引言
《数据安全法》通过十三届全国人大常委会第二十九次会议表决,将于2021年9月1日起正式施行,该法是我国将数据作为生产要素之后的一部基础性法律,也是我国第一部专门针对数据保护、使用、管理等方面的专业性法律,是对《网络安全法》中数据安全要求的明确和强化。
《数据安全法》进一步明确了数据的定义,在个人信息之上提出了重要数据和核心数据等更广泛的概念,指出了数据活动主体的安全保护义务和主管部门的安全监管责任。《数据安全法》告诉我们数据是生产要素,数据不仅需要保护,更需要流通、共享、交换,保障数据安全是促进数字经济健康发展的重要举措。
近年来,随时电子政务的发展,尤其是疫情期间,政府基于大数据履行职能,为百姓生活、社会稳定提供便捷安全的公共服务,进一步提升了政务数据的体量和质量,同时也提高了公共管理的效能。《数据安全法》专门针对政务数据开放、共享、使用提出相关要求。本文从政务数据管理角度给出相应解读。
一、明确政务数据的范围
第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。 |
政务数据是政务部门在履行政务职责过程中收集、产生、处理的数据,包括个人信息、个人隐私、组织内部数据、融合数据,甚至涉及国家安全数据。因此政务数据的保护不仅是对政府形象、公信力的维护,还是对公民、法人以及相关社会组织权益的保护。
二、数据分类分级是政务数据管理的依据
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 |
政务数据种类多、内容广,开放、共享后的责任大,导致很多政务部门不敢共享开放或不愿共享开放数据。根据《数据安全法》第二十一条要求,数据分类是数据管理的依据,数据分级是数据保护的前提,完善的数据保护与隐私保护的法规体系,是实现政务数据共享、开放的保障,政府只有全面数据开发与利用,才能真正实现为国家、社会、民众创造价值。
目前,北京、上海、贵州等多地已纷纷出台数据分类分级的地方法规标准,例如北京市地方标准《政务数据分级与安全保护规范》(征求意见稿)、上海市《上海市公共数据开放分级分类指南(试行)》、贵州省地方标准《政府数据 数据分类分级指南》(DB52/T1123-2016)等,可以更加系统、科学地指导政务部门从安全角度识别和管理数据。
三、创建数据风险评估体系,评估安全保护能力
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 |
《数据安全法》第二十二条提出了贯彻数据全生命周期的安全风险评估思想,政务数据在共享开发全周期中包括汇聚、存储、处理、传输、共享、开放、销毁、备份等环节,定期对各环节的数据安全风险开展安全评估,对可能的数据风险进行监测预警,才能及时有效防范数据安全隐患。
同时,由政务数据主管部门牵头,引入具有相关资质的第三方测评机构,依据《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)等国内权威标准,开展数据安全保障能力和数据安全风险评估,督促组织对测评中发现的风险事项限期整改,将进一步提高政务数据共享开放的工作质量,减少数据流动带来的安全隐患。
四、针对性实施安全技术保障,提升数据管控能力
第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。 |
各地政府陆续成立大数据局,采用云计算、大数据等技术实现区域管辖内数据的集中存储、处理和使用。但传统的以系统为核心的安全防护体系已无法满足数据流动和安全的双重需求,难以实现实时、连续、全生命周期的安全管控。政务数据主管部门需要在网络安全的基础上,以数据为核心,借助数据加密、脱敏、溯源、审计、隐私计算等新型技术手段,实现政务数据全生命周期安全保障。例如通过在数据采集、汇聚、处理环境,采用元数据管理、数据治理等技术,实现数据资产标准化;在数据传输环节,采用数据加密、水印等技术,实现数据安全流动和可追溯;在数据使用环节,采用数据脱敏、多方计算等技术,实现敏感数据的可用不可见等,全方位保障政务数据共享开放的安全。
五、完善数据监督机制,实现安全管理闭环
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 |
《数据安全法》第六条提出数据安全监管责任,因此政务部门在建立网络安全责任制的同时,还应建立专门的数据安全管理内设机构,明确数据安全责任人和职责。政务安全主管部门应在依据网络安全法开展网络安全检查的同时,将政务部门的数据质量、安全管理情况、数据安全评估等级等共同纳入安全考评体系下,动态监管数据安全管理执行情况,实现网络安全管理闭环,保障政务数据开放的及时、有效和安全。
结束语
数据安全是公民、组织、社会和国家发展的基础,政务管理部门有责任加快完善顶层设计,细化数据安全管理事项,加强组织内部的意识教育,做好政务信息化基础设施的安全运行,为政务数据健康发展积极构建有利环境。
来源:北京信息安全测评中心\福建省网络与信息安全测评中心
