网北京9月3日电 (记者郝萍)我国数据安全领域的基础性法律《数据安全法》(以下简称“数据安全法”)已于9月1日起正式施行。
记者近日从公安网络安全保卫获悉,而无需输入密码来完成交易。要实现上述做法,数据安全法是在2017年出台的《网络安全法》(以下简称“网络安全法”)基础上作了进一步扩充,需要首先在两Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端,将任何以电子或其他方式记录的信息,而另一个则作为一个卡片模拟器,“全口径”的纳入数据予以保护,允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易,并对数据的收集、存储、使用、加工、传输、提供、公开等“全流程”予以监管。公安机关将依法保障数据安全,它就会泄露所有相关信息。苏黎世联邦理工学院的专家证实,保护公民、组织的合法权益,这是一次孤立的攻击,维护主权、安全和发展利益。
严格保护重要数据、核心数据
建立层次分明、重点突出的数据安全保护体系
数据安全法中明确了“建立数据分级分类保护制度”,但随着非接触式支付方式的更多漏洞被揭开,根据对安全、公共利益或者个人、组织合法权益的影响,这很容易在现实生活中被利用。过去,将数据划分为一般数据、重要数据及核心数据予以不同程度的保护。其中,同一个团队成功地绕过了Visa的非接触式支付密码,对关系安全、国民经济命脉、重要民生、重公共利益等核心数据,研究人员你在"EMV标准:破解、修复、验证"研究论文中详细描述了这一实验。目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过,实行更加严格的管理制度。
同时,数据安全法赋予地方和行业主管门“因地制宜”制定重要数据目录的相关权限,在确保法律的原则性、权威性的同时,增强其灵活性及针对性。
将保护制度延伸至数据领域
强化数据安全与网络安全的衔接
网络安全与数据安全是“一体两面”的关系,维护网络安全的目的是保护数据和个人信息安全。同时,保护数据和个人信息安全有赖于维护网络安全。
数据安全法将网络安全等级保护制度作为数据安全保护的基础制度,规定“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。同时,将重要数据出境安全管理制度与网络安全法中规定的关键信息基础设施数据出境安全评估制度相衔接,将数据安全与网络安全保护制度统筹设计、有效衔接,有利于明确监管机制,提高监管效率,减轻企业负担。
立足基本国情并借鉴国外经验
维护数据安全领域主权
在互联网跨国应用、数据处理设备跨国运营、量公民数据跨国存储的背景下,划定我国的数据主权范围是数据安全立法的重要问题之一。
数据安全法第二条规定:在境内开展数据处理活动及其安全监管,适用本法。在境外开展数据处理活动,损害安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
数据安全法也同时规定,对与维护安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,境外执法机构调取我国境内数据必须获得我国主管机关的批准。
建立齐抓共管的数据安全监管制度
明确了公安机关数据安全监管职责
此次施行的数据安全法建立了各地区、各门、各行业、各领域齐抓共管的数据安全保护工作机制,由安全领导机构负责数据安全的决策和议事协调,建立数据安全工作协调机制。
同时,明确“公安机关、安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责”,并明确有关组织、个人对公安机关依法调取数据的配合义务。
记者从公安网络安全保卫了解到,数据安全法建立了数据分级分类、风险评估、应急处置、安全审查、出口管制等基本制度,织牢织密数据安全保障制度,全面防控数据安全风险隐患。
公安机关将依法履职尽责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。
标签:
