维护数据安全,就必须加强数据安全的制度保障,对数据采集、整理、存储、使用、维护、更新、销毁等一切与数据相关的活动进行法律和制度规范。
(一)制定数据安全法律法规
2016年,《中华人民共和国网络安全法》颁布,随之将配套产生《数据安全管理办法》《网络安全审查办法》《儿童个人信息网络保护规定》等,这与之前已发布的《信息安全等级保护管理办法》《个人信息安全管理规范》《中央企业商业秘密保护暂行规定》等将共同构成数据安全的法律法规体系。2019年,我国第一部地方性大数据安全法规《贵州省大数据安全保障条例》正式施行。尽管国家和部分省市出台了大数据相关领域的法律法规,但相关法律法规仍不能满足大数据时代快速发展的安全需求。
因此,加强大数据安全制度保障,当务之急仍是持续推进大数据安全立法工作,逐步建立起完整的法制体系。一方面,要尽快明确数据所有者、管理者和运营者的法律责任与义务,制定可操作的实施规则,指导政府部门、各行业领域有效地开展大数据的安全保护工作;另一方面,要做到对数据的全生命周期各个环节进行规范管理,明确使用数据的合法性,避免数据泄露和数据资源滥用,完善对国家机密、商业秘密、个人隐私的保护。
知识拓展:主要国家的数据保护法律法规
美国、欧盟、澳大利亚、俄罗斯、新加坡等国家和地区已制定或发布了数据保护相关法律法规。总结起来,这些国家和地区的数据保护法律法规主要分为两类:一是制定专门的数据保护法律法规,并明确相应的数据安全管理部门,如欧盟、俄罗斯、新加坡等。其中,俄罗斯制定了《个人数据保护法案》,主要监管部门是俄罗斯电信、信息技术和大众传媒联邦监管局(Roskomnadzor)。新加坡制定了《个人数据保护法令》(PDPA),由个人数据保护委员会(PDPC)负责PDPA的制定和实施。二是数据保护的相关要求分散地体现在本国各项法律法规及部门规章的相关条款中,但尚未颁布数据保护的专门法律法规,也未设置相应的管理部门,如美国、澳大利亚、日本等。
表11 主要国家的数据保护法律法规
(二)完善数据安全管理制度(www.xing528.com)
在整个数据安全管理的过程中,数据的内部安全管理制度构建是至关重要的。具体讲,一是要建立完善数据的分级分类制度。根据数据价值,对其进行分级分类,确认敏感程度,赋予不同用户的使用级别。数据只有进行有效划分后,才能在数据的安全管理上采用分级措施,使数据在共享使用和安全使用之间获得相对平衡。二是要建立完善的数据访问控制策略。针对数据使用的不同人群和不同领域,建立不同的数据使用原则和控制策略,以防止错位或越权使用。三是建立完善数据安全风险应急响应机制。目前的数据安全体系通常都嵌入了相应的防御机制,但仍然满足不了需求。因此,要达到数据安全防范的专业水准,就必须建立完善的应急响应机制,对安全攻击事件及时准确地进行反馈。
知识拓展:数据安全管理规范体系建设过程介绍
一般情况下,数据安全管理规范体系可分为四个级别。
一级是由决策层确定管理要求、目标及基本原则;二级是由管理层根据一级管理要求制定通用的管理办法、制度及标准。一、二级作为上层的管理要求,应具备科学性、合理性、完善性及普适性。
图28 数据安全管理规范体系建设过程
三级一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范;四级是辅助支持,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。三、四级是对上层管理要求的细化解读,用于指导业务场景的具体工作。
从四川来看,大数据安全的制度体系建设有待加强,缺乏大数据安全防护的顶层制度设计,特别是政府数据的全生命周期安全管理制度还在探索之中,无法满足大数据发展的管理需求。因此,加快建立政府数据的全生命周期安全管理制度,健全大数据安全的制度体系是当前我省大数据工作的重要内容。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
