《数据安全法》解读
本文由由知名安全专家樊山老师解读,本公众号授权发布。
前言
修订说明
中华人民共和国数据安全法
(2021 年 6 月 10 日第十三届全国人民代表大会常务委员会第二十九次会议通过)
第一章 总则
第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织****的合法权益,维护国家主权、安全和发展利益,制定本法。
目的:
⚫ 规范数据处理活动:数据在整个生命周期从数据生产/采集-存储-处理-传输- 交换-销毁六个阶段展开数据安全保护。在本法的第 3 条将数据处理活动定义为:收集、存储、使用、加工、传输、提供、公开
⚫ 数据开发利用活动应建立在遵循国家相关立法基础之上开展相关工作,从而保 护个人、组织、国家利益和权益。
第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或****者公民、组织合法权益的,依法追究法律责任。
适用范围:中华人民共和国境内开展数据处理活动及其安全监管,同时也明确域外损害我国国家安全、公共利益或公民、组织合法权益同样适用于本法。
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具****备保障持续安全状态的能力。
数据的含义:
⚫ 数据从形态而言有电子的(通过电子设备表达的一种形式)、非电子(如记录 在纸、触觉、嗅觉、听觉、视觉所识别到能够表示事物形态的内容)
⚫ 本条款在定义数据处理活动中缺少了对数据销毁阶段的控制活动
⚫ 数据安全中必要措施的目的是确保数据的有效、合法的利用及连续性保障,综 合而言可以概述为数据的保密性(C)、完整性(I)、可用性(A)及可靠性 原则的具体体现。其中综合是建立在技术、管理、工程过程基础之上围绕数据安全生命周期开展其相关保障活动。但是由于数据本身与业务相关的特质,数据安全保护应围绕业务开展具体工作。
第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高****数据安全保障能力。
本法将数据安全工作建立在国家整体安全层面,《中华人民共和国网络安全法》作为我国网络安全工作的基本法,《数据安全法》作为数据领域的相关法律与《中华人民共和 国网络安全法》相辅相成,实现最终数据安全保障能力。
第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
本法明确数据安全工作在国家层面由“中央”一级国家安全领导架构负责,中央国家安全委员会,全称为“中国共产党中央国家安全委员会”,是中国共产党中央委员会下属机构。经由中国共产党第十八届中央委员会第三次全体会议后,于 2013 年 11 月 12 日成立。
中央国家安全委员会由中共中央总书记习近平任主席,中央国家安全委员会作为中共中央关于国家安全工作的决策和议事协调机构,向中央政治局、中央政治局常务委员会负责,统筹协调涉及国家安全的重大事项和重要工作。
依据《中华人民共和国国家安全法》 第二十条规定,从而奠定了数据安全最终的责任机构。本机构在国家层面建立协调机制, 统筹有关国家数据安全的指导工作以及战略制定、政策研究。
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、 本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内 承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相****关监管工作。
本条明确层次化监管职责,各部门、行业主管单位在各自管辖权各司其职,履行监管责任和义务。国家网信部门统筹协调,公安机关承担有关危害公共安全下的数据安全监管 职责、国家安全机关负责危害国家安全行为的数据安全监管工作。本省、市相关主管部门对本省市有关数据安全工作负责,各行业主管单位承担本行业监管职责。
第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据 依法有序自由流动,促进以数据为关键要素的数字经济发展。
本条对公民、法人和其他组织对数据的所有权关系及相关权益建立保障。结合《中华人民 共和国网络安全法》第 4 章相关规定,明确数据所有权、使用权、托管权及使用数据的相 关规定,在合法合规的前提下促进数据的合理有效利用,提升基于数据化的服务水平和能力,保障数据使用的相关活动能够依法有序的自由流动。
第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
个人、组织应该在享有宪法和法律相关的规定的前提下履行义务,在行使自由和权力的前提下所应该遵循相关法律如:刑法、民法典、《中华人民共和国网络安全法》等、法规及道德规范。
**第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,**推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全 社会共同维护数据安全和促进发展的良好环境。
维护数据安全是全社会共同责任,国家支持推动常态化的数据安全相关知识的宣传普及工作,政府有关部门督促管辖范围履行宣传教育职责,科研机构、专业培训教育机构、个人开发、设计、制作宣贯教育内容、各行业组织积极参加培训与教育。从整体提高我国数据安全水平与能力。
第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自****律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
本条强调行业自律工作。行业主体为维护共同利益、促进共同发展而开展行业规范的制订,规范行业行为、协调利益关系,维护公平竞争的自我管理和自我约束行为。共同制定符合本行业的数据安全保护规范和最佳实践。
第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与****数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
数据跨境活动应遵循国家互联网办公室颁布的《个人信息和重要数据出境安全评估办法》 具体开展相关工作。
同时国家积极制定相关标准规范,如:《信息安全技术 数据出境安全评估指南》
第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。
