¿Por qué la Ley de Seguridad de Datos prevé decisiones de revisión de seguridad tomadas de conformidad con la ley?

Historia legislativa de la Ley de Seguridad de Datos El 28 de junio de 2020, la vigésima reunión del Comité Permanente del XIII Congreso Nacional del Pueblo llevó a cabo su primera revisión de la Ley de Seguridad de Datos (Proyecto). El 29 de abril de 2021, el Congreso Nacional Popular de China anunció el segundo borrador de revisión de la Ley de Seguridad de Datos (Proyecto). Lo más destacado del segundo borrador de revisión es que el sistema de clasificación y clasificación de datos se utiliza como el sistema central básico de seguridad de datos, fortaleciendo el papel básico de la seguridad equitativa, proponiendo requisitos claros para los líderes de seguridad de datos y las agencias de gestión, y aclarando los requisitos. para los operadores de infraestructura de información crítica Obligaciones y responsabilidades en la extracción de datos importantes, se han ajustado los requisitos de calificación para los servicios de procesamiento de datos, se ha fortalecido la supervisión de los datos proporcionados por instituciones judiciales relacionadas con el extranjero y se ha reforzado la responsabilidad legal por incumplimiento Las obligaciones de protección de la seguridad de los datos y la negativa a cooperar con la recuperación de datos se han incrementado significativamente.

En comparación con el segundo borrador, los principales aspectos destacados y cambios en el tercer borrador final son: aclara las responsabilidades y los mecanismos de cooperación de las agencias estatales en la gestión de la seguridad de los datos, enfatiza la protección clave de los datos importantes y enfatiza Mejora la aplicabilidad de los servicios públicos inteligentes para las personas mayores, mejora la seguridad de los datos gubernamentales y aumenta aún más las sanciones por actividades ilegales.

Interpretación de las disposiciones clave del Capítulo 1 de la "Ley de Seguridad de Datos", Artículo 5 La agencia central de liderazgo en seguridad nacional es responsable de la toma de decisiones y la coordinación del trabajo nacional de seguridad de datos, e investiga, formula y orienta la implementación de estrategias nacionales de seguridad de datos y políticas importantes relacionadas, coordina los principales problemas nacionales de seguridad de datos y el trabajo importante, y establece un mecanismo nacional de coordinación del trabajo de seguridad de datos.

Capítulo 1 Artículo 6 Cada región y departamento será responsable de los datos recopilados y generados durante el trabajo de la región y departamento y su seguridad. Los departamentos competentes, como los de industria, telecomunicaciones, transporte, finanzas, recursos naturales, salud, educación, ciencia y tecnología, son responsables de la supervisión de la seguridad de los datos en sus propias industrias y campos.

Los organismos de seguridad pública y los organismos de seguridad nacional asumirán responsabilidades de supervisión de la seguridad de los datos dentro de sus respectivos ámbitos de funciones de conformidad con lo dispuesto en esta Ley y las leyes y reglamentos administrativos pertinentes.

El departamento nacional de ciberseguridad e informatización será responsable de coordinar la seguridad de los datos de la red y el trabajo de supervisión relacionado de conformidad con esta Ley y las leyes y reglamentos administrativos pertinentes.

Como ley especializada de más alto nivel en el campo de la seguridad de datos, la "Ley de Seguridad de Datos", junto con la "Ley de Seguridad de Redes" que entró en vigor en 2007, 438+0 el 65 de junio, 2065, complementa la "Ley de Seguridad Nacional" 》El sistema legal de gobernanza de seguridad bajo el marco ha garantizado de manera más integral la base legal para la seguridad nacional en diversas industrias y campos.

En lo que respecta a las agencias reguladoras, incluyen agencias de seguridad nacional, agencias de seguridad pública, departamentos de información de redes y departamentos de industria, telecomunicaciones, transporte, finanzas y otros departamentos competentes. Todos tienen derecho a supervisar y gestionar la seguridad de los datos dentro de su respectivo ámbito de autoridad. Por tanto, la Ley de Seguridad de Datos continúa el sistema regulatorio multinivel de "un eje y dos alas" desde que entró en vigor la Ley de Ciberseguridad. El “eje único” se refiere a las agencias de seguridad nacional, y las dos alas se refieren a las agencias de seguridad pública y los departamentos de ciberseguridad e informatización. El alcance horizontal multinivel de la industria se refleja principalmente en la participación de las autoridades de la industria, las telecomunicaciones, el transporte, las finanzas y otras autoridades de la industria. En términos de estructura administrativa, se refleja principalmente en la gestión de seguridad de los datos recopilados y generados por varias regiones. y departamentos.

Capítulo 1, Artículo 10 Las organizaciones industriales relevantes formularán códigos de conducta de seguridad de datos y estándares de grupo de acuerdo con la ley de acuerdo con los estatutos, fortalecerán la autodisciplina de la industria, guiarán a los miembros para fortalecer la protección de la seguridad de los datos, mejorar los niveles de protección de la seguridad de los datos y promover el desarrollo de la salud de la industria.

¿Capítulo 2, artículo 16? El Estado promueve el desarrollo de pruebas, evaluaciones, certificaciones y otras industrias de servicios de seguridad de datos, y apoya las pruebas, evaluaciones, certificaciones y otras instituciones profesionales de seguridad de datos para llevar a cabo actividades de servicios de acuerdo con la ley.

