2021年6月10日,新华社报道,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。
作为我国数据安全领域的基础性法律,《数据安全法》主要有以下三个特点:一是坚持安全与发展并重。设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键生产要素的数字经济发展;二是加强具体制度与整体治理框架的衔接。从基础定义、数据安全管理、数据分类分级、重要数据出境等方面,进一步加强与《网络安全法》等法律的衔接,完善我国数据治理法律制度建设;三是回应社会关切。加大数据处理违法行为处罚力度,建设重要数据管理、行业自律管理、数据交易管理等制度,回应实践问题及社会关切。
本法一共七章五十五条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。
我们对数安法进行深入解读后,为大家提炼出40个要点。
(一)总则的要点
1.适用范围:在中国境内开展数据活动的组织和个人。
2.定义:定义数据是指任何以电子或者非电子形式对信息的记录。
3.保护要求:釆取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
4.责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。
5.特别的对行业组织提出了制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。
(二)数据安全与发展要点
6.发展原则:国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重。
7.战略要求:省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。
8.标准体系:国家主管部门负责相关标准和体系的制定。
9.评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。
10.人才培养:要釆取多种方式培养数据开发利用技术和数据安全专业人才。
11.特别地,加强了公共服务的要求,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
(三)数据安全制度要点
12.分类分级:国家建立数据分类分级保护制度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
13.风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
14.应急处置:要建立数据安全应急处置机制。
15.安全审查:要建立数据安全审查制度。
16.出口管制:对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权,即我国数据是否在境内,依然受到中国法律的保护。
(四)数据安全保护义务要点
17.管理制度:在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。
18.风险监测:对出现缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件,应当立即采取处置措施,并按规定上报。
19.风险评估:定期开展风险评估并上报风评报告。
20.数据收集:任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
21.数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
22.经营备案:数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。
23.配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。
24.特别的,对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
(五)政务数据安全与开放要点
25.管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。
26.存储加工:委托他人存储、加工或提供政务数据,应当经过严格审批,并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。
27.数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。
28.适用主体:法律、法规授权的具有管理公共事务职能的组织。
(六)法律责任要点
29.不履行规定保护义务:责令改正和警告,给予单位5万至50万元罚款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位50万至200万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。
30.危害国家安全和损害合法权益的:给予200万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。
31.向境外提供重要数据的:由有关主管部门责令改正,给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的,给予100万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予10万至100万元罚款。
32.交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款,最高责令吊销营业执照;对主管和直接责任人1万至10万元罚款。
33.拒不配合数据调取的:由有关主管部门责令改正,给予警告,可以并处5万元至50万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。
34.国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。
35.未经审批向境外提供组织数据的:由有关主管部门给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的,给予100万至500万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予5万至500万元罚款。
36.国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,依法给予处分。
37.窃取或非法获取数据的:依照有关法律、行政法规的规定处罚。
38.给他人造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。
(七)附则要点
39.涉及国家秘密的数据:依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。
40.涉及军事秘密的数据:由中央军事委员会依据本法另行制定。
数安法是继《网络安全法》提出数据的概念后,国家在数据安全立法层面的一个重大里程碑,注定了是中国数字经济高速发展的压舱石和定海神针。
数安法作为数据安全管理的基本大法,给我们指明了方向和提供法律保障。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。
资料来源:
http://ccad.jiangsu.gov.cn/art/2022/8/30/art_80248_10038867.html(江苏省国防动员办公室)
http://www.cac.gov.cn/2021-06/15/c_1625341228851523.htm(国家互联网信息办公室)