NEWS
2023年国家网络安全宣传周于9月11日至17日在全国范围内统一开展。以“网络安全为人民,网络安全靠人民”为主题,将聚焦人民群众高度关注的关键信息基础设施防护、个人信息保护、数据安全治理、电信网络诈骗等问题,针对性地开展宣传活动,推动全社会网络安全意识和技能的提升。
随着网络技术的逐步成熟,数字生活已经成为世界的常态。然而不断推出的法规政策、层出不穷的网络安全处罚事件,也提醒我们在高效便利的数字时代的背面,数据泄露的阴影也在急速扩张。借着此次网络安全周的契机,一起聊聊安全。
01 相关法律法规
《中华人民共和国网络安全法》
2016年11月由全国人大常委会发布,是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。是我国网络安全的“基本法”。
《中华人民共和国密码法》
2019年10月由全国人大常委会发布,规范密码应用和管理,促进密码事业发展,保障网络与信息安全。
《中华人民共和国数据安全法》
2021年6月由全国人大常委会发布,是我国数据领域的基础性法律,也是国家安全领域的一部重要法律。提出建立数据分类分级保护制度、数据安全应急处置机制、数据安全审查制度、数据安全出口管制、数据投资贸易反制措施。提出开展数据活动必须履行数据安全保护义务。并明确数据安全相关法律责任。
《关键信息基础设施安全保护条例》
2021年7月由国务院发布,这是我国首部专门针对关键信息基础设施安全保护工作的行政法规。明确了国家网信部门的统筹协调职责,将进一步增强关键信息基础设施保护工作的系统性、整体性和协同性,有利于筑牢国家网络安全屏障,为经济社会发展和人民群众福祉提供安全保障。
《中华人民共和国个人信息保护法》
2021年8月由全国人大常委会发布,规范个人信息处理活动,构建了以“告知-知情-同意”为核心的个人信息处理规则,明确了敏感个人信息的认定与保护规则,明确了个人在个人信息处理活动中的权利。
《数据出境安全评估办法》
2022年1月由网信办发布,明确了适用对象、规定应当申报数据出境安全评估的情形、提出了数据出境安全评估的具体要求。
02数据安全
● 2022年,国家计算机病毒应急处理中心和360联合发布了关于西北工业大学遭受境外网络攻击的调查报告。调查发现,攻击源头是美国国家安全局(NSA)下属的特定入侵行动办公室(TAO),对方疑似窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
● 2023年,某企业员工张某在其离职时违反了公司的源代码保密规定带走了研发数据,后通过销售源代码相似度高达90%的软件产品,获利共计人民币 430 余万元。经司法机关裁定,张某犯侵犯商业秘密罪,依法判处有期徒刑3年9个月。
● 2023年,南昌公安网安部门工作发现,南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖。依据《数据安全法》对该学校作出责令改正、警告并处80万元人民币罚款的处罚,对主要责任人作出人民币5万元罚款的处罚。
数据安全是指采取必要措施,确保数据在收集、存储、使用、加工、传输、提供、公开等环节中,处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
常见的数据安全威胁通常包括:
>> 数据窃取或泄露:黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等;
>> 数据损毁:违规篡改、破坏、丢失等;
>> 数据非法利用:滥用大数据技术进行分析挖掘、任意共享或发布、买卖等;
>> 数据非法出境:赴国外上市的公司,被要求提供审计细节、工作底稿等;
对于这些数据安全威胁,数据处理的主体单位应该根据国家《数据安全法》的规定要求进行数据分级工作,即根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据分为一般数据、重要数据 、核心数据共三个级别,再进行数据安全防护和统一管理。
>>>对于普通企业即一般数据处理者,可以通过数据安全技术手段,进行备份、加密、访问控制等操作,加强数据安全应急处置机制、申报网络安全申查。
>>>对于掌握大量个人隐私数据的平台运营者,应该建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
>>> 对于关键基础设施这样的重要数据处理者,必须明确数据安全负责人,成立数据安全管理机构;制定数据安全培训计划,组织开展全员数据安全教育培训;采购安全可信的网络产品和服务,并每年开展一次数据安全评估。
数据安全为人民,数据安全靠人民!网络安全,事关你我。通过建立更加成熟可靠的安全体系,我们才能拥抱更美好的数字生活,探索更广阔的网络世界。
扫一扫,加我微信