【建立国家数据安全风险机制】
国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
【释义】
本条明确了建立数据安全风险机制的要求,属于建立健全国家数据安全管理制度,完善国家数据安全治理体系的重要组成部分。《关于〈中华人民共和国数据安全法(草案)〉的说明》的立法声明中指出:“数据是国家基础性战略资源,没有数据安全就没有国家安全……”加之当前我国数据安全形势严峻,数据处理活动中面临的安全风险众多,事件频发,其危害程度更加严重,影响范围不断扩大,仅依赖规范对象个体、依据各部委指导性文件和标准进行自我管理,恐怕难以实现对数据安全风险的全局把握与监测预警,因此有必要从国家层面建立集中统一、高效权威的数据安全风险监测预警机制,通过“自上而下”的角度对数据安全风险集中开展治理工作。
这一条款实际在一定程度上是对《网络安全法》第51条、第52条在数据安全领域的进一步强化规定与细化补充。本条要在国家层面建立针对数据安全风险的评估、报告、信息共享、监测预警机制,并着重强调了在国家数据安全工作统筹协调机制下要求有关部门针对数据安全风险信息的获取、分析、研判和预警工作的重要性。这种国家层面的公权力监测预警机制,有助于及时发现和准确识别数据安全风险,并在此基础上有效预测风险事件发生的可能性、影响范围和危害程度,准确发布避免、减轻危害的措施。
通常来讲,数据安全风险是指针对数据的,在其生存全周期的安全风险,一般包括外部数据安全威胁、内部数据安全风险以及数据以外丢失的风险。数据安全风险评估是网络安全风险评估的重要组成部分,既可以融合也可以构建独立评估体系单独运转。根据本法第30条的规定,风险评估报告应包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。本条规定实际要求在重要数据处理者定期报送风险评估报告的基础上,从国家层面统筹对本国境内数据安全风险的全面评估,并向中央国家安全领导机构等进行报告和信息共享。数据安全监测预警机制,即指基于数据安全风险信息的信息源,通过采用各种技术手段持续动态地监测风险与恶意行为,由及时提供警告的机构、制度、网络、举措等共同组成的机制,其作用在于能够促进实现提前反馈,及时布防,防止或者减少风险发生的可能性,最大限度地消除或降低事故发生的概率。在实践中,数据安全监测类型的规划可以依据全国网络安全标准化技术委员会《信息安全技术 网络安全监测基本要求和实施指南》(GB/T 36635-2018)第5.3条对网络安全监测类型进行划分:(1)信息安全事件监测;(2)运行状态监测;(3)威胁监测;(4)策略与配置监测。工业和信息化部印发的《电信和互联网行业数据安全标准体系建设指南》第3.3条为电信和互联网行业数据监测预警与处置设立了标准:明确数据安全监测预警与处置系统及其技术要求,结合数据的敏感度、量级、流向以及账号权限等进行综合分析,实时动态追踪数据安全风险,主要包括监测预警与处置方面的技术要求、接口规范、测试规范等标准。
本条还着重强调了数据安全风险信息的重要性。与网络安全信息一样,数据安全风险信息来源分散,数据量大,只有在国家数据安全工作协调机制统筹协调各个有关部门在履行职责的基础上,合力加强对信息的获取、分析、研判与预警的多维度监督,才能够制定并采取更有效的数据安全风险应对措施。根据工业和信息化部《互联网网络安全信息通报实施办法》《公共互联网网络安全威胁监测与处置办法》以及《国家网络安全事件应急预案》对网络安全监测信息来源的规定,可以推定一般数据风险信息也包括自主监测信息和外部情报信息两大来源,具体类型则包括:(1)安全事件信息;(2)威胁信息;(3)漏洞信息;(4)态势感知信息。[1]从全球针对网络安全信息获取、分析、研判与预警的方式来看,有些国家设立了永久性分析和情报中心,如日本通信信息共享与分析中心,旨在更有效地向公共和私有部门的决策者提供战略信息,[2]从中足见其对“安全信息”获取与合力分析的重视程度。《数据安全法》第22条体现了我国对数据安全信息的重视,即通过“统筹协调”阐释了国家对收集和获取数据安全信息并合力进行整合分析的能力。本条相较于《数据安全法(一审稿)》《数据安全法(二审稿)》,增加了“国家数据安全工作协调机制统筹协调有关部门”加强数据安全风险信息的获取、分析、研判、预警,这也进一步体现了国家对数据安全的重视。数据安全工作涉及面广,建立相应的工作协调机制能够更好地从宏观角度进行统筹协调。
数据安全风险机制的具体内容、相关政府部门及企业的义务仍有待于未来相关配套法规的细化和补充。
【关联规定】
《中华人民共和国网络安全法》第51条、第52条,《互联网网络安全信息通报实施办法》第4条、第7条、第10条、第23条,《公共互联网网络安全威胁监测与处置办法》第2~6条,《国家网络安全事件应急预案》第3.2条、第3.3条、附件1,《信息安全技术 网络安全监测基本要求和实施指南》第4.2条,《数据安全管理办法(征求意见稿)》第33条、第34条
(撰稿人:徐实)