x
在线咨询
刷新
您当前的位置: 资讯中心 > 原创文章
100%!数据加密的合规要求原来这么强!
发布时间:2024.10.18 浏览数量:173人

摘要:在10项国家级的法律法规、标准中、共9项对数据加密做出了明确且直接的要求,仅仅只有《数据安全法》是借用等级保护要求而隐含的做出了相应要求。工业和信息化、教育、金融、医疗等行业规范也规定了存储和传输数据时需采取加密措施。整体比例达到100%。

 

数据安全方面的法律法规要求越来越多,其中不少都对数据安全保护技术提出了明确的要求。作为从源头上对数据进行保护的基础措施,数据加密可以说是数据安全乃至网络安全的最后一道防线。本文将探讨在现行的法律法规中,对数据加密要求的整体强度。

 

、国家基本法中对数据加密的要求

首先,我们来看由全国人民代表大会常务委员会发布的基本法,这些法律构成了整个数据安全法律体系的基础框架。

 

《网络安全法》(2017.6.1实施) 第二十一条  网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。采取数据分类、重要数据备份和加密等措施。

【明确了数据分类、备份、加密,以及其他“等”措施。】

 

《数据安全法》(2021.9.1实施) 第二十七条  开展数据处理活动应当依照法律法规的规定...,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

【该条明确等保要求是基础义务,等保中对数据加密有明确要求。】

 

《密码法》(2020.1.1实施) 第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

【该条明确要求使用商用密码保护关基设施。】

 

《个人信息保护法》(2021.11.1实施) 第五十一条 个人信息处理者应当根据个人信息的处理目的……防止未经授权的访问以及个人信息泄露、篡改、丢失;采取相应的加密、去标识化等安全技术措施。

【该条明确加密、去标识化,其他技术在“等”里面。】

 

在上述四个基本法中,除了《数据安全法》以外,其他三个基本法中都明确指出了对加密的技术要求。特别是在《个人信息保护法》中,甚至将加密的要求放在了第一位。在《数据安全法》中,明确要求在网络安全等级保护制度的基础上,采取相应的技术措施和其他必要措施。这是一个相对笼统的要求,但是从后文中可以看到,等级保护又明确了采用加密技术保护数据的要求。所以,在上述基本法中,全部都明确了对数据加密的保护要求。

 

、国家级行政法中对数据加密的要求

接下来,我们将关注由国务院颁布的两个基本条例。

 

《关键信息基础设施安全保护条例》(2021.9.1实施):第六条  运营者……在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。

【该条明确等保要求是基础义务,并明确了对数据保密性的要求。】

 

《网络数据安全管理条例》(2025.1.1起实施):第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求……采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件。

【该条明确加密、备份、访问控制、安全认证,其他技术在“等”里面。】

 

在上述两个基本法中,《关键信息基础设施安全保护条例》没有直接明确技术措施,但是明确了在等保基础上,维护数据的保密性,这其实就是指数据的加密保护。而在《网络数据安全管理条例》中,十分明确地指出了加密的要求,而且是放在了第一位,可见其重要性。

 

、国家级标准中对数据加密的要求

接下来,我们将查看国家标准中对企业及组织的数据加密要求。

 

在全国信息安全标准化技术委员会发布的《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》(2019.12.1实施)中,对于第三级(8.3.1.1)、第四级(9.3.1.1)系统安全保护,要求……应采用密码等技术支持的完整性校验机制,检验存储和处理的用户数据的完整性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复;用户数据保密性保护采用密码等技术支持的保密性保护机制,对在安全计算环境中的用户数据进行保密性保护;应提供重要业务数据加密服务,加密密钥由租户自行管理;应提供加密服务,保证虚拟机在迁移过程中重要数据的保密性

【该标准明确了第三级、第四级系统采用加密保障保密性和完整性。】

 

由国家市场监督管理总局、中国国家标准化管理委员会发布的《GB/T 41479-2022 信息安全技术网络数据处理安全要求》(2022.11.1实施)中,也有对应要求:4.3风险防控 开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等;5.3存储  存储重要数据和个人信息等敏感网络数据,应采用加密、安全存储、访问控制、安全审计等安全措施;5.6传输  传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施。

【该标准在网络数据的风险防控、存储、传输等环节,均明确做出加密、脱敏、访问控制、审计的安全技术要求,并且将加密放在第一顺位。】

 