**收到投诉、举报的部门应当及时依法处理。**有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
举报危害数据安全行为是个人与组织的权力和义务,接受举报的主要部门为主管数据安全的有关部门。
接受举报的相关部门应当受理举报并根据举报内容、性质等依法、及时处理。根据《行政许可法》有关对举报的处理有明确时限要求的,应当在规定时限内作出处理并按要求给与回复。
受理举报的有关部门应对举报人及举报内容严格保密,不得泄露。
第二章 数据安全与发展
第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数****据安全保障数据开发利用和产业发展。
本条款关于支持数据安全和产业发展的相关规定数据安全产生的隐私保护及更广义的业务安全的问题迫使我们必须开始关注和重视数据在开发利用和产业发展过程中的数据安全问题。
**第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、**各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要****制定数字经济发展规划。
本条针对数据利用强调大数据战略,鼓励各行业开展大数据相关产业,合理、安全利用大数据。由省级以上人民政府支持数据的安全利用和安全的支撑产业发展作出原则性规定,并通过立法开展数字经济发展规划设计工作。
**第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,**应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
本条着眼于大数据支持下的智能化的发展,此举势必将基于大数据建立的智能化、工业互联网体系推向高潮。而基于利用大数据建立的智能养老、残疾人服务等医疗卫健大数据的应用将获得更有效的法律支持。
第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全****等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
本条通过立法支持有关数据安全技术的研究开发和应用,推广安全可信的网络安全产品和服务,保护数据安全技术知识产权,支持企业、研究机构和高校等参与国家数据安全技术的创新项目。
**第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主****管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、**产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
专业标准的制定是建立数据安全的必要保证,国家鼓励制定行之有效的数据安全标准,国家标准管理委员会根据数据安全技术的发展和数据产业的发展组织相关行业、学术机构、 科研团体、高校及安全专家共同开发相关标准。本条根据标准化法的规定,明确国家支持标准的制定工作。
**第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、**认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险****评估、防范、处置等方面开展协作。
数据安全检测评估、认证是安全相关标准和操作规程所进行的合格评定程序,这是一种国际通行做法。近年来,我国对网络安全相关活动逐步趋向于体系化、正规化、公平化,网络安全检测销售许可制度也将更加完善和具有强制力。
根据《中华人民共和国认证认可条例》有关规定开展相关检测工作。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
随着大数据的高速发展,数据交易活动管理成为数据安全工作的焦点问题,从数据的来源、交付、使用、传递等环节的合法性问题必须通过国家立法形成有效的规制。数据来源在网络安全环境中是一个特殊的问题,黑色产业链下的数据违法交易遍及全球各地,而数据交易组织没有一个有效的审核和授权机制,大数据下的“人物画像”造成的大量隐私泄露问题迫使全球针对数据的良性使用和交易活动立法化,通过立法培育一个良性数据交易市场。
第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教****育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
本条支持培养网络安全人才,人才是第一位要素,国家创建网络空间安全学院培养网络安全专业人才,弥补现有的人才缺口,随着数据安全问题的日益突出,网络安全不再是简单的攻防对抗问题,数据安全在业务领域的多元化问题尤为突出,专业的数据安全课程的建设与开发势在必行。
企业结合自己的资金、技术和环境优势,与专业科研机构、培训教育行业开发与企业相关的数据安全培训,在本行业和本组织建立良好的人才培养计划,以便更好的支持数据安全工作。
第三章 数据安全制度
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机****制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行****更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领****域的重要数据具体目录,对列入目录的数据进行重点保护。
主要工作:数据安全首要工作是建立数据分类分级机制,除国家秘密,军事秘密之外,国家通过数据分类分级划分为核心数据(关系国家安全、国民经济命脉、重要民生、重大公共利益)、 重要数据(涉及国家安全、公共利益或者个人、组织合法权益造成危害)采取等级化保护, 此举和国家网络安全等级保护、国家关键信息基础设设施保护建立接口,相辅相成。数据安全制度是在国家数据安全工作协调机制的统筹下由个部门自行建立本行业数据安全分类分级体现行业自主和适用性的场景,打破的网络安全等级保护带来的通用要求为 各个行业建立保护工作中的不均衡性。
各行业应在本法的规制下分析本行业业务数据特征,制定数据分类分级标准和准则,并依据数据重要性程度建立数据资产清单,针对重要数据实施重点保护工作奠定基础。
目前金融行业(JR/T 0197—2020 金融数据安全 数据安全分级指南)、医疗卫健行业(GB_T 39725-2020 《信息安全技术健康医疗数据安全指南》)《证券期货业数据分类分级指引》 (JR/T 0518—2018)已经分别建立本行业相关数据分类分级规范。
