随着社会的进步和科技的发展,数据已经成为我国实现经济转型升级的重要基础生产要素之一,数据经济成为社会经济发展 新动力,数据安全威胁持续升级。《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》已于 2021 年先后颁布实施,分别明确了开展数据处理活动及个人信息处理活动应当履行的安全保护义务和承担社会责任,但配套的相关标准不够成熟完 善。
因此,亟需制定广州市地方标准《网络数据安全管理指南》,提出与法律要求有衔接且更具有操作性和一致性的工作指引,贯彻落实网络数据安全及个人信息保护相关法律法规要求,全面指导数据处理者开展网络数据安全建设,提高广州整体数据安全保障能力。
通过制定本标准,提出与法律要求有衔接且更具有操作性和一致性的安全要求,一是贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求;二是指导数据处理者开展网络数据安全的建设和评估工作;三是为行业主管、监管部门规范开展网络数据安全监管工作提供标准化指导。
本标准遵循国家政策法规和标准规范,对数据安全要求进行分解和细化,并结合最佳实践提出与法律要求有衔接且更具有操作性和一致性的安全要求,具有较强操作指导作用,意义重大。
- 一是有利于推动建立健全网络数据安全治理体系,提高数据安全保障能力;
- 二是有利于将数据安全与网络安全要求有效衔接,实现数据安全与网络安全防护体系有机融合和整体防护;
- 三是一致性的安全要求为数据处理者、数据安全服务机构等协同开展数据安全工作提供基础,有利于促进广州数据安全产业发展;
- 四是将进一步规范网络数据安全的监督管理工作,有利于平衡数据安全、个人信息保护与数据开发利用之间的关系。
标准明确网络数据安全建设应包括管理机制、通用安全、数据处理活动安全和个人信息保护等内容,涵盖数据安全的基本保护要求(一般数据安全要求)、重要数据保护扩展要求和个人信息的一般个人信息保护要求和敏感个人信息保护要求等。
重要数据保护应同时满足基本保护要求和重要数据扩展要求;核心数据应在重要数据保护的基础上依照有关规定从严保护;个人信息保护应同时满足数据安全的基本保护要求,达到重要数据管理条件的还应同时满足重要数据保护扩展要求。
框架结构图见图1。
其主要内容包括以下:
- 管理机制:围绕数据安全策略、数据安全管理组织、数据安全管理制度体系、数据安全人员管理、教育培训、数据合作方管理、第三方应用管理、数据安全管理认证和举报、投诉受理处置等方面,建立完善符合法律法规、相关标准规范的安全管理机制。
- 通用安全:围绕数据分类分级、数据安全评估、数据访问控制、数据接口安全、数据防泄露管理、数据脱敏、数据安全审计、数据安全风险监测预警、数据安全应急处置、密码安全管理、网络安全等级保护等方面落实基础安全管理措施。
- 数据处理活动安全:围绕数据的收集、存储、使用、加 工、传输、提供、公开、删除与销毁等数据处理活动,开展数据安全管理,落实技术保护措施。
- 个人信息保护:围绕个人信息保护管理机制、个人信息 处理要求、个人信息主体权利等方面规范保护要求,落实个人信息保护措施。
广州市市场监督管理局于2024年4月23日印发通知,广州市地方标准《网络数据安全管理指南》已完成起草,现公开征求意见。如有修改意见或建议,请于2024年5月25日前将《广州市地方标准征求意见表》通过电子邮件或书面反馈至联系单位,在提交反馈意见时,将相关专利连同支持性文件一并附上。
联系单位:广州市信息安全测评中心
联 系 人:曾剑锋
联系电话:38905279
电子邮箱:zengjf@gz.gov.cn
地 址:广州市天河区天阳路132号首层
邮 编:510635
下载附件:
- 《网络数据安全管理指南》(征求意见稿).pdf
- 《网络数据安全管理指南》编制说明.pdf
- 广州市地方标准征求意见表.doc