《数据安全法》促企业等保合规

《数据安全法》的出台，在业界引起了很大反响，相应的解读文章亦有不少，但多聚焦于这部新法的亮点所在。例如，首次从法律层面确定了“数据”的定义、规定了数据分类分级制度、建立数据交易制度、数据出境审批等。由于《数据安全法》将于9月1日开始实施，预留给企业自行合规的时间日益临近，笔者认为，除了从宏观上了解《数据安全法》的新规定、新制度外，大部分企业尤其是大数据企业、互联网企业应更加关心规定、制度的落地。

《数据安全法》规定的数据分类分级制度在强合规企业，如金融、电信、证券期货等领域已经有相应的尝试，但对其他行业，如何分类分级呢？《数据安全法》中的数据跨境，相比《中华人民共和国网络安全法》（以下简称《网络安全法》）更进了一步，只要在境内的重要数据都适用。但跨境的概念，在不同领域概念不同。《数据安全法》中的数据跨境怎么定义？对于跨国企业，该遵守国外的法律，如GDPR、CPRA（CCPA2.0）、Cloud法案，还是《数据安全法》？ 

笔者认为，自2016年欧盟出台GDPR以来，各国便展开了激烈的“数据”之争，虽然各国的模式有所不同，但总体来讲主要有欧盟的“人权基础”、美国的“自由市场+强监管”和我国的“安全+监管”几种模式。等级保护制度算是我国在此领域的独特经验，已有部分国家开始效仿，《数据安全法》最能够落地的方法就是借鉴等保的经验。

因此，《数据安全法》《网络安全法》和我国信息安全行业密不可分，其与信息安全行业存在已久的等级保护制度更是一脉相承，这一点从《数据安全法》本身也能找到答案。《数据安全法》第二十七条规定“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”可见，对于利用互联网等信息网络开展数据处理的企业，必须根据网络安全等级保护制度履行数据安全保护义务。这与《网络安全法》第二十一条的规定类似，只是网络安全法的适用主体为网络运营者。

如上文所述，我国的数据合规基因是“安全+监管”，在《数据安全法》相关配套法规尚未出台之前，企业可先根据自身业务先行启动等级保护的相关工作，以助于《网络安全法》的合规及《数据安全法》《中华人民共和国个人信息保护法（草案）》（以下简称《个人信息保护法（草案）》）正式实施后的合规工作。

在我国信息安全领域内，过去一直存在着“等保”和“分保”的制度，现在又有了“关保”和“个保”。这四者之间既相互联系又各有侧重。

“等保”即网络安全等级保护要求，是我国信息安全保障的一项基本制度，国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。随着2017年《网络安全法》的实施，等保已经从“信息安全等级保护”即“等保1.0”发展到了“网络安全等级保护”即“等保2.0”。一般认为等保2.0是指《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）及其配套标准。

“分保”是指涉密信息系统分级保护，具体指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

“关保”是关键信息基础设施保护，与“等保”的关系最为紧密，二者分别对应了《网络安全法》第三十一条和第二十一条；“关保”是在“等保”的基础上对关键信息基础设施的重点保护。《网络安全法》第三章第二节专节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。目前《信息安全技术关键信息基础设施网络安全保护基本要求（报批稿）》正在审议中，相关试点工作已启动。

“个保”是指个人信息保护，是在上述几个制度的基础上，侧重于对个人信息的保护。目前《个人信息保护法（草案）》正在审议，相应体系有待进一步法律法规的确定。

由于“关保”和“个保”均未有明确的法规出台，笔者在此就不做进一步的比较。

等保安全框架由网络安全战略规划目标统筹，国家网络安全法律法规政策体系与国家网络安全等级保护政策标准体系是其两根支柱。网络安全战略规划目标由总体安全策略具体化。总体安全策略的核心是国家网络安全等级保护制度与网络安全综合防御体系。

国家网络安全等级保护制度由定级备案、安全建设、等级测评、安全整改、监督检查等五个方面构成，具体包括：组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、技术检测、安全可控、队伍建设、教育培训、经费保障等。

网络安全综合防御体系则由风险管理体系、安全管理体系、安全技术体系、网络信任体系共同构成。

具体工作由安全管理中心负责，它统筹管理通信网络、区域边界与计算环境。

而等级保护则是最基础的部分，类似基础设施。等级保护的对象，包括了网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等。

