,并对车联网等重点行业、数据出境等重点领域进行了落实细化。

    本文选取2021年发布的具有代表性的6部数据安全法律法规,从8个维度梳理了其中的内在逻辑关系,对数据安全政策的新特点、新趋势进行了深度分析,在此基础上提出了推动数据安全保护的相关建议。

    一、概述

    《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》是上位法,涉及范围广、原则要求多,提供了基础法律依据,需要在执行过程、具体领域中进行细化;《网络数据安全管理条例(征求意见稿)》进一步细化落实数据安全管理,对多项原则要求进行细化,满足了当前日益迫切的数据安全管理需求;《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》加强汽车数据、特别是车联网网络安全和数据安全管理,是汽车领域数据安全的主要制度,是上位法在具体领域的细化;《数据出境安全评估办法(征求意见稿)》进一步细化落实数据出境相关管理要求,是对当前数据出境过程中相关要求的整合细化。在两部法律颁布的当年,就配套推出相关条例、办法、规定、通知,既体现了国家对数据安全的高度重视,也反映出加强汽车数据安全、数据出境安全的急迫性和重要性。

深度:一文读懂我国数据安全政策动向与趋势

    上述数据安全政策之间主要呈现以下三个方面关系。

    执行方面。数据安全法和个人信息保护法是上位法,网络数据安全管理条例是为了执行上位法而设立的制度,给出了具体的实施路径。规定、通知、办法是在重点行业、重点领域的落实落细。对于上位法中已经明确的内容,条例、规定、通知、办法往往不再重复规定。

    细化方面。对于上位法中的原则要求,或者理解实施过程中需要进一步明确的内容,条例、规定、通知、办法作了进一步细化。例如上位法中提出的“网信部门规定的条件”“网信部门规定的数量”等概念的内涵,条例都作了明确。

    新增方面。条例、规定、通知、办法可以创设制度,设定行政许可,增加新的要求。例如重要数据处理者备案要求和年度报告要求、数据出境安全管理义务、网络平台责任等。

深度:一文读懂我国数据安全政策动向与趋势

    二、主要数据安全政策的新特点新趋势

    2021年,我国数据安全保护工作迈入了新阶段。一方面,随着数字经济的快速发展,数据已经成为基础性资源和战略性资源,是决定数字经济发展水平和竞争力的核心资源。另一方面,数据安全形势日益严峻,高价值数据泄漏、个人信息滥用情况突出,针对数据的攻击、窃取、劫持、滥用等不断推陈出新,滴滴事件、阿里云事件暴露了数据安全面临的巨大潜在风险。数据安全政策呈现出一系列新特点新趋势,需要正确认识和把握方向、抓好重点,加快提升数据安全保护能力。

    (一)主体概念体系更加完善,衔接统一成为重要方向

    《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例(征求意见稿)》《汽车数据安全管理若干规定(试行)》等4个制度主要涉及27个概念内涵。《关于加强车联网网络安全和数据安全工作的通知》《数据出境安全评估办法(征求意见稿)》沿用上述法律法规的概念内涵,并未作出新的概念界定。上述法律法规中,将数据、数据处理和数据处理者的概念进行了相互衔接与细化完善。

    关于数据的定义:兼顾了通用性与针对性。《数据安全法》作了通用表述;《个人信息保护法》限定到与已识别或者可识别的自然人有关的各种信息;《网络数据安全管理条例》限定到电子方式记录的信息,并拓展界定了重要数据、核心数据、公共数据、公共信息的内涵;《汽车数据安全管理若干规定(试行)》限定到汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据,并拓展界定了个人信息、敏感个人信息、重要数据的内涵,为汽车行业提供了针对性的制度保障。

    关于数据处理的定义:体现了不断发展与逐步细化。《数据安全法》《汽车数据安全管理若干规定》发布时间较早,提到了收集、存储、使用、加工、传输、提供、公开等7个环节;《个人信息保护法》增加了删除环节,在《网络数据安全管理条例》作了沿用。

    关于数据处理者的定义:包括了界定和细化。《数据安全法》只作了分类,并未具体定义;《个人信息保护法》和《网络数据安全管理条例》,均作了描述界定,数据处理活动中自主决定处理目的和处理方式的个人和组织;《汽车数据安全管理若干规定》则是具体指出了数据处理者的范围,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

