认识《数据安全法》


数据安全法是继《网络安全法》提出数据的概念后,国家在数据安全立法层面的一个重大里程碑,注定了是中国数字经济高速发展的压舱石和定海神针。

基础概念

数据,是指任何以电子或者非电子形式对信息的记录。这说明除了《网络安全法》所界定的“网络数据”外,还将“其他方式对信息的记录”纳入了数据范畴。按照这一界定,纸质的档案信息以及其他书面形式对信息所作的记录,也属于数据。 

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

确立的制度

1、明确数据安全监管制约职责

从数据全场景构建数据全监管体系,明确行业主管部门对本行业、本领域的数据安全监管职责;明确国家安全机关、公安机关在职权范围内承担的数据安全监管职责;明确各地区、各部门的主体责任,以全面的数据监管制度和切实可行的数据保护操作规范,落实数据安全保护责任,推动数据安全发展。

2、全局覆盖数据安全风险评估机制

建立数据安全风险评估机制,从源头预警数据安全风险,建立了全场景、集中统一的风险评估、报告、信息共享、检测预警机制,能够识别对经济社会发展产生影响的内外部潜在因素,并在风险识别基础上确立了数据安全应急处置机制,对已知安全风险及时进行应急处置。高效权威的数据安全风险评估机制,最大限度降低了数据安全风险。

3、完善数据分类分级保护制度

数据分类分级通过业务细分、主体明确、数据归类、级别判定等流程加以实现,是数据安全保护的基础,依据不同的数据敏感程度制定了不同的保护策略,通过建立重要数据目录保护制度,保障了重要敏感数据的安全,有助于防控数据风险、保障数据交易、释放数据价值。

4、健全数据交易管理制度

国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。规定了数据交易中介机构为履行审核数据来源和交易双方身份等义务的法律责任,并通过惩戒手段助力数据交易合法合规。

5、强化违法行为处罚力度

通过加大处罚力度,丰富处罚种类,对违法主体加以规制,以更高违法代价改善立法漏洞和数据活动主体的侥幸心理,促使其以良好的内部合规体系进行自我规制。

要点

1、总则的要点

1)适用范围:在中国境内开展数据活动的组织和个人。

2)定义:定义数据是指任何以电子或者其它方式对信息的记录。

3)  保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。

4)  责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。

5)  特别的对行业组织提出了制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。

2、数据安全与发展要点

6)  发展原则:国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重。

7)  战略要求:省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。

8)  标准体系:国家主管部门负责相关标准和体系的制定。

9)  评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。

10) 人才培养:要釆取多种方式培养数据开发利用技术和数据安全专业人才。

11)特别地,加强了公共服务的要求,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

3、数据安全制度要点

12)  分类分级:国家建立数据分类分级保护制度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。

13)  风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

14)  应急处置:要建立数据安全应急处置机制。

15)  安全审查:要建立数据安全审查制度。

16)  出口管制:对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权,即我国数据是否在境内,依然受到中国法律的保护。

4、数据安全保护义务要点

17)  管理制度:在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。

18)  风险监测:对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件,应当立即采取处置措施,并按规定上报。

19)  风险评估:定期开展风险评估并上报风评报告。

20)  数据收集:任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

21)  数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。

22)  经营备案:数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。

23)  配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。

24)  特别的,对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

5、政务数据安全与开放要点

25)  管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。

26) 存储加工:委托他人存储、加工或提供政务数据,应当经过严格审批,并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。

27)  数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。

28)  适用主体:法律、法规授权的具有管理公共事务职能的组织。

6、法律责任要点

29)  不履行规定保护义务:责令改正和警告,给予单位 5 万至 50 万元罚款,给予负责人 1 万至 10 万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位 50 万至 200 万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人 5 万至 20 万元罚款。

30)危害国家安全和损害合法权益的:给予 200 万至 1000 万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。

31)向境外提供重要数据的:由有关主管部门责令改正,给予警告,可以并处 10 万至 100 万元罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。情节严重的,给予 100 万至 1000 万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予 10 万至 100 万元罚款。

32)  交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足 10 万元的给予 10 万至 100 万元罚款,最高责令吊销营业执照;对主管和直接责任人 1 万至 10 万元罚款。

33)  拒不配合数据调取的:由有关主管部门责令改正,给予警告,可以并处 5 万元至 50 万元罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。

34)  国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。

35)未经审批向境外提供组织数据的:由有关主管部门给予警告,可以并处 10 万至 100 万元罚款,对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。造成严重后果的,给予 100 万至 500 万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予 5 万至 500 万元罚款。

36)  国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,依法给予处分。

37)窃取或非法获取数据的:依照有关法律、行政法规的规定处罚。

38)  给他人造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。

7、附则要点

39)  涉及国家秘密的数据:依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。

40)  涉及军事秘密的数据:由中央军事委员会依据本法另行制定。

全文

请参考数据安全法全文——《数据安全法》


最近更新于 2022-05-22 猿小六2022-05-19 发布, 已阅 139 次。