数据安全法第二十七条「数据安全管理」理解

 

开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

理解

本条第一款主要是要求涉及提供信息网络服务的运营商应当在数据全生命周期履行数据安全保护义务，有关运营主体应该全面制定数据安全管理的管理规范和操作规范，对有关安全管理组织架构、人员配备、行为规范和管理责任进行细化规定，组织相关人员进行内外部培训，积极参与有关专业部门组织的专业资格证书的培训考试（如CISAW证书、CISP-PIP证书、CISSP证书、CIPP系列证书等），强化提高从事数据安全管理人员的专业素质。通过配备相应的软硬件设施保证有关技术措施能够有效实现保护网络安全和数据安全。同时，第一款实现的网络安全等级保护制度与数据安全管理制度的有效衔接意味着提供信息网络服务的主体应该遵循网络安全法第二十一条规定的网络安全等级保护制度。提供网络运营的服务商应严格履行网络安全等级保护义务中的技术类安全要求和管理类安全要求，技术类安全要求主要从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出，通过在信息系统中部署软硬件并正确配置安全功能来实现，而管理类安全要求主要从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理几个方面提出，通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定。有关主体应当注意的是，网络安全等级保护义务的有关内容与数据安全保护义务存在某些层面的重合，但这并不代表其不需要履行本条第一款中规定的数据安全保护义务，有关主体应当在技术层面根据运营实际情况对有关涉及数据安全管理全流程的每个环节进行检视，对没有重合的部分制定有关规范，对通过技术手段实现网络安全管理全流程中的数据安全提供保障，对存在重合的部分，应当在完全履行网络安全等级保护基础上施加数据安全管理规范，落实有关数据安全保护责任。

本条第二款明确规定重要数据处理者应当建立数据安全负责人和管理机构，如上所述，其属于在数据安全保护义务范围下对重要数据保护的特别规定，实质上是对重要数据提出特别安全保护义务，本条的适用应当被企业高度重视，企业应当建立符合企业管理规定的数据安全负责人和有关管理机构，实现对重要数据的特别保护，严格落实数据安全保护义务。

同时，企业在落实“安全负责人”制度时应当进行体系化构建，兼顾网络安全法和个人信息保护法中的有关规定。网络安全法第二十一条规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；个人信息保护法第五十二条第一款也规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督”。对数据安全法第二十七条的落实可以协同网络安全法和个人信息保护法的有关规定，企业在进行合规时应当严格区分有关管理事项，如果实行“一套人马，多块牌子”的管理思路，应当严格论证该思路是否符合上述三部法律的规定以及有关管理事项是否具有可重合性。另外，鉴于数据安全法第四十五条和网络安全法第五十九条都存在对不履行数据安全保护义务或不履行网络安全保护义务的主体规定的法律责任条款，特别对“直接负责的主管人员和其他直接责任人员”规定了严厉的行政责任，因此，企业需要综合考虑安全事项的具体内容、合规风险、职责分配以及相关职业风险的承担方式等内容，以便全盘布局企业的安全负责人制度。

引文《中华人民共和国网络安全法》第二十一条。