2017年6月1日正式实施的《网络安全法》,是我国网络空间法制建设的重要里程碑,就数据和个人信息保护提出了许多框架性的要求。此后,各类配套的法律、法规、规章和标准化文件不断出台,且呈加速趋势。
概念区分
数据、个人信息、敏感个人信息等概念有何异同?
根据《数据安全法》,数据是指任何以电子或者其他方式对信息的记录,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
根据2021年4月29日公布的《个人信息保护法》(草案二次审议稿)第4条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
根据《个人信息保护法》(草案二次审议稿)第29条,敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
重点法律法规标准介绍
其中法律是由全国人民代表大会和全国人民代表大会常务委员会审议通过后颁布;行政法规是由国务院制定,通过后由国务院总理签署国务院令公布;规章通常由各部委制定,网络安全领域的规章目前通常由网信部门、工信部、公安部等部委制定。
从表1可以看出,现阶段我国关于数据安全和个人信息保护方面的立法和标准框架已经基本形成,既包括起到统领作用的较高位阶的法律,也包括相当一部分非常具体的配套法规、规章和标准。
《网络安全法》
《网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,就数据和个人信息合规提出了许多框架性的要求。
《数据安全法》
作为我国数据安全领域的基础性法律,《数据安全法》明确了国家数据安全工作体制机制,各数据安全主管机构的监管职责。
《数据安全法》体现了坚持安全与发展并重的数据安全治理原则,并在第二章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键生产要素的数字经济发展。
《数据安全法》第三章明确了数据安全保护的各项基本制度,完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度,形成了我国数据安全的顶层设计。
建立健全流程数据安全管理制度,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;
组织开展数据安全教育培训;
采取相应的技术措施和其他必要措施,保障数据安全;
应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;
发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估;
收集数据,应当采取合法、正当的方式。
《信息安全技术个人信息安全规范》
全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T35273-2020(信息安全技术个人信息安全规范》于2020年3月6日正式发布,于2020年10月1日实施,代替GB/T35273-2017《信息安全技术个人信息安全规范》。该标准的发布实施被评选为2020年中国网络安全大事件。
新修订的《个人信息安全规范》2020版继续沿用了2017版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。
《个人信息安全规范》2020版共分为十个章节,包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。其中,个人信息的收集,存储,使用,委托处理、共享、转让、公开披露是个人信息在流转过程中的常见行为。
作为个人信息安全领域最基础、最重要和影响最为广泛的国家标准,《个人信息安全规范》的发布和实施,对后续个人信息保护工作的开展,必然会产生深远的影响。
高校数据安全的工作路径
数据安全已成为事关国家安全与经济社会发展的重大问题,关于数据安全和个人数据保护法律法规和国家标准的密集出台,彰显了我国对于开展数据安全治理和个人信息保护的决心,是对我国总体国家安全观的贯彻和体现。
数据安全任重而道远,很多工作还在探索过程中,本文梳理了在数据安全和个人信息保护方面的合规参考,希望得到高校信息化同行的批评指正。