    此外,《数据安全法》还提出了数据安全定义,指通过采取必要措施,确保数据处于有效保护和合法利用状态,以及具备保障持续安全状态的能力。《个人信息保护法》提出了自动化决策、去标识化、匿名化的定义,《网络数据安全管理条例》提出了委托处理、单独同意、互联网平台运营者、大型互联网平台运营者、数据跨境安全网关等5个定义,组成了相对完善的概念体系。

    关于主体的明确:梳理6部法律法规,共涉及26个主体,基本实现了相关主体的全覆盖,但这些主体之间存在一定交叉,需要在后续法律法规制定过程中做好衔接统一,保证法律法规之间的执行一致性。主体清单:国家、国家机关、国家网信部门、履行个人信息保护职责的部门、设区的市级网信部门、关键信息基础设施运营者、各地区各部门、各相关企业、主管部门、监管部门,省(区、市)通信管理局、工业和信息化主管部门,个人信息处理者、个人信息处理者、数据处理者、重要数据处理者、汽车数据处理者、互联网平台运营者、大型互联网平台运营者、智能网联汽车生产企业、车联网服务平台运营企业、数据安全服务机构、检测机构、商用密码检测机构、安全评估的机构和人员、专业机构、数据安全审计专业机构。

深度:一文读懂我国数据安全政策动向与趋势

    (二)分类分级要求更加清晰,行业试点亟需细化落实

    当前,法律法规中关于数据分类分级的要求正在逐步深入。《数据安全法》中明确了国家分类分级的总体原则,即“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”;《网络数据安全管理条例》对各地区各部门、各相关企业都提出了进行数据分类分级的要求。但对于重要程度、危害程度的度量,分级对象的颗粒度尚无具体标准,这一定程度上影响了具体行业领域数据安全分类分级工作的规范化开展。客观上来看,各行业的数据特点、数据量存在较大差异,推行分类分级的紧迫性与要求也不同,需要选取典型行业开展试点,在探索中不断优化完善分类分级标准。

    在数据分类分级要求方面,明确了国家、各地区各部门、各相关企业的主要职责:

    国家层面重点明确了数据分类分级的三项原则要求,即建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,对个人信息和重要数据进行重点保护、对核心数据实行严格保护。

    各地区各部门重点负责本地区、本部门以及相关行业、领域数据的分类分级管理。

    各相关企业主要包括个人信息处理者和汽车行业相关企业。个人信息处理者要对个人信息实行分类管理。汽车行业相关企业要严格落实网络安全分级防护要求,加强网络设施和网络系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护;特别是智能网联汽车生产企业和车联网服务平台运营企业,还要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。

深度:一文读懂我国数据安全政策动向与趋势

    (三)安全应急处置分类更加精细,能力建设迫在眉睫

    法律法规中对国家、主管部门、数据处理者都提出了建立应急处置机制的要求,并按照数据安全事件、数据泄露风险和网络安全事件等三类事件及其严重程度,精细化地规定了相应的应急处置要求。对智能网联汽车生产企业和车联网服务平台运营企业,还要求定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。对各相关企业要求强化数据安全监测预警和应急处置能力建设,提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平,不断提升数据安全应急处置能力。

    在数据安全应急处置方面,明确了对包括国家、主管部门、数据处理者的具体要求:

    国家层面重点明确了建立数据安全应急处置机制要求。

    主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

    数据处理者要建立数据安全应急处置机制;特别是智能网联汽车生产企业和车联网服务平台运营企业,还要制定网络安全事件应急预案,定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。

深度:一文读懂我国数据安全政策动向与趋势

    当数据安全事件、数据泄露风险和网络安全事件发生时,将触发数据安全应急处置流程。

    在数据安全事件发生时,数据处理者要及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。并根据数据安全事件态势决定进一步措施:若对个人、组织造成危害,要将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知;若涉嫌犯罪,要按规定向公安机关报案;若出现重要数据或者十万人以上个人信息泄露、毁损、丢失时,要在事件发生的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报送调查评估报告。

    在数据泄露风险发现时,数据处理者要妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。

    在网络安全事件发生时,智能网联汽车生产企业和车联网服务平台运营企业要启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。