我国等保的发展历程，大致可分为三个阶段。

1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令），首次明确计算机信息系统必须实行等级保护。

1999年，《计算机信息系统安全等级保护划分准则》（GB17859-1999)出台，标志着等级保护划分准则强制性标准出台。

2003年9月，中办国办颁布《关于加强信息安全保障工作的意见》(中办法（2003]27号），明确了等级保护的工作重点，要正确处理发展与安全的关系，以安全保发展，在发展中求安全。

2007年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室会签《信息安全等级保护管理办法》（公通字[2007]43号文件），明确了各自的职责；同一年，《信息安全等级保护备案实施细则》（公信安[2007]1360号）发布。

2008年，《信息安全技术：信息系统安全等级保护基本要求》（GB/T22239-2008）与《信息安全技术：信息系统安全等级保护定级指南》（GB/T22240-2008）发布。

2010年，《信息安全技术：信息系统安全等级保护实施指南》（GB/T25058-2010）与等保1.0《信息安全技术：信息系统安全等级保护安全设计技术要求》（(GB/T25070-2010）发布。

2012年，《信息安全技术：信息系统安全等级保护测评要求》（GB/T28448-2012）与《信息安全技术：信息系统安全等级保护测评过程指南》（GB/T28449-2012）发布。

2017年6月1日，《网络安全法》通过。其中的第21条将等级保护上升到法律高度，标志着等保正式进入2.0阶段，此后相关条例与规范密集出台。

2018年，《网络安全等级保护条例（征求意见稿）》《信息安全技术：网络安全等级保护安全管理中心技术要求》（GB/T36958-2018）《信息安全技术：网络安全等级保护测评机构能力2018年要求和评估规范》（(GB/T36959-2018）《信息安全技术：网络安全等级保护测试评估技术指南》（GB/T36627-2018）《信息安全技术：网络安全等级保护测评过程指南》（GB/T28449-2018）。

2019年，《信息安全技术：网络安全等级保护基本要求》(GB/T22239-2019)《信息安全技术：网络安全等级保护安全设计技术要求》(GB/T25070-2019)《信息安全技术：网络安全等级保护测评要求》(GB/T28448-2019)《信息安全技术：网络安全等级保护实施指南》(GB/T25058-2019)。

2020年，《信息安全技术：网络安全等级保护定级指南》（GB/T22240-2020）。

2021年6月，《数据安全法》通过，拟于2021年9月1日实施。

等级保护的标准是一个完整的体系，其主要分为四个层面。

一是法律层面：有《网络安全法》和刚通过的《数据安全法》；

二是法规层面：有《计算机信息系统安全保护条例》（国务院第147号令)，为等级保护的总要求；若《网络安全等级保护条例（征求意见稿）》通过，将取代《信息安全等级保护管理办法》；

三是总体标准层面：有《计算机信息系统安全保护等级划分准则》（GB 17859-1999），作为上位标准。

四是具体标准层面：有《信息安全技术：网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术：网络安全等级保护安全设计技术要求》（GB/T 25070-2019）、《信息安全技术：网络安全等级保护测评要求》（GB/T 28448-2019）、《信息安全技术：网络安全等级保护实施指南》（GB/T 25058-2019）、《信息安全技术：网络安全等级保护测评过程指南》（GB/T 28449-2018）、《信息安全技术：网络安全等级保护测试评估技术指南》（GB/T 36627-2018）、《信息安全技术：网络安全等级保护测评机构能力要求和评估规范》（GB/T 36959-2018）、《信息安全技术：网络安全等级保护定级指南》（GB/T 22240-2020）等超过30项标准文件。

等保分五级，一级到五级依次升高，可以在下表中看到具体的分级情况，其中二级、三级为最常见的定级区间。因为一级为自主保护，即不需要监管机构的参与，对于企业来讲，亦没有主动合规的动力。通常来讲，定级三级以上，其保护力度接近于关键基础设施的保护力度。而定级为四级以上，一般会涉及公共利益或是国家利益。

