《网络安全法》 通过规定下述措施,以强化数据安全保障。
《网络安全法》第 21 条构建了网络安全等级保护制度,在保障网络系统安全的组织架构及管理 体系上,《网络安全法》要求制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络 安全保护责任。
在保障网络系统安全的技术体系上,《网络安全法》要求采取包括防范计算机病毒和网络攻击、 网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施。
针对关键信息基础设施的运营者,《网络安全法》在第三章第二节中施加了更多的安全保护义务。 而且,《网络安全法》第 37 条强化对关键信息基础设施运营者数据跨境传输的监管,提出数据本地 化存储及跨境传输安全评估的要求,明确“关键信息基础设施的运营者在中华人民共和国境内运营 中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照 国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其 规定”。
在保障网络数据安全的总体要求上,《网络安全法》第 10 条提出保障网络数据完整性、保密性 和可用性的要求;第 18 条强调了数据利用与数据安全之间的平衡,鼓励开发网络数据安全保护和利 用技术。
在保障网络用户信息安全的管理体系上,《网络安全法》第 40条要求建立健全用户信息保护制度。 在保障网络用户信息安全的技术措施上,《网络安全法》第 40、42 条重点要求对其收集的用户 信息严格保密;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、 丢失。
同时,《网络安全法》第 47 条加强对其用户发布的信息的管理,发现法律、行政法规禁止发布 或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录, 并向有关主管部门报告。