**第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测****预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、**分析、研判、预警工作。
《中华人民共和国网络安全法》在第 4 章中明确规定监测预警与应急处置相关工作要求。国家在《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)基础之上于 2017 年 4 月编制了《国家网络安全 事件应急响应预案》,2017 年 11 月再次发布《公共互联网网络安全突发事件应急预案》。
国家制定有关数据安全事件应急预案的工作将势在必行。应急响应工作是建立在风险评估基础之上,在应急响应准备阶段应切实做好风险评估,以便客观有效的制定响应预案。
根据《中华人民共和国网络安全法》第五十一条规定“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”
第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
《中华人民共和国网络安全法》在第五十三、五十四、五十五条款中分别描述网络安全事件的预案制定及演练、事件确认和事件处置与通报等活动。数据安全事件发生后,组织应根据国家建立的数据安全应急处置机制对结合应急响应工作六大流程准备-确认-遏制- 根除-恢复-跟踪总结做好事件响应工作,同时建立事件上报、通报和披露机制。
**第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活****动进行国家安全审查。**依法作出的安全审查决定为最终决定。
本条款衔接《网络安全审查办法》,通过制定数据安全审查制度进一步针对涉及国家安全数据的入境与离境活动实施审查机制。
数据处理活动在第三条中所描述有关“收集、存储、使用、加工、传输、提供、公开”全生命周期下任何一个环节都应该受到严格审查及规制。
第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据****依法实施出口管制。
国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。根据《中华人民共和国出口管制法》的要求,源代码、算法等技术资料列入管制范围,这些数据的出口企业需按照出口管制法的要求执行。
根据刑法(十一)修正案,第三百三十四条之一违反国家有关规定,非法采集我国人类遗传资源或者非法运送、邮寄、携带我国人类遗传资源材料出境,危害公众健康或者社会公共利益,情节严重的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
关于《中华人民共和国反外国制裁法(草案)》的说明一文中提出:近些年来,某些西方国家为了遏制我国发展,利用涉台涉港涉藏涉疆涉海涉疫等问题对我进行遏制打压,粗暴干涉我国内政,严重违反国际法和国际关系基本准则。为了维护我国的国家主权、安全、发展利益,有必要制定专门法律应对某些西方国家对我实施的所谓“单边制裁”,为对外斗争提供法律支撑。
2021 年 6 月 10 日下午,十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国反外国制裁法》第三条规定“中华人民共和国反对霸权主义和强权政治,反对任何国家以任何借口、任何方式干涉中国内政。外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。”
本法强调在数据开发利用技术中,对于他国歧视性措施我国依据相关立法采取对等措施。
第四章 数据安全保护义务
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础****上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
主要工作:数据处理活动的合法性依据
(1)国家法律法规;
(2)行业标准规范;
(3)组织相关管 理制度。
并针对上述依据在组织内开展教育培训工作;由于数据安全工作的实质是业务安全的重要组成,数据安全相关培训应以业务部门为核心展开。从业务需求-设计-开发/实施-交付验收-运行维护-废弃全生命周期基于《中华人民共和国网络安全法》要求同步规划、同步建设和同步使用三同步原则开展教育。同时,针对技术部门在运行维护阶段如何有效落实数据安全保护手段所必备的技术能力建立培训。安全厂商、软件开发商、安全服务商需要在自己的工作范围内掌握如何保护数据安全设计合理的数据调用手段开展培训教育。
组织高层的意识教育尤为重要,安全是一个自上而下的活动,针对高层有关数据安全工作重要性及合规性要求教育势在必行。全体员工应在数据安全保护的大环境下通过意识宣贯了解自己在数据安全工作中应尽的义务与责任,并理解数据安全对自身的影响和损害,使其成为数据安全工作中忠实的执行者。
组织应建立数据安全管理机构及专职人员负责数据安全具体工作,并监督、指导数据安全治理活动。
第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发****展,增进人民福祉,符合社会公德和伦理。
本条与《中华人民共和国网络安全法》第十八条共同声明根据国家产业政策,鼓励有关数 据处理活动及研究活动。在具体的数据新技术开发中,由网络运营者、科研机构、高校、 软件开发商、安全厂商、服务商共同为促进经济社会发展发挥作用。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
导致数据安全产生问题应该从网络运营者的自我发现,安全厂商、服务商及软件开发商在提供产品、服务中能够及时对自己产品中所产生有关危害数据安全行为的漏洞及时进行通告,并采取补救措施。
工信部在《网络安全漏洞管理规定》(征求意见稿)中明确了漏 洞责任方应在限定时间内对漏洞进行修复;《中华人民共和国网络安全法》在第五十六条中规定了网络安全事件发生后的上报和约谈机制及要求网络运营者履行责任和义务按照要求采取措施,进行整改,消除隐患。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向****有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的****数据安全风险及其应对措施等。
风险评估活动是建立动态数据安全保护的基础,重要数据处理者应定期,通常为每年至少一次或者当组织发生重大变更时进行风险评估,风险评估活动以自评估为主,风险评估报 告向上级主管机构上报。
