政策丨相关法律法规对数据加密的具体要求
在10项国家级的法律法规、标准中、共9项对数据加密做出了明确且直接的要求,仅仅只有《数据安全法》是借用等级保护要求而隐含的做出了相应要求。工业和信息化、教育、金融、医疗等行业规范也规定了存储和传输数据时需采取加密措施。整体比例达到100%。
一、国家基本法中对数据加密的要求
首先,我们来看由全国人民代表大会常务委员会发布的基本法,这些法律构成了整个数据安全法律体系的基础框架。
第一部分:基本法
《网络安全法》(2017.6.1实施)
【相关条款】第二十一条 网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。采取数据分类、重要数据备份和加密等措施。
【要点】明确了数据分类、备份、加密,以及其他“等”措施。
《数据安全法》(2021.9.1实施)
【相关条款】第二十七条 开展数据处理活动…,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
【要点】该条明确等保要求是基础义务,等保中对数据加密有明确要求。
《密码法》(2020.1.1实施)
【相关条款】第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
【要点】该条明确要求使用商用密码保护关基设施。
《个人信息保护法》(2021.11.1实施)
【相关条款】第五十一条 个人信息处理者应当根据个人信息的处理目的……防止未经授权的访问以及个人信息泄露、篡改、丢失;采取相应的加密、去标识化等安全技术措施。
【要点】该条明确加密、去标识化,其他技术在“等”里面。
在上述四个基本法中,除了《数据安全法》以外,其他三个基本法中都明确指出了对加密的技术要求。特别是在《个人信息保护法》中,甚至将加密的要求放在了第一位。在《数据安全法》中,明确要求在网络安全等级保护制度的基础上,采取相应的技术措施和其他必要措施。这是一个相对笼统的要求,但是从后文中可以看到,等级保护又明确了采用加密技术保护数据的要求。所以,在上述基本法中,全部都明确了对数据加密的保护要求。
二、国家级行政法中对数据加密的要求
接下来,我们将关注由国务院颁布的两个基本条例。
第二部分:国家法规
《关键信息基础设施安全保护条例》(2021.9.1实施)
《网络数据安全管理条例》(2025.1.1起实施)
【相关条款】第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求……采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件。
【要点】明确了数据分类、备份、加密,以及其他“等”措施。
在上述两个基本法中,《关键信息基础设施安全保护条例》没有直接明确技术措施,但是明确了在等保基础上,维护数据的保密性,这其实就是指数据的加密保护。而在《网络数据安全管理条例》中,十分明确地指出了加密的要求,而且是放在了第一位,可见其重要性。
三、国家级标准中对数据加密的要求
接下来,我们将查看国家标准中对企业及组织的数据加密要求。
第三部分:国家标准
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》(2019.12.1实施)
【发布机构】全国信息安全标准化技术委员会
《GB/T 41479-2022 信息安全技术网络数据处理安全要求》(2022.11.1实施)
《GB/T 35273-2020 信息安全技术 个人信息安全规范》(2020.10.1实施)
《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》(2020.3.1实施)
【发布机构】全国网络安全标准化技术委员会
【相关条款】第8节 数据存储安全 8.2.2.3等级3 应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求。
【要点】数据存储环节,从第三等级开始对数据加密管理作出要求。在其他环节也有数据加密的要求,限于篇幅不赘述。
在上述四个国标,全部针对不同重要等级的数据,在数据生产、流转、存储的不同环节做出了加密要求。
四、行业规章中对数据加密的要求
最后,我们将审视行业规章与管理办法中对于数据加密的要求。鉴于行业种类繁多且各自规章复杂,本文将仅选取工业和信息化、教育、金融及卫生这四个行业作为示例,进行概括性分析。
第四部分:行业规章
《工业和信息化领域数据安全管理办法(试)》(2022.12.8实施)
【要点】对工业和信息化领域的数据存储和传输做出明确的加密要求。
《关于加强教育系统数据安全工作》的通知(2021.3.15)
【发布机构】教育部等七部门
【相关条款】第二章(三)8.健全个人信息保护制度 …存储传输个人信息应采取加密措施,公开个人信息应采取去标识化处理。
【要点】除了本文件,教育部《关于加强新时代教育管理信息化工作的通知》《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》等政策文件均对密码安全技术作出要求,其规定与本文件类似。
《银行保险机构数据安全管理办法(征)》(2024.3.22)
【发布机构】国家金融监督管理总局
【相关条款】第二十八条 银行保险机构利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键基础设施安全保护、密码保护等制度要求;第四十四条 敏感级及以上数据传输应当采取安全的传输方式,保障数据完整性、保密性、可用性;第四十七条 应当开展数据安全的技术基础设施建设,支持用户身份管理、数据匿名化、行为监测、日志审计、数据虚拟化等功能的组件化、服务化。
【要点】对银行保险机构开展数据处理活动时的数据保密性、匿名性作出要求。数据匿名化、数据虚拟化也是数据加密的处理方式之一。
《中国人民银行业务领域数据安全管理办法(征)》(2023.7.24)
【发布机构】中国人民银行
【相关条款】第十九条 涉及第三层级以上数据项导出使用的风险防范措施,原则上应当优先采取加密、数字水印或者脱敏处理等安全保护措施;第三十三条 应当优先采用商用密码技术对信息系统中第三层级以上数据项实施加密存储,结构化数据项在对数据库文件整体实施加密基础上鼓励进一步采用更细粒度的加密方式,非结构化数据项可仅对拆分的第三层级以上结构化数据项单独实施加密;第三十六条 第三层级以上数据项传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时,应当优先使用商用密码技术保障机密性,并根据业务需要使用商用密码技术加强完整性和抗抵赖性保障。
【要点】对银行的第三层级以上数据,多处做出使用商用密码技术及加密技术的要求。
《医疗卫生机构网络安全管理办法》(2022.08实施)
【发布机构】国家卫健委
【相关条款】第十五条 各医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标准规范,在网络建设过程中同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。第二十二条 采取数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露;在数据分类分级的基础上,进一步明确不同安全级别数据的加密传输要求;选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全;应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等。
【要点】对密码产品、数据脱敏、数据加密、链路加密、传输加密、存储加密均做出明确要求。
综上所述,无论是在国家级法律法规及标准层面,还是在行业级规范与管理办法层面,对于数据加密均提出了明确且严格的要求。
在本文所列举的十项国家级法律法规及标准中,有九项明确规定了加密要求,包括:《网络安全法》《密码法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《网络安全等级保护安全设计技术要求》《网络数据处理安全要求》《 个人信息安全规范》《数据安全能力成熟度模型》,唯一例外的是,《数据安全法》是通过引用等级保护要求来间接规定加密需求。直接规定加密的比例达到90%,间接规定为10%,合计覆盖率达到100%。
在行业级要求方面,本文列出的涉及工业和信息化、金融、教育以及医疗行业的五项行业规章中,全部明确了加密的具体要求,占比同样达到了100%。
结语
加密的要求主要体现在数据存储与传输两个环节。从所有数据安全技术要求来看,对加密的规定也许是最直接且最为严格的。
这些合规要求不仅为新型生产力的高质量发展提供了坚实的法治基础,同时也为数据处理者的数据安全保障工作明确了方向。
来源:数达安全
