【建立国家数据安全应急处置机制】
国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
【释义】
本条确立了数据安全的应急处置机制,以有效应对和处置数据安全事件。应急处置的优劣会深入影响数据安全事件所造成的后果,有效的数据安全应急处置机制能够减少数据安全事件造成的损失和危害,确保数据安全。与前款规定一致,基于数据的战略资源属性,出于保护数据安全的需要,本条也要求在国家层面上建立数据安全应急处置机制,具体执行主体则是有关主管部门,可以依据《网络安全法》第53条和《国家网络安全事件应急预案》中的规定进行规划设置:应当由国家网信部门负责协调有关部门建立其内部的网络安全实践应急处置机构与机制;同时在中央网络安全和信息化领导小组的领导下,由中央网络安全和信息化领导小组办公室统筹协调组织国家网络安全事件的应急响应工作,工业和信息化部、公安部、国家保密局等部门分工负责,必要时成立国家网络安全事件应急指挥部。
本条在一定程度也是《网络安全法》第55条针对网络安全事件应急处置措施的规定在数据安全领域的进一步规定与发展,通过对数据安全事件进行分析、检测、研判,启动应急预案,进行快速响应,来降低数据事件的影响和危害。本条将应急处置机制主要分为两个步骤,规定了有关主管部门的两个义务:第一是依法启动应急预案,采取相应的应急处置措施;第二则是及时向社会发布与公众有关的警示信息。
第一,有关部门需要依法启动应急预案。应急预案是一种事前预防措施,是指为依法、迅速、有效、科学应对突发事件,最大限度预防和减少突发事件及其造成的损失,为维护国家安全和社会稳定,促进经济社会全面、协调、可持续发展而预先制订的工作方案。为充分发挥数据安全应急预案的重要作用,该应急预案的规划、编制、审批、备案、公布、演练、修订和保障等工作需要依照《突发事件应急预案管理办法》的规定,要遵循统一规划、分类指导、分级负责、动态管理的原则。数据安全应急预案需要规定应对的基本原则、组织体系、运行机制以及应急保障的总体安排等,明确相关各方的职责和任务,其是应对数据安全事件的主要依据和重要行动规范。除了直接启动应急预案之外,有关主管部门还需要采取相应的应急处置措施。应急处置措施应当覆盖数据安全事件管理的全生命周期,应涵盖应急启动、应急处置、后期恢复处置、应急处置保障措施等,以实现防止危害扩大,消除安全隐患的目的,具体则可以依据《国家网络安全事件应急预案》中对于应急处置的具体机制的规定进行进一步设置与实施。工业和信息化部印发的《电信和互联网行业数据安全标准体系建设指南》第3.4条指出:应急响应与灾难备份标准用于规范数据安全事件的应急响应管理、处置措施,规范灾难备份及恢复工作的目标和原则、技术要求以及实施方法,主要包括数据安全应急响应指南、灾难备份技术要求、恢复能力评价等标准。从《网络安全法》第55条和本法第29条的规定看来,有关主管部门在依法处置数据安全事件,采取应急处置措施时,有权要求数据处理者采取技术措施和其他必要处置措施,防止危害扩大,确保数据安全。
第二,有关部门还负有及时向社会发布与公众有关的警示信息的义务。数据安全事件发生后,负责应急处置的有关部门应根据事件的严重程度及对社会公众的影响程度,及时、准确、依照相关规定(尤其是程序性规定)通过新闻媒体向社会公众发布与公众有关的警示信息。这一义务一方面要求有关部门及时、准确、客观、统一发布与公众有关的警示信息,避免有关部门内部机构或个人分别随意向社会传达自身看法而造成公众误解;另一方面实际还要求有关部门就警示信息展开讲解,告知公众可采取的防止损害扩大,消除安全隐患的措施,以达到维护社会公众利益的目的。[3]
数据安全应急机制的具体内容、相关政府部门及企业的义务仍有待于未来相关配套法规的细化和补充。
【关联规定】
《中华人民共和国网络安全法》第25条、第53条、第55条,《国家网络安全事件应急预案》第2.1条,《突发事件应急预案管理办法》第2~5条
(撰稿人:徐实)