如何保障数据交易、数据出境安全?深圳首个公共数据安全领域地方···
2022/11/24近日,深圳发布《公共数据安全要求》(下称《要求》),这是深圳首个公共数据安全领域的地方标准。在深圳市政务服务数据管理局指导下,《要求》由深圳市信息安全管理中心牵头起草,将于2022年12月1日起实施。
伴随着数字经济产业的快速发展,如何平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,成为了产业健康发展的重点之一。
今年《数据安全法》和《个人信息保护法》陆续发布。《深圳经济特区数据条例》于 2021 年 6 月29 日发布,自2022年1月1日起实施,其中全面规范公共数据的开放和使用,并对公共数据安全也提出了明确的要求。
数字化时代下,数据无处不在,其中哪些属于公共数据?《要求》明确,公共数据即公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。据此,《要求》适用于公共管理和服务机构数据安全能力的建设、评估与监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与评估。
划分安全等级
为规范公共数据安全的基本要求,防范和抵御数据可能面临的各类安全风险,《要求》明确,公共管理和服务机构在处理数据过程中,应遵循以下总体安全原则:合法正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态调整、全程可控。
《要求》明确,公共管理和服务机构应对数据进行分类管理,在数据分类基础上,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者被非法获取、非法利用,对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度,对数据分级。
定级要素包括受侵害的客体以及对客体的侵害程度。 其中受侵害的客体分为:个人信息主体及公共管理和服务机构的合法权益、社会秩序和公共利益、国家安全。对客体的侵害程度分为:无损害、一般损害、严重损害、特别严重损害。两者结合,形成对应的安全等级与安全要求。
图源:《公共数据安全要求》
《要求》指出,数据处理活动过程中,数据级别发生变更的,应及时对变更后数据重新级别判定,数据级别可能发生变更的场景包括但不限于数据汇聚融合、加工、脱敏、超过时效等。此外,当不同级别的数据同时被处理且无法精细化管控时,应“就高不就低”,按照数据对象安全等级最高的要求实施保护。
明确数据交易、数据出境等安全要求
实现公共数据安全要求的落地,既要从合规性出发,遵从国家政策法规、标准规范及《深圳经济特区数据条例》中的安全要求,也要从可操作性出发,实现真正落地。《要求》在进行安全管理要求分解和细化的同时,提供相应的技术及数据处理活动安全能力要求,为落地提供标准参考和指导。
以机构管理为例,根据《要求》的基本安全要求,机构管理应设立数据安全管理机构,明确数据安全责任人,落实数据安全保护责任,并应按照相关法律、法规、规章的要求编制公共数据资源目录,加强数据安全保护。在三级增强安全要求下,机构管理应针对重大数据处理活动建立逐级审批机制,以及定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息 。
关于数据合作安全,《要求》也作出了指引。在基本安全要求下,涉及数据合作方的机构,应与数据合作方签订合作协议及数据安全保密协议,明确双方数据安全保密责任与义务,宜定期审核数据合作方资质背景、数据安全保障能力等,并组织动态合规评估。
针对数据处理活动安全,围绕数据收集、数据存储、数据传输、数据使用、数据加工、数据开放共享、数据交易、数据出境、数据销毁与删除9个过程,《要求》一一进行了分级阐述。
数据交易方面,《要求》明确应按照相关法律、法规、规章的要求开展数据交易,加强交易过程的数据安全保护。
数据出境方面,《要求》规定的基本安全要求包括:应明确数据出境业务场景,严格遵守国家法律、行政法规数据出境安全监管要求,符合国家法律、行政法规规定情形的,应提前开展数据出境安全评估及网络安全审查工作,严禁未授权数据出境行为;境内用户在境内访问境内网络的,其流量不应路由至境外;应建立跨境数据的评估、审批及监管控制流程,并依据流程实施相关控制并记录过程。