深度:一文读懂我国数据安全政策动向与趋势

    (四)网络安全审查要求更加明确,审查内容尚需持续优化

    从法律、办法再到条例,法律法规中关于网络安全审查的申报条件逐步清晰、细化,但对于需要审查的内容并未做出明确要求,需要在实践探索中持续优化。《数据安全法》第二十四条重点明确了在国家层面“建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”的总体要求。《网络安全审查办法》提出了三种需要申报网络安全审查的情况,以及需要考虑的国家安全风险因素。《网络数据安全管理条例(征求意见稿)》提出了四种需要申报网络安全审查或报告的情况。

    《网络安全审查办法》明确了网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险的情况。

    关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

    掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

    网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

    《网络数据安全管理条例(征求意见稿)》第十三条明确了申报网络安全审查的触发条件和向国家网信部门和主管部门报告的条件。

    在出现公司合并、重组、分立,或者赴国外上市、赴香港上市,或者境外设立总部、运营中心、研发中心的情况时,须进行网络安全审查,数据处理者、互联网平台运营者要做好相应的审查申请或报告。

    在公司合并、重组、分立,且汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源,影响或者可能影响国家安全时,互联网平台运营者要申报网络安全审查;

    赴国外上市时,只要处理个人信息达到一百万人以上的数据处理者,均需申报网络安全审查;

    赴香港上市时,影响或者可能影响国家安全的数据处理者,均需申报网络安全审查;

    在境外设立总部、运营中心、研发中心的大型互联网平台运营者,要向国家网信部门和主管部门报告。该要求目前仅针对大型互联网平台运营者,即用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。

深度:一文读懂我国数据安全政策动向与趋势

    (五)数据安全评估要求更加落地,以评促建成为重要抓手

    当前法律法规中关于数据安全评估的篇幅最大、要求最细,体现了数据安全评估的重要性,也反映出数据安全评估工作相对成熟。数据处理者、个人信息处理者是数据安全管理和个人信息保护主体,应当规范开展数据处理活动,认真落实数据安全和个人信息保护的责任义务。开展数据安全评估,以评促建,是落实数据安全主体责任的重要抓手,也是顺应国家数据安全体系建设的必然要求,是数据处理者需要抓好的重要工作。

    在数据安全评估方面,分别对国家网信部门,省(区、市)通信管理局、工业和信息化主管部门,各相关企业、数据处理者,检测评估机构的权责义务进行了说明。

    国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,以抽查方式核验向境外提供个人信息或重要数据的类型、范围等(运营者应当以明文、可读方式予以展示)。

    省(区、市)通信管理局、工业和信息化主管部门对企业履行数据安全保护义务进行监督检查。

    重要数据处理者对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

    汽车行业相关企业要自行或者委托检测机构定期开展网络安全符合性评测和风险评估,及时消除风险隐患。特别是智能网联汽车生产企业和车联网服务平台运营企业,要开展数据安全风险评估,并向所在省(区、市)通信管理局、工业和信息化主管部门报备;智能网联汽车生产企业还要加强在线升级服务(OTA)安全和漏洞检测评估,车联网服务平台运营企业在平台被认定为关键信息基础设施后要自行或者委托商用密码检测机构开展商用密码应用安全性评估。

    检测评估机构负责开展网络安全符合性评测和风险评估,不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。

深度:一文读懂我国数据安全政策动向与趋势

深度:一文读懂我国数据安全政策动向与趋势

    在向境外提供数据,赴境外上市,共享、交易、委托处理重要数据,利用个人信息进行自动化决策等情况下,将触发数据安全评估。

    1、在向境外提供数据时,分为提供数据、个人信息、重要数据三类情形。

    (1)提供数据的情形。国家机关要进行安全评估,可以要求有关部门提供支持与协助;关键信息基础设施运营者要通过国家网信部门组织的安全评估;数据处理者在符合国家网信部门规定的需要申报数据出境安全评估的情况下(具体情况在数据出境安全评估办法第四条中予以明确)要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

    (2)提供个人信息的情形。国家网信部门负责组织数据出境安全评估。个人信息处理者进行个人信息保护影响评估,并对处理情况进行记录。其中,处理个人信息达到国家网信部门规定数量或者属于汽车行业的个人信息处理者,需要通过国家网信部门组织的数据出境安全评估。

    (3)提供重要数据的情形。国家网信部门负责组织数据出境安全评估。重要数据处理者需要通过国家网信部门组织的数据出境安全评估。对于智能网联汽车生产企业和车联网服务平台运营企业,除了需要进行数据出境安全评估,还需要向所在省(区、市)通信管理局、工业和信息化主管部门报备。

