近日,江苏省公安厅出台《江苏省公安机关依据(数据安全法)(关键信息基础设施安全保护条例)实施行政处罚的违法行为名称及适用条款》(简称《条款》)。《条款》提出哪些具体内容,对应哪些安全建设能力?美创科技高级数据安全咨询顾问对此进行详细解读。
01
《条款》颁发的核心目的
《江苏省公安机关依据(数据安全法)(关键信息基础设施安全保护条例)实施行政处罚的违法行为名称及适用条款》(以下简称“此条款”),通过对此条款的命名可以看出,此条款更多是通过对《数据安全法》、《关键信息基础设施安全保护条例》要求的内容,进一步厘清江苏省公安厅职责定位,规范公安机关实施行政处罚的违法行为名称和适用条件,并通过行政处罚的手段,提升约束力度,推动江苏省《数据安全法》和《关键信息基础设施安全保护条例》落地实施,加强各行业、各领域针对重要数据和关键信息基础设施安全防御能力提升,为迎合国家数字经济大方向保驾护航。
通过此条款的衍生我们可以看出,更加强调了对重要数据、重要信息、重要基础设施的行政处罚力度。同时,基于《数据安全法》明确了5种违法行为具备行政执法权力(包括:不履行数据安全保护义务层面、数据跨境传输层面、职责履行层面、非法获取层面);基于《关键信息基础设施安全保护条例》明确了4种违法行为具备行政执法权力(包括:网络安全保护义务履行层面、威胁上报层面、义务履行层面、活动开展层面)。
单从此条款角度来看,实际更多的还是为江苏省积极推动《数据安全法》、《关键信息基础设施安全保护条例》贯彻实施。所以,本文认为更应该基于《数据安全法》、《关键信息基础设施安全保护条例》的要求,重点关注明确出的违法行为具备的行政执法权力【1】的角度,针对性的进行安全防御能力建设。这里需要强调一点,《关键信息基础设施安全保护条例 》是建立在《网络安全等级保护基本要求》基础之上实行的重点保护,也就是说满足《网络安全等级保护基本要求》是前提。所以,在进行安全防御能力建设中也需要考虑到等保合规要求。
02
细谈对应安全能力
接下我们通过明确的违法行为来对应建设安全能力:
(1) 开展数据处理活动的组织和个人不履行数据安全保护义务;
关键词:数据处理;活动;保护;
对应建设思考:结合此违法行为来看,实际这里强调需要保障义务主体正常开展数据处理活动的前提下,建立数据安全保护能力,这里提到两个动作(处理与活动),可对应到如何保障数据无边无际流动的前提下建立防御能力。本文认为,从此角度来看,需要“数据水印”技术保障开展数据处理活动的数据可追溯、需要“数据脱敏技术”保障数据处理活动开展时敏感数据的安全性、需要“流动管控”技术保障开展数据处理活动的管控能力。——对应美创产品(数据水印、数据脱敏、数据流动管控)
(2)非法向境外提供重要数据;未经批准向外国司法或者执法机构提供境内数据。
关键词:重要数据;境外;批准;
对应建设思考:结合此违法行为来看,涉及重要数据和跨境传输的行为,本文认为,基于此应该从两方面进行考虑:一是义务主体哪些为重要数据(对应“数据资产梳理”、“数据分类分级”);二是限制重要数据不能发生跨境动作(对应“数据权限控制”)。通过数据资产梳理了解自身家底、摸清自身现状,结合《网络数据安全管理条例(征求意见稿)》对数据分类分级的维度划分(一般数据、重要数据、核心数据)往下进行延展,并规避过多的数据分级,避免级别越多极差越小的现象,在基于此建立权限控制,保护数据安全。——对应美创产品(数据资产管理平台、数据安全治理服务)
(3)拒不配合公安机关调取数据;关键信息基础设施运营者拒不配合公安机关开展检查检测。
