08 数据安全保护义务

在《数据安全法》里面，没有谈全生命周期而是谈全流程，这个转变是因为生命周期更适合建好一个体系，建好之后再进行评估。它的数据采集阶段，传输阶段，使用阶段到底是否安全，只有建完之后去评估，用生命周期去看，但如果建设阶段的数据伴随着业务去流转，此时大量面临场景的东西，就会产生数据的流转，是整个数据使用全流程。这个全流程可以体现数据安全未来的建设，落地性更强。具体如下：

1.依法开展数据处理活动，履行数据安全保护义务

○ 全流程、持续安全防护

○ 数据安全风险监测与处置

○ 重要数据定期风险评估

○ 关基运营者重要数据出境安全管理

2.依法进行数据处理与服务

○ 数据合法、正当收集

○ 数据交易行为规范

○ 数据处理服务许可

○ 数据调取严格审批

8.1. 数据安全治理

基于网络安全等级保护制度，健全全流程数据安全管理制度、数据安全技术措施，明确数据安全负责人和管理机构、落实数据安全保护责任。

8.2. 数据数据、数据交易、数据调取

数据出境：对于关键基础设施运营者，在重要数据上需要做不同安全等级的划分，数据在不同等级之间流动的时候，必须要采取相应安全举措。存在以下情况则不得出境：

○ 个人信息出境未经个人信息主体同意，或可能侵害个人利益的数据。

○ 数据出境给国家政治、经济、科技、国防等安全带来风险， 可能影响国家安全、损害社会公共利益的数据。

○ 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的数据。

数据交易：在数据交易中介服务中应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

调取数据：应当按照国家有关规定，经过严格的批准手续，依法进行。

8.3. 数据风险监测与处置

建设数据安全态势感知，加强数据安全风险监测，从发现、补救、处置再到告知，最后作报告汇总，进行全流程管控，应当包括处理重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等，并且定期进行风险评估。

09 政务数据安全与开放

《数据安全法》第五章指出国家要大力推进电子政务建设，未来将大力推行智慧电子政务服务。政务数据主要有两个难题，一是应该开放哪些数据，二是这些数据怎么使用。解决这个问题需要国家要制定政务数据开发目录，构建政务开放平台，要做到统一规范互联互通，依法使用数据，健全数据安全管理制度，落实责任。

9.1. 安全与开放并重

依法收集、使用数据，保护个人隐私、个人信息、商业秘密等敏感信息，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

电子政务系统建设受托方要经过严格审核和批准流程，并履行相应的数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，按照规定及时、准确地公开政务数据，实现数据流转的全场景全流程安全防护，技管并重、全程管控。

10 数据安全防护建设

《数据安全法》施行之后，我们如何去执行、推行、拥护法律，首先要做到健全数据安全管理制度以及组织结构，进行数据安全治理，从组织、制度、流程、数据资产、分类分级等方面把脏乱差的数据梳理清楚，然后完善数据安全监管体系，加强数据安全保护及技术支撑能力，再进行数据安全交易与数据要素价值挖掘，最后开展数据安全运营保障服务。

10.1. 健全数据安全管理制度及组织架构

明确权责：明确数据安全负责人和管理机构，落实数据安全保护责任。

○ 建立数据安全治理体系

○ 完善相关标准的制定

○ 健全数据交易管理制度

○ 建立数据分类分级保护制度

○ 国家核心数据管理制度

○ 建立数据安全审查制度

○ 制定重要数据目录

○ 数据出境管理办法

○ 制定政务数据开放目录

○ 各行业各领域的数据分类分级保护制度

○ 各行业各领域的重要数据具体目录

10.2. 完善数据安全监管体系

从中央国家安全领导机构开始的四级监管机制，充分体现了国家对安全监管体系的高度重视程度。从监管部门角度来讲，需要识别我们属于哪级监管，监管的用户群体是哪些，制定相关的指引标准办法，实施数据安全监管与审查；从组织企业角度来讲，要先识别监管部门都有哪些，监管部门是否制定相关指引标准办法，有哪些合规要求，有针对性地进行数据安全风险防护建设。

10.3. 加强数据安全保护及技术支撑能力

数据安全的防护和技术支撑能力主要体现在三个方面：一是我们要从全流程视角去做数据安全防护，针对业务场景，对业务流和数据流向的每个关键点做防护措施；二是做体系化的风险监测，包含获取、分析、研判和预警机制，保障数据安全；三是加强应急响应能力建设，包含发现，补救，处置和告知机制，形成全流程的数据安全运营能力。

10.4.进行数据安全交易与数据要素价值挖掘

建立健全数据交易管理制度，规范交易行为，建设数据交易溯源和取证能力，培育数据交易市场。

10.5. 开展数据安全运营保障服务

数据安全运营保障服务围绕数据梳理与风险检测开展，通过数据扫描、数据安全治理、数据操作关联分析、日志监测与响应、用户行为审计定则与分析、数据可用性保障和大数据可视化，构建敏感数据分布态势、敏感数据流动态势、数据安全风险态势，并对数据安全威胁及时预警和处置，实现企事业单位的数据安全全方位态势感知、动态防护和全流程数据安全运营。

11 总结

国家实施大数据战略，推进数据基础设施建设，促进以数据为关键要素的数字经济发展；建立健全数据安全治理体系、明确职责主体、提高数据安全保护和保障能力；支持数据开发利用和数据安全技术研究，推进数据开发利用和数据安全标准体系的建立；建立数据交易管理制度，促进数据的依法利用、有序流通；开展数据安全知识宣传教育，培养专业人才，全社会共同保证数据安全。

《数据安全法》统筹考虑数据的安全与发展，形成了一个覆盖国家、行业、地方、处理者等全方位的数据安全治理框架。加大数据违法行为处罚力度，建设重要数据管理、行业自律管理、数据交易管理等制度。无论是个人、组织、公共单位还是私营部门，在开展数据安全保障以及数据活动的过程中，都需要站在维护人民利益的高度，打造更为全面、立体的技术组织安全体系和合规的风控机制，这也是数据安全立法本身蕴含的指引意义和价值导向意义。

伴随着《数据安全法》的生效，我国数据活动的监管将迎来一个崭新的时代，数据安全在未来仍将是一个重大挑战，人工智能、机器学习和零信任模型的创造性应用将帮助IT和信息安全行业进行数据保护，确保组织和个人数据合规，助力国家数据安全战略落地实施。

（完）