Capítulo 2 Artículo 17 El Estado promueve la construcción de tecnologías de desarrollo y utilización de datos y sistemas estándar de seguridad de datos. El departamento administrativo de normalización del Consejo de Estado y los departamentos pertinentes del Consejo de Estado organizarán, de acuerdo con sus respectivas responsabilidades, la formulación y revisión oportuna de las normas pertinentes para el desarrollo y utilización de datos, tecnologías, productos y seguridad de los datos. El Estado apoya a empresas, grupos sociales e instituciones de investigación científica y educativa para que participen en la formulación de normas.

En el contexto del rápido desarrollo de la tecnología de seguridad de datos, los requisitos legislativos no pueden seguir el ritmo del desarrollo de la tecnología. La ley ha reconocido plenamente el papel de las asociaciones industriales, las instituciones profesionales de evaluación y certificación y las organizaciones de estandarización en la promoción del desarrollo tecnológico, la mejora del cumplimiento y el logro de la autodisciplina de la industria.

Para mantenerse al día con los últimos desarrollos en la industria y participar en liderar la dirección de desarrollo de la industria, se recomienda que los participantes del mercado se unan activamente a asociaciones u organizaciones industriales relevantes, participen activamente en discusiones sobre la industria. estándares, y compartir activamente las exploraciones de las empresas en la experiencia práctica de construcción de cumplimiento de seguridad y promover la construcción de cumplimiento interno dentro de la empresa en tiempo real con base en las mejores prácticas de la industria. Las asociaciones industriales también pueden servir como un medio importante para transmitir los problemas comunes que enfrenta la industria y los últimos avances tecnológicos, y formar activamente buenas interacciones con la supervisión.

En términos de evaluación y certificación, las instituciones profesionales pueden ayudar a los recién llegados a aclarar las obligaciones de cumplimiento, anclar riesgos potenciales y proponer soluciones específicas basadas en su profundo conocimiento de la industria y su rica experiencia acumulada durante el proceso de consultoría. Los planes y medidas de mejora del cumplimiento ayudan a las empresas relevantes a reducir los riesgos de cumplimiento.

Capítulo 2 Artículo 15 El Estado apoya el desarrollo y utilización de datos para mejorar el nivel de inteligencia en los servicios públicos. Al proporcionar servicios públicos inteligentes, debemos tener plenamente en cuenta las necesidades de las personas mayores y discapacitadas y evitar poner obstáculos en su vida diaria.

Durante la epidemia, las aplicaciones de servicios públicos basadas en big data se han promovido rápidamente y la profundidad de la participación en la vida personal también ha aumentado sin precedentes.

Sin embargo, grupos como los ancianos y los discapacitados visuales están pasando apuros porque no pueden utilizar los teléfonos inteligentes para realizar pagos, concertar citas y otras operaciones. Después de que la aplicación de la inteligencia de prevención de epidemias se ajuste rápidamente de acuerdo con las necesidades de la epidemia, una gran cantidad de otras aplicaciones estrechamente relacionadas con la vida aún pueden excluir a algunas personas de la vida inteligente y digital. La ley de seguridad de datos incluye servicios públicos inteligentes que satisfacen las necesidades de las personas mayores y discapacitadas en el ámbito del apoyo nacional clave, lo que refleja plenamente la preocupación del país por las necesidades de los grupos vulnerables.

Capítulo 3, Artículo 21: El Estado establece un sistema de clasificación y protección jerárquica de los datos en función de la importancia de los datos en el desarrollo económico y social, y una vez que sean manipulados, destruidos, filtrados u obtenidos ilegalmente. o utilizados, el Estado deberá proteger los datos en función del grado de daño a la seguridad, los intereses públicos o los derechos e intereses legítimos de individuos y organizaciones. El mecanismo nacional de coordinación de seguridad de datos coordina a los departamentos pertinentes para formular catálogos de datos importantes y fortalecer la protección de datos importantes.

Los datos relacionados con la seguridad nacional, el sustento de la economía nacional, el sustento de personas importantes y los principales intereses públicos son datos básicos nacionales y están sujetos a un sistema de gestión más estricto.

Cada región y cada departamento debe determinar el catálogo específico de datos importantes en la región, departamento e industrias y campos relacionados de acuerdo con la clasificación de datos y el sistema de protección jerárquica, y llevar a cabo una protección clave para los datos enumerados. en el catálogo.

El artículo 21 de la "Ley de Seguridad de Redes" propone por primera vez un sistema de clasificación y protección jerárquica de datos. La "Ley de Seguridad de Datos" aclara aún más las funciones de los departamentos pertinentes en la clasificación y protección jerárquica de los datos importantes. protección. Los principios de la "Ley de Seguridad de Datos" estipulan que la base para la clasificación y clasificación de datos es su importancia en el desarrollo económico y social y el grado de daño si son manipulados o filtrados. Dado que las reglas y consideraciones específicas para la clasificación y calificación de datos varían mucho en diferentes industrias y regiones, la Ley de Seguridad de Datos delega la autoridad para formular catálogos específicos de datos importantes y sistemas específicos de clasificación y protección de calificaciones a las autoridades industriales regionales y agencias nacionales, equilibrando completamente la Universalidad y flexibilidad de las disposiciones legales. Para los participantes del mercado, se recomienda que primero presten atención a la "Clasificación de datos de la industria (prueba)", el "Método de clasificación y calificación de datos empresariales de telecomunicaciones básicos" (YD/T 3813-2020) y las "Especificaciones técnicas de protección de la información financiera personal". (JR/T0171-2020) .