在全国网络安全标准化技术委员会发布的《GB/T 35273-2020信息安全技术 个人信息安全规范》(2020.10.1实施)中:6.3 传输和存储个人敏感信息时,应采用加密等安全措施。

【该标准在个人信息传输和存储方面,做出了加密处理的安全规定。】

 

全国网络安全标准化技术委员会发布《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》(2020.3.1实施)中:第8节 数据存储安全 8.2.2.3等级3 应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求。

【数据存储环节,从第三等级开始对数据加密管理作出要求。在其他环节也有数据加密的要求,限于篇幅不赘述。】

 

在上述四个国标,全部针对不同重要等级的数据,在数据生产、流转、存储的不同环节做出了加密要求。

 

、行业规章中对数据加密的要求

最后,我们将审视行业规章与管理办法中对于数据加密的要求。鉴于行业种类繁多且各自规章复杂,本文将仅选取工业和信息化、教育、金融及卫生这四个行业作为示例,进行概括性分析。

 

工信部《工业和信息化领域数据安全管理办法(试)》(2022.12.8实施):第十五条  工业和信息化领域数据处理者……存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试;第十七条  ……传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。

【对工业和信息化领域的数据存储和传输做出明确的加密要求。】

 

教育部等七部门发布《关于加强教育系统数据安全工作》的通知(2021.3.15):第二章 (三)8.健全个人信息保护制度 …存储传输个人信息应采取加密措施,公开个人信息应采取去标识化处理。

【除了本文件,教育部《关于加强新时代教育管理信息化工作的通知》《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》等政策文件均对密码安全技术作出要求,其规定与本文件类似。】

 

国家金融监督管理总局《银行保险机构数据安全管理办法(征)》(2024.3.22):第二十八条  银行保险机构利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键基础设施安全保护、密码保护等制度要求;第四十四条    敏感级及以上数据传输应当采取安全的传输方式,保障数据完整性、保密性、可用性;第四十七条  应当开展数据安全的技术基础设施建设,支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化。

【对银行保险机构开展数据处理活动时的数据保密性、匿名性作出要求。数据匿名化、数据虚拟化也是数据加密的处理方式之一。】

 

中国人民银行《中国人民银行业务领域数据安全管理办法(征)》(2023.7.24):第十九条  涉及第三层级以上数据项导出使用的风险防范措施,原则上应当优先采取加密、数字水印或者脱敏处理等安全保护措施;第三十三条  应当优先采用商用密码技术对信息系统中第三层级以上数据项实施加密存储,结构化数据项在对数据库文件整体实施加密基础上鼓励进一步采用更细粒度的加密方式,非结构化数据项可仅对拆分的第三层级以上结构化数据项单独实施加密;第三十六条  第三层级以上数据项传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时,应当优先使用商用密码技术保障机密性,并根据业务需要使用商用密码技术加强完整性和抗抵赖性保障。

【对银行的第三层级以上数据,多处做出使用商用密码技术及加密技术的要求。】

 

国家卫健委《医疗卫生机构网络安全管理办法》(2022.08实施):第十五条  各医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标准规范,在网络建设过程中同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。第二十二条  采取数据脱敏、数据加密链路加密等防控措施,防止数据收集过程中数据被泄露;在数据分类分级的基础上,进一步明确不同安全级别数据的加密传输要求;选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全;应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等。

【对密码产品、数据脱敏、数据加密、链路加密、传输加密、存储加密均做出明确要求。】

 

综上所述,无论是在国家级法律法规及标准层面,还是在行业级规范与管理办法层面,对于数据加密均提出了明确且严格的要求。

 

在本文所列举的十项国家级法律法规及标准中,有九项明确规定了加密要求,包括:《网络安全法》《密码法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《网络安全等级保护安全设计技术要求》《网络数据处理安全要求》《 个人信息安全规范》《数据安全能力成熟度模型》,唯一例外的是,《数据安全法》是通过引用等级保护要求来间接规定加密需求。直接规定加密的比例达到90%,间接规定为10%,合计覆盖率达到100%。

 

在行业级要求方面,本文列出的涉及工业和信息化、金融、教育以及医疗行业的五项行业规章中,全部明确了加密的具体要求,占比同样达到了100%。

 

结语:加密的要求主要体现在数据存储与传输两个环节。从所有数据安全技术要求来看,对加密的规定也许是最直接且最为严格的。这些合规要求不仅为新型生产力的高质量发展提供了坚实的法治基础,同时也为数据处理者的数据安全保障工作明确了方向。