【网信普法】专家解读

《中华人民共和国数据安全法》

第二十二条

国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

1条款解读

关 键 词

安全 风险 评估 关联 落实

制度 保护 信息 协调 工作 机制

●核心目的：通过“自上而下”的角度对数据安全风险集中开展治理工作；本条通过“统筹协调”阐释国家对收集和获取数据安全信息并合力进行整合分析的能力；

●法律条款重点“落实”：本条强调的数据安全风险评估、报告、信息共享、监测预警机制是《中华人民共和国国家安全法》规定的风险预防、评估和预警相关制度的数据安全领域的具体落实；（即：《中华人民共和国国家安全法》第四章第三节建立了风险预防、评估和预警的相关制度，规定国家制定完善应对各领域国家安全风险预案等）；

●法律条款重点“关联”：

（一）本条与《中华人民共和国网络安全法》第51条进行关联（即：本条与《中华人民共和国网络安全法》第51条强调国家建立网络安全监测预警和信息通报制度进行关联）；

（二）本条与《中华人民共和国网络安全法》第52条进行关联（即：本条与 《中华人民共和国网络安全法》第52条强调的CII建立健全本行业、本领域的网络安全监测预警、信息通报制度、报送网络安全监测预警等进行关联）；

（三）本条与《中华人民共和国密码法》第17条进行关联（即：本条与《中华人民共和国密码法》第17条强调针对密码的安全监测预警、安全风险评估、信息通报、应急处置、协同联动等）；

●法律条款内部“关联”：本条在强调“国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作”中，与本法第六条进行关联（即：《数据安全法》第六条明确的国家各个层级对数据安全监管职责定位进行关联，统筹协调网路数据安全和相关监管工作，为国家数据安全工作协调机制的建立尊定基础）；

●行政法规重点“关联”：本条与《关键信息基础设施安全保护条例》第23条进行关联（即：本条与《关键信息基础设施安全保护条例》第23条强调的国家网信部门统筹协调有关部门建立网络安全信息共享机制、网络安全信息共享等进行关联）；

●部门规章重点“关联”：

（一）本条与《国家网络安全事件应急预案》中的“3.1预警分级”进行关联（即：本条前半部分与《国家网络安全事件应急预案》3.1中划分的网络安全事件预警等级进行关联（红色——特别重大、橙色——重大、黄色——较大、蓝色——一般网络安全事件））；

（二）本条与《国家网络安全事件应急预案》中的“3.2 预警监测”进行关联（即：本条前半部分与《国家网络安全事件应急预案》3.2中强调的各单位按照“谁主管谁负责、谁运行谁负责”的要求开展各行业、各省份的网络安全监测工作等）；

（三）本条与《国家网络安全事件应急预案》“3.3 预警研判和发布”进行关联（即：本条后半部分与《国家网络安全事件应急预案》3.3中强调的监管信息研判、预警、预警信息等进行关联）；

●制度衔接角度：本条强调的数据安全风险评估、报告、信息共享、监测预警机制是国家安全制度的组成部分；

●保护阶段角度：体现事前、事中、事后全方位结合。

（一）事前保护义务：本条提到的数据安全风险评估、报告和信息共享构成了数据安全保护的事前保护义务；

（二）事中保护义务：本条提到的监管预警机制构成了数据安全保护的事中保护义务；

（三）事后保护义务：本条虽未明确提到事后保护的应急处置机制，但通过本条强调事前的评估、事中的监测预警实际都为事后保护的应急处置建立提供了支撑；

●数据风险信息：

（一）来源分类：自主监测信息和外部情报信息；

（二）类型分类：安全事件信息、威胁信息、漏洞信息、态势感知信息等；

●数据安全监管机制：指基于数据安全风险信息的信息源，通过采用各种技术手段持续动态地监测风险与恶意行为，由及时提供警告的机构、制度、网络、举措等共同组成的机制，其作用在于能够促进实现提前反馈，及时布防，防止或者减少风险发生的可能性，最大限度地消除或降低事故发生的概率。

2风险洞察

政务数据安全风险

共性问题

（一）客观性：政务数据安全风险的客观性是对其进行法律规制的前提。政务数据安全风险并非人们主观臆造的，虽然政务数据安全风险大多发生在虚拟空间，但造成的损失确实客观存在的；

（二）广泛性：政务数据安全风险具有跨时空特性，任何时间、地点都可能发生安全风险。政务数据安全风险具有跨群体因素限制特性，任何年龄、性别、财富等都可能发生风险隐患；

（三）动态性：政务数据安全风险可发生在数据处理活动中的任一环节，并且有可能会产生连带反应，使低风险转变为高风险、原初风险转变为新风险，持续增强数据安全风险的深度及覆盖面。

特性问题

（一）管理部门职责问题：随着技术发展、政府部门的横纵联动及数据的共享，政府部门在收集、汇聚的数据大多都是跨领域、多部门的政务数据，使其在政务数据在“谁采集、谁存储、谁使用”存在部门之间的职责不清晰问题；

（二）政务数据使用权限混乱问题：跨领域的政务数据往往存在于多个部门，在对政务数据使用权限上存在混乱、模糊现象；

（三）全链条的容灾备份问题：政务数据存在单个部门只对自身部门的重要政务数据进行完备的容灾备份机制，对于跨领域、多部门的政务数据缺乏容灾备份意识及机制；

（四）数据共享风险隐患：随着数据共享、多部门联动，让数据多跑路、民众少跑路等要求，必然会导致数据的暴露面增大。因此，高质量的政务数据容易受到攻击者的非法窃取及关联分析，造成的风险是联动的，需加以重视。

