上期回顾
数达安全专家团论述了数据的生命周期场景面对的主要风险,并提出了覆盖这些风险的数据安全技术手段,为行业组织和企业做好数据安全工作提供了参考。
本期摘要
数达安全专家团对网络安全法和数据安全法进行了对比分析。对比内容包括他们的范围、重要性、依赖性、技术要求和处罚力度等多个方面。通过对比分析可以看出,两个法律具有相同的地位,并且是相互依赖,相互补充的。因此,在当前安全建设工作中,应将工作重点转移到基础薄弱的数据安全能力建设,以尽快建立完整的大网络空间安全保障体系。
在国际对抗日趋激烈的大背景下,融合大数据、云计算和物联网等新技术在内的数字经济已经上升为国家战略,是保障国家发展、服务国计民生的核心能力。同时,包括网络安全和数据安全在内的大网络空间安全既是数字经济的关键支撑,又是最活跃的对抗战场。为应对这种形势,国家相继发布了网络安全法和数据安全法,为保障网络空间新主权空间的安全提供了坚实的制度基础和强大的法律保障。
自从网络安全法生效以来,网络安全能力以前所未有的速度在建设发展。到目前,整体来说,我们国家已经能够应对主要的网络安全风险,处于能力不断改善、效果持续提升的稳步发展过程中。而数据安全法的发布和实施,使数据安全工作成为不可动摇的国家意志,必将推动处于初级阶段的数据安全能力建设工作快速发展,尽快弥补大网络空间安全体系中数据安全这块短板。
随着数据安全法发布后,在实践中会面对这样的疑惑:
★既然有了网络安全法,为什么还要有数据安全法?
★这两个法律之间的关系是什么?
★在做规划和建设的时候,轻重缓急是什么?如何同时满足这两个法律?
★......
为回答这些问题,对数据安全法和网络安全法进行综合对比分析是非常有必要的。为使内容清晰简洁,本篇通过如下表格对他们进行对比分析。
网络安全法 | 数据安全法 | |
通过及 施行 时间 | 2016年11月7日通过,自2017年6月1施行。 | 2021年6月10日通过,自2021年9月1日起施行。 |
法律 地位 | 一样高 全国人大常委会通过,网络安全治理的国家级基本法。是我国第一部全面规范网络空间安全治理方面问题的基础性法律。 | 一样高 全国人大常委会通过,数据安全的国家级基本法。是我国第一部全面规范数据安全治理方面问题的基础性法律。 |
范围 | 一样大(不存在没有数据的网络) | 一样大(也不存在脱离网络的数据) |
重要性 | 一样重要(不能替代数据安全法) | 一样重要(不能替代网络安全法) |
侧重点 | 网络安全法保障网络安全,维护网络空间主权和国家安全、社会公共利益,重点关注“网络自身的安全”,数据安全在网络安全法中处于从属地位。 网络安全法未能从数据全维度进行规范,相关政策文件法律层级低,要求分散,难以系统性解决数据安全保障问题。 | 数据以及数据所在的网络。 确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,以提升国家数据安全能力,有效应对数据这一非传统领域的国家安全挑战,切实维护国家主权、安全和发展利益。首次将数据作为“关键要素”写入法律,首次确认“数据权益”。 |
依赖 关系 | 网络安全的最终目的是保护数据安全。从这个意义上说,所有的网络安全,都是手段。 同时,网络安全也离不开数据安全。如果数据安全做得到位,尤其是与网络身份鉴权信息有关的用户密码及关联信息、网络配置和网络漏洞信息等数据获得足够安全保护,则网络安全能力也获得巨大提升。 | 数据安全有区别于网络安全的范围和价值,当数据通过网络进行传输、处理时则严重依赖网络安全。 |
数据 定义 | “网络数据”和“个人信息”。 | “任何以电子或非电子形式对信息的记录”,内涵扩展极大。 |
跨境 数据 | 规定数据不得出境存储:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 | 进一步规定不得随意跨境传输:非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 |
核心 数据 | 定义了关键基础设施的数据。 | 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 |
数据安 全评估 | 数据出境安全评估 (“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”) | 数据安全评估 (“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等”) |
对能力 的要求 | 网络安全法提出了如下要求: 按照网络安全等级保护制度要求的管理能力和技术能力进行安全建设: ★第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施... | 数据安全法提出了如下要求: 在网络安全等级保护制度的基础上,进一步建立健全全流程数据安全管理制度、采取各种数据安全技术措施进行数据安全保护、风险监测、预警处置等: ★第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 ★第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 ★第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 |
责任 主体 | 网络运营者、关键信息基础设施的运营者 ★第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,...防止网络数据泄露或者被窃取、篡改:... ★第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:... | 重要数据的处理者、关键信息基础设施的运营者 ★第四章 数据安全保护义务 ★第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;... |
主管部门和执法机构 | 国家网信办统筹 行业和区域主管部门监管 公安机关、国家安全机关执法 保密部门 ★第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 ★县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。 ★第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。 ★第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。 ★第七十八条 军事网络的安全保护,由中央军事委员会另行规定。 | 国家网信办统筹 行业和区域主管部门监管 公安机关、国家安全机关执法 保密部门 军队部门 ★第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 ★工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 ★公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 ★国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 ★第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。 ★第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。 |
处罚 力度 | 大(一百万罚款、停业、刑罚) ★第六十三条 违反本法第二十七条规定,从事危害网络安全的活动...;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。 ★第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 ★第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款。 ★... | 巨大(一千万元罚款、停业、刑罚) ★第四十五条 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款。 ★第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 ★第四十八条 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 ★... |
通过上述详细对比,可以看出网络安全法和数据安全法在法律地位、重要性上是一样高的,二者还存在相互依赖关系,网络安全法支持数据安全,数据安全法要求数据处理者和关键信息基础设施运营者在网络安全等级保护基础上采取各类数据安全措施来提高数据安全能力,这标志着我国大网络空间安全进入双法共治时代,有关组织和企业既要继续做好网络安全工作,又要尽快将工作重点转移到数据安全能力建设上来。
总结
本篇对网络安全法和数据安全法各自的通过及施行时间、法律地位、范围、重要性、侧重点、依赖关系、数据定义、跨境数据、核心数据、数据安全评估、对能力的要求、责任主体、主管部门和执法机构、处罚力度共计十四个方面进行了全面对比、分析。从总体上看,网络安全法和数据安全法是双法互补的关系,在后续的安全建设中,既要继续不断提高网络安全能力,更要将工作重点转到数据安全能力建设上来,尽快补足数据安全这块短板,建立完整并持续发展的大网络空间安全保障体系,更好服务于数字经济国家战略、国际竞争和国计民生主战场。
参考资料
1.《数据安全法》
2.《网络安全法》
3.《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)
4.《数据运营企业应该如何建立数据安全防护体系?——数达安全专家团数据安全法解读系列之二》
5.《数据安全技术能力范围分析--数达安全专家团数据安全法解读系列之四》