    2、在赴境外上市时,数据处理者要自行或者委托数据安全服务机构每年开展一次数据安全评估,每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,并至少保留三年的风险评估报告。

    3、共享、交易、委托处理重要数据时,数据处理者要开展安全评估,评估认为可能危害国家安全、经济发展和公共利益,不得共享、交易、委托处理重要数据。

    4、涉及利用个人信息进行自动化决策的个人信息处理者,要进行个人信息保护影响评估,并对处理情况进行记录。

深度:一文读懂我国数据安全政策动向与趋势

深度:一文读懂我国数据安全政策动向与趋势

深度:一文读懂我国数据安全政策动向与趋势

    (六)数据安全管理责任更加夯实,管理能力建设任重道远

    明确专门的数据安全负责人和管理机构,是压实数据安全管理责任的重要基础。法律法规对达到国家网信部门规定数量的个人信息处理者、重要数据处理者,以及汽车数据处理者,均明确提出了设立数据安全负责人和管理机构的要求,为数据安全管理工作提供了基础保障。但充分发挥数据安全管理责任,还需要借助先进的数据安全管理平台,支撑数据安全相关重大决策、数据安全事件应急响应、数据安全风险监测、数据安全风险和事件处置、数据安全风险评估,有效提升数据安全管理能力。

    法律法规对国家机关、数据处理者(个人信息处理者、重要数据处理者、汽车数据处理者)、汽车行业相关企业在数据安全管理责任方面进行了明确。

    国家机关重点负责建立健全数据安全管理制度的总体要求,落实数据安全保护责任,保障政务数据安全。

    数据处理者的职责主要面向个人信息处理者、重要数据处理者、汽车数据处理者。

    个人信息处理者在处理个人信息达到国家网信部门规定数量时,要指定个人信息保护负责人,公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

    重要数据处理者要明确数据安全负责人,成立数据安全管理机构,研究提出数据安全相关重大决策建议,制定实施数据安全保护计划和数据安全事件应急预案,开展数据安全风险监测,及时处置数据安全风险和事件,定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动,受理、处置数据安全投诉、举报,向网信部门和主管、监管部门报告数据安全情况。

    汽车数据处理者在开展重要数据处理活动时,向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况(包括汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式)

    汽车行业相关企业要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。

深度:一文读懂我国数据安全政策动向与趋势

    (七)数据安全培训要求显著提高,部分主体须开展强制学习

    法律法规明确要求个人信息处理者要定期对从业人员进行安全教育和培训,重要数据处理者要每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。这些刚性需求创造了巨大市场增量,加上国家在《数据安全法》《网络数据安全管理条例》中明确提出鼓励支持数据开发利用技术和数据安全培训的政策,未来数据安全市场有望实现快速增长。

    在数据安全培训方面,法律法规对国家、个人信息处理者、重要数据处理者、汽车行业相关企业的主要职责进行明确。

    国家明确支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。

    个人信息处理者要定期对从业人员进行安全教育和培训。

    重要数据处理者要制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。

    汽车行业相关企业要加强网络安全和数据安全宣传、教育和培训。

深度:一文读懂我国数据安全政策动向与趋势

    (八)数据安全审计地位更加提升,数据合规成为审计重点

    相比美欧等国家地区,我国对数据安全领域的审计重视程度不够,运用不充分,除了银行业等重点行业(银保监会2018年发布《银行业金融机构数据治理指引》提出了定期审计数据安全的要求),数据安全审计尚未纳入公司年度业务管理的必要组成。

    随着数据安全问题加剧和地位上升,在今年发布的数据安全法律法规中,对主管部门、监管部门、个人信息处理者、数据处理者、大型互联网平台运营者都提出了定期组织或开展数据安全审计、合规审计等要求,特别是大型互联网平台运营者,更是要求每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。未来,随着数字经济的快速发展,数据安全审计、合规审计将更加推广,成为国家监管、公司业务运营的重要方面。

    在数据安全审计方面,明确了国家、主管部门、监管部门、个人信息处理者、数据处理者、大型互联网平台运营者的主要职责。

    国家层面重点明确了建立数据安全审计制度的要求。

    主管部门和监管部门负责组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。

    个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

    数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

    大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。

深度:一文读懂我国数据安全政策动向与趋势

    在发现个人信息处理活动存在较大风险或者发生个人信息安全事件时,履行个人信息保护职责的部门可以通过两种方式履行监管职责:对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者需要按照要求采取措施,进行整改,消除隐患。