关键词:配合;调取;
对应建设思考:结合此违法行为来看,本文认为应该从逆向的角度去看待此行为,公安机关需要调取某些义务主体的数据是有原因的(公安机关应该调取谁?)角度来看,应该帮助公安机关在监管职责不便的情况下进行收敛,锁定范围、明确范围进行调取。因此,可提升监管决策的能力帮助锁定范围、确定目标。——对应美创产品(监管决策系统(港口衍生))
(4)窃取或者以其他非法方式获取数据。
关键词:窃取;非法方式;
对应建设思考:结合此违法行为来看,更多的还是对外部威胁的安全防护,一是可以通过加固安全防御建立应对外部威胁的防御能力;二是自身建立安全审计能力,对行为进行记录;三是基于《GB/T 39786-2021 信息安全技术信息系统密码应用基本要求》对涉及重要数据、重要信息系统植入密码技术;四是围绕“零信任2.0知白守黑”理念,确定外部访问是否为正常行为等。——对应美创产品(数据防火墙、堡垒机、诺亚防勒索、数据库透明加密)
(5)从事危害关键信息基础设施网络安全活动。
关键词:危害;关基;活动;
对应建设思考:结合此违法行为来看,更多强调还是对外部威胁的发现,基于此角度,一是我们可以通过美创数据库防火墙,基于数据通讯协议解析进行防护的同时,精准定位、精准阻断、精准处理;二是可以基于美创数据库安全审计系统,通过深度解析网络流量中的数据库协议还原数据库操作行为,实现监控和记录发现外部威胁攻击行为。三是可以基于美创诺亚防勒索系统,以“知白守黑”为理念,为正常即为威胁,判定威胁行为。——对应美创产品(数据库防火墙、数据库安全审计、诺亚防勒索系统)
03
《条款》解读总结
通过此条款是为了推动江苏省《数据安全法》和《关键信息基础设施安全保护条例》落地实施,基于《数据安全法》和《关键信息基础设施安全保护条例》,明确了对应此条款的违法行为具备的行政执法权力角度出发,映射防御能力及安全产品对应,并将数据流动、数据分类分级、辅助公安机关范围收敛、外部威胁防护、外部威胁发现对应相关违法行为,进行防御能力强化。
【1】诠释
对《数据安全法》中5种违法行为具备行政执法权力:
1)开展数据处理活动的组织和个人不履行数据安全保护义务。
●(注:主体(组织、个人)在发生“数据处理动作”时是否履行义务,更多体现是对义务主体的约束,如在处理活动中涉及到个人信息,还需建立在“告知——同意”的原则上进行处理)。
2)非法向境外提供重要数据。
●(注:发生的动作主体在境内,并向境外携带我国重要数据发生了跨境动作的行为,未经网信办评估同意基础上就发生了跨境行为会受到此条例的行政处罚。)
3)拒不配合公安机关调取数据。
●(注:义务主体(如:数据处理者、互联网平台运营者等)需要全力配合公安机关开展相关工作。)
4)未经批准向国外司法或者执法机构提供境内数据。
●(注:这里没有对数据的程度进行限制,也就说只要是我国境内数据,无论是否为重要数据,都需要建立在“批准”的前提下,才可对国外司法或执法机构提供数据,否则会受到此条款行政处罚。)
5)窃取或者以其他非法方式获取数据
●(注:这里基于非法方式的行为动作,更加落在技术手段上,非法方式(包括:入侵、窃取、篡改、盗用等),只要通过这种方式获取了数据,都会受到此条例的行政处罚。)
《关键信息基础设施安全保护条例》中4种违法行为具备行政执法权力:
关键信息基础设施运营者不履行网络安全保护义务; 关键信息基础设施运营者未按规定报告重大网络安全事件和重大网络安全威胁; 关键信息基础设施运营者拒不配合公安机关开展安全检查检测; 从事危害关键信息基础设施网络安全活动。
