2021年6月29日，深圳市通过了《深圳经济特区数据条例》，自2022年1月1日起施行；

2021年7月10日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》的通知，数据安全纳入网络安全审查；

2021年8月12日，工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》；

2021年8月20日，《个人信息保护法》正式颁布，并于2021年11月1日开始正式实施。

如此密集的法规发布，可见数据安全已经成为所有企业和机构需要直面的问题。今日起，《数据安全法》将正式实施，《数据安全法》对于企业在数据传输、存储、流转、销毁等处理活动进行了相关规定，我们总结了几点容易被忽视、可能引起违法的问题。

“第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。”

“第三十条　重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。”

“第三十一条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

向境外提供数据的情形包括在境外开展数据处理活动使用境内数据、提供属于管制物项的数据、提供关键信息基础设施数据、向境外执法需要提供数据，均需要进行相关的评估，在获得国家有关部门的允许后才可开展。

“第三十三条　从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。”

数据提供方应说明数据的来源，身份有效且数据来源合法才可进行交易，对于交易应留存相关记录，交易协议中应说明数据使用的目的、范围、时间等关键要素。

面对如何严格的法律要求，企事业单位应如何应对？

数据安全合规需要法务、IT、安全和业务等部门的共同参与、共同决策，仅靠单一部门将无法开展，必要时可聘请安全领域专家共同参与。组织明确后，方可进行建章立制的工作。管理制度应进行体系化制定和管理，要具有可执行性。管制制度包括认责机制、数据安全各场景、各角色要求、分类分级、数据目录等。

排查违规，加强审计

本文作者：云鼎实验室

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/165598.html