等级保护2.0测评的指标根据不同应用场景分为了安全通用要求和安全扩展要求，其中，针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出了安全扩展要求。因此，对于云计算、移动互联、物联网、工业控制、大数据5个领域，其适用“安全通用要求+安全扩展要求”。

具体的安全要求又主要包括技术要求和管理要求两个维度。但等保2.0与等保1.0的分类有所不同，详见表1。

在等保2.0的几个新技术领域中，与“数据”联系最为紧密的就是大数据领域，因此，笔者在此用大数据领域的测评指标作为示例，为各企业《数据安全法》合规提供一些思路。

增加对新技术新应用的风险管控。等保2.0要求充分评估其所采用的云计算、大数据、人工智能、物联网、工控系统和移动互联等新技术、新应用带来的安全风险，并在“通用要求”的基础上，规定了“扩展要求”。

个人信息安全保护。等保2.0中明确了“个人信息保护”的相关管理要求，明确企业应建立并落实个人信息安全保护制度，并在数据生命周期各个环节采取安全保护措施。

安全管理中心（二级以上）。等保2.0明确将“安全管理中心”作为5大技术领域之一，明确“一个中心（安全管理中心）和三重防护（安全通信网络、安全区域边界和安全计算环境）”的思想。

上线检测。等保2.0要求二级以上系统上线运行前，需要对安全性进行测试；三级以上系统上线前，需要对其测评。

本地化存储要求。等保2.0要求三级以上系统应当在境内，若因业务需要，确需进行境外远程技术维护，应当进行安全评估，并采取风险管控措施。因此，三级以上的保护强调从实质上等同于关键信息基础设施的保护要求。

安全自查。等保2.0要求各网络运营者应当每年对自己进行一次自查，发现安全隐患及时整改，并将报告向公安备案。而公安机关对三级以上的系统每年至少开展一次安全检查。

检测预警和事件通报（三级以上）。等保2.0要求三级以上网络的网络运营者应当建立健全网络安全监测预警和信息通报制度，按照规定向同级公安部门报送信息和安全事件。

从等保1.0技术要求的5个方面就可以看出等保和《网络安全法》《数据安全法》的关系，网络安全和数据安全本就是信息安全工作中的一部分，只是随着新技术的发展，网络安全和数据安全的重要程度越加凸显，尤其是随着大数据技术的发展，近年来数据安全事件频发。例如，2020年12月9日，富士康约1200台服务器常规业务文档和报告数据面临泄露；2021年3月5日，英国某数据分析公司的一台未加密服务器暴露了大约30TB的数据，其中包括120亿条与社交媒体相关的数据。数据的重要性与日俱增，已经成为重要的生产要素影响着市场的发展，因此立法机构才在数据权属尚未明确的情况下，出台了《数据安全法》以强调数据安全的重要性，使正在发展的大数据产业能有法可依，寄希望由此能从“无序”走向“有序”。

仔细研究等保的要求可知，无论是《网络安全法》、《数据安全法》，还是尚在审议中的《个人信息保护法（草案）》，其中涉及的安全审查制度、数据分类分级制度、数据跨境审批制度、本地化存储要求等制度，都不是新设的，都在等保中早有体现。因此，笔者认为，《数据安全法》中最为重要的贡献应是第二十六条、第三十六条，能在一定程度上阻断“长臂管辖”和某些国家的无理要求。

当然，《数据安全法》的数据分类分级、国家安全审查、跨境审批制度是否和等保的要求完全一致，尚有待于相关配套的文件出台。但以笔者过去在安全行业的从业经验来看，安全的核心在于建立起相应的安全管理体系、及时发现风险、及时向监管机构报告、及时整改。这是由信息安全行业的特点和技术发展的特点决定的。

综上，无论是出于对《网络安全法》《数据安全法》，还是《个人信息保护法（草案）》的合规需求，无论这几部法律的配套法规文件何时落地，要想驱散笼罩在企业头上的信息安全（包括网络安全、数据安全、个人信息保护等）合规“疑云”，等保2.0或许就是最好的“解药”。企业想要减少信息安全相关的合规风险，就应变被动为主动，尽早启动等级保护工作，与监管机构、法律专家、信息安全机构建立起顺畅的沟通机制。

（特别致谢资深网络安全专家杨天识对本文写作的指导）

（来源：中国工业和信息化）