深度:一文读懂我国数据安全政策动向与趋势

    三、启示及建议

    (一)针对数据处理者的建议

    数据处理者主要涉及数据处理者、重要数据处理者、个人信息处理者、汽车数据处理者等四类主体。

    1、数据处理者均需要重点关注数据安全应急处置和数据安全审计工作。建立数据安全应急处置机制;委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

    2、重要数据处理者需要重点关注数据安全评估、数据安全管理责任、数据安全培训等三项工作。(1)数据安全评估方面,需要对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。(2)数据安全管理责任方面,一是明确数据安全负责人,成立数据安全管理机构;二是研究提出数据安全相关重大决策建议;三是制定实施数据安全保护计划和数据安全事件应急预案;四是开展数据安全风险监测,及时处置数据安全风险和事件;五是定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;六是受理、处置数据安全投诉、举报;七是向网信部门和主管、监管部门报告数据安全情况。(3)数据安全培训方面,制定数据安全培训计划,每年组织开展全员数据安全教育培训;确保数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。

    3、个人信息处理者需要重点关注分类分级保护、数据安全管理责任、数据安全培训、数据安全审计等四项工作。(1)分类分级保护方面,需要对个人信息实行分类管理。(2)数据安全管理责任方面,一是在处理个人信息达到国家网信部门规定数量时,要指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督;二是公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。(3)数据安全培训方面,要定期对从业人员进行安全教育和培训。(4)数据安全审计方面,要对其处理个人信息遵守法律、行政法规的情况进行合规审计。

    4、汽车数据处理者需要重点关注数据安全管理责任,要向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况(包括汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式)。

    (二)针对相关企业的建议

    相关企业主要涉及大型互联网平台运营者、智能网联汽车生产企业、车联网服务平台运营企业、汽车行业相关企业等四类主体。

    1、大型互联网平台运营者需要重点关注数据安全审计。要通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。

    2、智能网联汽车企业和车联网服务平台运营企业需要重点关注分类分级保护、数据安全应急处置、数据安全评估等三项工作。(1)分类分级保护方面,要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。(2)数据安全应急处置方面,要建立网络安全应急响应机制,制定网络安全事件应急预案,定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。(3)数据安全评估方面,要开展数据安全风险评估,并向所在省(区、市)通信管理局、工业和信息化主管部门报备。同时,智能网联汽车企业还要加强在线升级服务(OTA)安全和漏洞检测评估;车联网服务平台运营企业在认定为关键信息基础设施时,还要自行或者委托商用密码检测机构开展商用密码应用安全性评估。

    3、汽车行业相关企业要重点关注分类分级保护、数据安全评估、数据安全管理责任、数据安全培训等四项工作。(1)分类分级保护方面,要严格落实网络安全分级防护要求,加强网络设施和网络系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护。(2)数据安全评估方面,要自行或者委托检测机构定期开展网络安全符合性评测和风险评估,及时消除风险隐患。(3)数据安全管理责任方面,要建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任。(4)数据安全培训方面,要加强网络安全和数据安全宣传、教育和培训。

    关于作者

    刘勇首席战略官、副总裁,中科院信息工程研究所研究员,博士生导师,中央网信办国家计算机网络与信息安全管理中心科技委副主任。长期参与国家信息化、网络安全、电子政务、电子商务、智慧城市、大数据、物联网等方面的专项规划、政策的研究制定工作。曾获得国家科技进步一等奖1次、国防科学技术奖二等奖2次、国家发改委优秀研究成果奖3次。

    张妍网络安全高级战略研究员、工程师、MBA。毕业于英国兰卡斯特大学。主要从事国际网络空间安全治理、网络安全态势分析、数据安全治理及跨境流动、全球网络安全产业发展等领域的研究。

    郝雅楠网络安全研究员、高级工程师。长期从事战略政策研究与管理咨询工作,聚焦数据安全管理和个人信息保护、安全检测与防护关键技术研究与应用等领域,参与中央网信办、科技部等单位多项研究课题,发表论文20余篇,获得全国企业管理现代化创新成果一等奖、国防科技工业企业管理创新成果一等奖等多项奖励。

深度:一文读懂我国数据安全政策动向与趋势

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们