内页banner

《数据安全法》要点全面解读

2021-10-26 17:24:08

       2021年6月10日,中华人民共和国主席令第84号发布,《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议表决通过,自2021年9月1日起施行。


《数据安全法》颁布背景

外部原因

  • 《2020数据泄露调查报告》显示,全球2019数据泄露事件多达3950起,同比增长96%,在受影响行业中,医疗、金融保险和制造业排名前三。

  • 2018年5月,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,加强对数据安全使用的管理。

  • 2018年,时任美国总统特朗普签署了《澄清域外合法使用数据法》,2021年6月,美国总统拜登签署《关于加强国家网络安全的行政命令》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。

  • 目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法在世界范围内拉开序幕。

  • 面对欧美国家将数据主权从物理边界转向技术边界,将会直接影响到第三方国家的主权,在数据跨境流动愈加频繁的今天,必须尽快完善我国相关法律法规,保护我国国家利益、跨国公司以及公民个人利益。

内部原因


       随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、人民生活都产生了重大而深刻的影响。数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年36.2%。制定数据安全法是促进数字经济健康发展的重要举措。
       通过建立健全各项制度措施,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。

       数字经济为人民群众生产生活提供了很多便利,同时各类数据的拥有主体更加多样,处理活动更加复杂,一些企业、机构忽视数据安全保护、利用数据侵害人民群众合法权益的问题也十分突出,社会反映强烈。制定数据安全法是维护人民群众合法权益的客观需要。

法规详细解读


总则


1、目的


为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益。


2、范围


  • 中华人民共和国境内开展数据活动;
  • 中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的。

3、定义


数据:是指任何以电子或者非电子形式对信息的记录;


数据活动:是指数据的收集、存储、加工、使用、提供、交易、公开等行为;


数据安全:是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。


4、分工


国家:数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策;


部门:承担本行业、本领域数据安全监管职责;


地区:对工作中产生、汇总、加工的数据及数据安全负主体责任。


5、治理


  • 坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力;
  • 国家建立健全数据安全协同治理体系,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

6、促进


国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。


7、原则


开展数据活动,必须遵守法律、行政法规,尊重社会公德和伦理,遵守商业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。


8、合作


开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。


数据安全与发展


1、实施大数据战略

省级以上人民政府应当制定数字经济发展规划,并纳入本级国民经济和社会发展规划。

2、全面加强数据开发利用


  • 加强数据开发利用技术基础研究;
  • 支持数据开发利用和数据安全等领域的技术推广和商业创新;
  • 培育、发展数据开发利用和数据安全产品和产业体系。


3、推进安全标准体系建设

组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准;支持企业、研究机构、高等学校、相关行业组织等参与标准制定。

4、促进数据安全检测评估、认证服务

国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。

5、建立健全数据交易管理制度

国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

6、支持对专业人才的培养

支持高等学校、中等职业学校和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。


数据安全制度


1、建立数据分级分类保护制度

      分级分类标准:

  • 数据在经济社会发展中的重要程度;
  • 遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害程度。
      职责分工:
  • 国家:确立标准;
  • 各部门、各地区:确定职责、管辖范围内重要数据保护目录,对列入目录的数据重点保护。

2、集中统一的数据安全机制


  • 数据安全风险评估、报告机制;
  • 数据安全信息共享机制;
  • 数据安全监测预警机制。


3、数据安全应急处置机制


  • 依法启动应急预案;
  • 采取相应的应急处置措施;
  • 及时向社会发布与公众有关警示信息。


4、数据安全审查制度


  • 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查;
  • 依法作出的安全审查决定为最终决定。


5、数据安全出口管制

国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。

6、数据投资贸易反制措施

在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,可以根据实际情况对该国家或者地区采取相应的措施


数据安全保护义务

1、数据安全

  • 建立管理制度、组织培训、采取技术措施和其他必要措施;
  • 重要数据处理者:设立数据安全负责人和管理机构;
  • 风险监测、风险补救义务及安全事件告知、报告义务;
  • 重要数据的处理者的风险评估及风险评估报告报送义务;
  • 合法、 正当、必要的收集、使用数据义务。

2、保护义务

  • 数据交易中介服务机构的数据来源核查义务;
  • 资质许可:取得在线数据处理经营许可或备案义务;
  • 公安机关、国家安全机关调取数据报批义务;
  • 向境外执法机构提供数据的事前报告义务。

政务数据安全与开放

1、政务数据安全

      国家机关政务数据安全保障义务:

  • 依法依规收集、使用政务数据;
  • 建立健全数据安全管理制度,落实数据安全保护责任;
  • 委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。

2、政务数据开放

      及时、准确性要求:

国家机关应当及时、准确地公开政务数据。依法不予公开的除外。

     推动政务数据开放措施:
◆制定政务数据开放目录;
◆构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。

法律责任

1、不履行规定保护义务

责令改正和警告,给予单位5万至50万元罚款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位50万至200万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。

2、危害国家安全和损害合法权益

给予200万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。

3、向境外提供重要数据

由有关主管部门责令改正,给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的,给予100万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予10万至100万元罚款。

4、交易来源不明的数据

没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款,最高责令吊销营业执照;对主管和直接责任人1万至10万元罚款。

5、未经审批向境外提供组织数据的

由有关主管部门给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的,给予100万至500万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予5万至500万元罚款。

6、窃取或非法获取数据

依照有关法律、行政法规的规定处罚。

7、国家工作人员违法

因玩忽职守、滥用职权、徇私舞弊,依法给予处分。


       能信安将将严格遵守《数据安全法》规定,持续为客户筑牢数据市场安全体系,充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。

       能信安数据安全治理方案覆盖了安全防护、敏感信息管理、合规等目标;其核心理念包括:在对数据就行有效理解和分析下,对数据进行不同类别的分级分类;在对数据分级分类的基础上,了解这些数据在被谁访问,如何使用,针对不同的角色进行数据使用的授权;针对不同角色在不同场景下的数据使用需求,在尽可能满足数据正常使用的目标下,完成相应的安全要求和安全工具的选择,并实现对数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁的全生命周期管理。