（五）数据惠民风险隐患：政务数据惠民是政务数据核心作用之一，但对面向公众的政务数据缺乏使用监管措施和技术手段。

企业数据安全风险

企业数据安全风险侧

（一）攻防角度。针对企业数据和应用的攻击行为愈发激烈，当前无论从企业外部进行攻击或从企业内部产生威胁，即使将数据安全问题上升到法律高度，仍无法有效规避数据被窃取所带来的风险；

（二）技术防护角度。企业往往通过购买安全设备、应用产品、安全服务等实现数据安全防护，主要聚焦在审计、加密、行为控制、备份等能力上，但此类单点购买安全能力的方式属于事后性补救处理，无法真正解决数据安全问题；

（三）内部安全威胁角度。很多企业内部的安全体系是从属位置（即：附属于核心业务），并不受企业负责人的直接关注，更多由安全主管部门或信息化部门管理。当假定以“敌已在内、敌将在内”（包括内部人员）为业务模式时，会导致上级权限开口过大、下级权限过窄的问题，造成权限控制不合理问题；

（四）思想固化问题。重业务、轻安全的思想一直是企业的通病，但随着近些年政策、法规、标准等的出台，监管力度的持续增大，重业务轻安全的思想有所改善，但突如其来的疫情，对企业的经营进行了冲击，使重业务、轻安全的思想又有所起伏，需要在此层面加以重视。

企业数据安全合规侧

（一）管理者与被管理者冲突问题。管控的目的实际是为了削弱冲突的内在张力。但当前企业通过技术控制赋予业务流程、通过基于合规导向的组织控制赋予制度章程，贯穿流程和制度从源头解决冲突与矛盾的能力还亟需提高；

（二）企业数据合规体系化问题。随着国家层面提出“安全与发展”并重的大原则下，安全合规相关政策、法规、标准、指南等持续出台，有些是以网络安全为核心、有些是以数据安全为核心，但网络安全与数据安全又存在着交集，这就导致企业在基于法规要求进行合规建设时，存在无从下手、重复建设、浪费资源等问题，因此，在企业数据合规建设上，缺少以能力为导向的安全合规体系化、全局化、实战化的组件安全模块，满足持续出台的政策标准（即：缺少形成可以迭代的组件安全模块）；

（三）共性与特性的企业数据合规问题。不同的企业的核心业务及战略方向会存在差异，如何结合自身定位及未来战略，将能满足当前与未来的共性合规能力、结合特定场景的合规能力进行区分与拆解，共性应是部分满足现在、重点满足未来的合规能力建设，特性应是重点满足现在、部分满足未来的合规能力建设，将共性与特性进行结合，打造与自身业务深入融合安全合规能力（这里可重点考虑给予数据分类分级的共性，映射场景化的特性，并以此为基础进行安全合规建设）。

个人信息安全风险

个人信息安全风险侧

（一）主动收集默认问题。随着信息收集技术手段的发展，收集个人信息变得更加便捷、更加细化、更加全面，但在技术特征上普遍都采取了“默认主动收集”个人信息，而非“默认关闭状态”或“默认被动收集状态”，因此，默认主动收集状态可能造成过度收集、违背告知-同意原则、非法利用、信息泄露等风险，应默认关闭、按需、按条件开放收集；

（二）社会关系网映射超范围个人信息价值问题。人类的社会发展大致可分为族群、部落、酋邦、国家四个阶段，在四个阶段中，国家被定义为最高级，但从范围的角度来讲，国家形态是小于社会关系形态的，社会的最小单位是家庭，个人又是家庭中的成员，那么个人与个人（包括：境内外）、个人与家庭、个人与组织、个人与同频的意识形态、个人与某个空间状态的凝结等，形成了庞大的社会关系网。基于个人的社会关系网恰恰是数字化时代个人信息价值最大体现，人类的贪婪、侥幸、欲望恰恰是人类最大的缺点以及最大的动力源，因此，个人信息处理者为追求利益、追求价值最大化等考量，很有可能会对个人信息进行超范围收集、超范围处理及超范围利用等风险；

（三）个人信息传输风险。现有隐私保护法律法规还需进一步完善、相应个人信息保护技术不完善，个人信息数据在传输过程中容易失去管控，不但可以直接造成海量的个人信息泄露，而且基于大数据多源异构的特点，能够通过对数据集的数据挖掘发现人的行为、习惯、轨迹、状态等隐私信息。

个人信息安全法规侧

（一）维权成本问题。个人信息主体遭到侵犯后，经常会出现由于维权成本高而放弃使用法律维护自身权利（即：法律救济成本高、举证风险成本高（证据））；

（二）管理强制性问题。在我国虽然技术数据出台一些相关的标准、政策、指南、要求，数据与个人信息虽然存在包含与被包含的关系，但个人信息有其独特的社会属性和经济价值。从当前法规上来看，基于个人信息主要还是在指导性的文件上，实施大多取决于主体的配合程度，缺少强制性的要求及措施。

(来源 :CCIA数据安全工作委员会)