同时,通过风险评估制定风险控制措施,并在指定的时间完成风险控制,降低风险。由于目前我国尚无有效是数据安全评估标准,基于《信息安全技术信息安全风险评估规范》GB_T 20984-2007 风险评估模型,各行业应制定符合本行业的数据安全评估准则。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部****门会同国务院有关部门制定。
《网络安全法》第三十七条固定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
重要数据出境根据《个人信息和重要数据出境安全评估办法》相关规定:
(一)含有或累计含有 50 万人以上的个人信息;
(二)数据量超过 1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益的数据离境必须经过国家网信部门评估。
存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其****他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的****目的和范围内收集、使用数据。
《中华人民共和国网络安全法》在第 4 章第四十一条中规定“网络运营者收集、 使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
不管是欧洲的 GDPR,还是我国《个人信息保护规范》在针对数据收集时都应遵循以下原则:
1、权责一致原则——对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
2、目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
3、选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
4、最少够用原则——除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
5、公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
6、确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
7、主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
同时《中华人民共和国网络安全法》第 4 章第四十一条第二款中规定“在网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来****源,审核交易双方的身份,并留存审核、交易记录。
本条针对在数据交易活动中,数据服务机构应通过书面形式向数据接收方说明数据来源及合法性问题,同时,交易双方应对各自的身份进行识别,确保数据在交付后能够被合法利用。交易活动应保存交易记录。
第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提****供者应当依法取得许可。
数据交易组织应由国家有关部门授权许可之后方可实施数据交易活动,授权许可根据国家认证认可条例由有关责任部门依法授予。
第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
网络运行者应按照法律、法规执行。未经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。企业技术部门人员不允许在未经国家有关部门授权,由组织数据安全主管领导的许可同意的情况下,直接向外国司法或者执法机构提供存储在境内的数据。组织数据安全主管领导遇到此情形应积极与相关主管机关沟通汇报。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。
非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构****提供存储于中华人民共和国境内的数据。
本条针对境外组织向中华人民共和国境内组织获取数据的要求。
第五章 政务数据安全与开放
第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提****升运用数据服务经济社会发展的能力。
政务大数据利用将成为一个不可逆转的局面,“数据化”将作为政务服务的重要手段。高速、海量、多样和准确的数据活动指导未来政务工作。
第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责****的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
国家机关首先在履行其业务职能提供公民公共事务服务过程中承担网络运营者的角色;其次,在履行法定职责活动中承担监督管理职责活动。在《中华人民共和国网络安全法》 第 4 章第四十五条中明确了“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
在本法中进一步强调在具体执行工作中需要依照法律、行政法规规定的条件和程序进行“并明确了涉及的数据类型”。
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落****实数据安全保护责任,保障政务数据安全。
本条明确指出承载数据业务的政务机构必须制定符合本单位使用的数据安全管理制度,并明确数据保护责任人及保护手段,保障政务数据。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过****严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。
受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
结合《网络安全审查管理办法》第二条规定“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。建设方的选择、实施、管理、验收、交付等活动应在《网络安全审查管理办法》的指导下完成相关活动;同时受托方应通过保密协议等法律文案约定保密范围、时间、方式以及责任追溯手段。
第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政****务数据。依法不予公开的除外。
数据公开及数据例外条款,从美国《信息自由法》到《隐私盾》欧洲的《统一数据保护准则(GDPR)》,数据开发是建立在基于国家安全角度前提下,各个国家、地区、组织都在维护本国安全及利益的前提下明确描述的例外条款,在法律中明确了不予公开的数据(信息)类型,我国在政务数据公开活动依据《中华人民共和国政府信息公开条例》规定第十四、十五、十六条规定之条款依法不予公开。
第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数****据开放平台,推动政务数据开放利用。
政务数据一体化是建立在具备数据安全保障能力的基础和前提下,实现打通最后一公里的综合化政务服务平台,并通过可开放性政府数据实现数据化服务体系。
第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据****处理活动,适用本章规定。
本条进一步定义了涉及政务数据相关活动的其他组织适用于本法的相关规定。
第六章 法律责任
第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
主管部门应履行数据安全检查活动,并对存在数据风险的组织、个人进行约谈,依法要求其限期进行相关整改活动,并在整改完成后履行跟踪检查,确认其满足控制要求。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业****执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
处罚活动分为行政处罚(责令改正、警告、罚款、暂停相关业务、停业整顿、吊销许可及执照等活动)和刑事处罚两类。
处罚主体为:直接负责的主管人员、直接责任人员。
处罚强度:未履行保护义务,五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
拒不改正或造成严重后果,处五十万元以上二百万元以下罚款;
对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款;
违反国家核心数据管理制度,危害国家主权、安全和发展利益,处二百万元以上一千万元以下罚款;
构成犯罪行为,刑事责任参照《刑法》二百八十五、二百八十六及二百八十七相关规定,同时在刑法修正案七、九、十一做出更新规定。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
根据《个人信息和重要数据出境安全评估办法》第九条,第十一条规定国家 7 类重要领域数据及国家重要数据定义
处罚主体:直接负责主管人员和直接责任人员。
处罚手段:罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
本条针对数据交易活动建立相关责任规定;首先数据交易活动应该为授权许可的合法机构;其次,数据交易服务方应履行数据来源合法证明以及确保数据安全性和可靠性的前提下开展数据交易服务。
第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万****元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或 者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以****下罚款。
国家执法机关在维护国家安全、社会秩序、公共安全、公民法人合法权益过程中依法依规向数据托管方或数据持有人提取数据的行为受到法律保护,当事人应在核验必要手续后依法配合,拒不配合的由本条款第一款规定办理。
境外司法机构应向中华人民共和国相关机构提出申请,在获得许可后根据我国相关规定提取数据,数据责任方不得在未经授权许可的情况下擅自向境外组织提供数据。
第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员****和其他直接责任人员依法给予处分。
国家机关数据责任人不履行数据安全保护义务的由其上级机关或有关机关责令整改,同时应追究负责的主管人员和其他直接责任人员的责任。由任免机构或监察机关安全管理权限,根据违法行为的性制、情节及危害程度,决定给予行政处分或处罚。
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依****法给予处分。
本法针对第三十八条中履行数据安全监管职责的相关部门渎职行为的处罚规定。
责任主体:承担数据安全监管职责的国家工作人员。
行为约定:“玩忽职守”严重不负责任,不履行或不认真履行职责;“滥用职权”超越职权,违法决定、处理其无权决定、处理的事项;“徇私舞弊”为了私情或牟取私利,玩忽职守、滥用职权的行为。
处分:不构成犯罪的,由任免机构或监察机关安全管理权限,根据违法行为的性制、情节及危害程度,决定给予行政处分或处罚;构成犯罪,根据相关法律法规由检察机关依法提请诉讼。
第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或****者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
窃取或非法方式获取数据行为,适用《刑法》二百八十五条第二款相关规定;数据活动排除、限制竞争,适用《反不正当竞争法》 ;损害个人、组织合法权益,适用《民法典》。
第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追****究刑事责任。
《民法典》在第六章隐私权和个人信息保护中所描述的有关个人隐私侵权责任,本法有关民事责任可参考相关条款形成裁判本法与民法典、治安管理处罚法、刑法构成衔接。
第七章 附则
第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密****法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守****有关法律、行政法规的规定。
第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
不适用范围:
⚫ 涉及国家秘密依据《中华人民共和国保守国家秘密》。
⚫ 涉及军事数据遵循中央军委相关立法。
例外问题:统计、档案工作有关涉及个人信息数据处理除适用本法,还需要遵循《民法典》、 《中华人民共和国网络安全法》、《刑法》、《个人信息保护条例》等相关立法规范。
第五十五条 本法自 2021 年 9 月 1 日起施行。
正式实施时间:2021 年 9 月 1 日。
欢迎关注大兵说安全