2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议经过《数据安全法》三审稿,该法将于2021年9月1日起正式施行。《数据安全法》全文共七章五十五条,分别从数据安全与展开、数据安全准则、数据安全维护职责、政务数据安全与敞开的视点对数据安全维护的职责和相应法令职责进行规矩。本文将对《数据安全法》的立法沿革和要点条款进行解读,以期协助商场参加者在新法收效前及时做好数据安全建造,下降合规危险。
2020年6月28日,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》进行了初度审议。2021年4月29日,我国人大网发布了《数据安全法(草案)》的二审稿。二审稿的首要亮点在于将数据分类分级准则作为数据安全的根本中心准则,强化了等保的根底效果,提出清晰数据安全担任人和办理安排的要求,清晰要害信息根底设施的运营者在重要数据的出境方面的职责和职责,调整数据处理服务的资质要求,加强向涉外司法安排供给数据的监管,大幅加剧不施行数据安全维护职责的法令职责及拒不合作数据调取的法令职责等。
在近来经过的终究三审稿中,与二审稿比较,首要的亮点和改变体现在清晰国家机关在数据安全办理的职责和合作机制,着重对重要数据要点维护,着重智能化公共服务对老年人等的适用性,完善政务数据安全保证,并进一步加大对违法行为的处分力度。
第一章 第五条中心国家安全领导安排担任国家数据安全作业的决议计划和议事和谐,研讨拟定、辅导施行国家数据安全战略和有关严重方针政策,统筹和谐国家数据安全的严重事项和重要作业,树立国家数据安全作业和谐机制。
第一章 第六条各区域、各部分对本区域、本部分作业中搜集和发生的数据及数据安全担任。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部分承当本职业、本范畴数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法令、行政法规的规矩,在各自职责规模内承当数据安全监管职责。
国家网信部分依照本法和有关法令、行政法规的规矩,担任统筹和谐网络数据安全和相关监管作业。
《数据安全法》作为数据安全范畴最高位阶的专门法,与2017年6月1日起施行的《网络安全法》一同弥补了《国家安全法》框架下的安全办理法令体系,更全面地保证了国家安全在各职业、各范畴保证的有法可依。
就监管安排而言,国家安全安排、公安机关、网信部分、以及工业、电信、交通、金融等主管部分均有权在各自的职权规模内对数据安全进行监督和办理。因而,《数据安全法》连续了《网络安全法》收效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关,两翼指公安机关和网信部分,多级在职业横向规模首要体现在工业、电信、交通、金融等职业主管部分的一起参加,在行政架构方面首要体现在各区域、各部分对作业中搜集和发生的数据进行安全办理上。
第一章 第十条相关职业安排依照规章,依法拟定数据安全行为标准和集体标准,加强职业自律,辅导会员加强数据安全维护,进步数据安全维护水平,促进职业健康展开。
第二章 第十六条国家促进数据安全检测评价、认证等服务的展开,支撑数据安全检测评价、认证等专业安排依法展开服务活动。
第二章 第十七条国家推进数据开发运用技能和数据安全标准体系建造。国务院标准化行政主管部分和国务院有关部分根据各自的职责,安排拟定并当令修订有关数据开发运用技能、产品和数据安全相关标准。国家支撑企业、社会集体和教育、科研安排等参加标准拟定。
在数据安全技能展开一日千里的布景下,立法的要求无法彻底与科技展开坚持同步,职业协会、评价认证专业安排和标准化安排等安排在推进技能展开、完善合规建造和完结职业自律方面的效果得到了法令的充沛认可。
为了能够及时与职业的最新展开同步、参加引领职业展开的方向,建议商场参加者活跃参加有关职业协会或安排,活跃参加职业标准的评论,活跃同享企业在安全合规建造中探究出的实践经历,并以职业最佳实践为基线实时推进企业内部的合规建造。职业协会也可作为传达职业遍及面对的难题和最新技能开展的重要前言,活跃与监管构成有利、互信的杰出互动。
在评价、认证方面,专业安排可根据对职业的深度认知、在咨询过程中堆集的丰厚职业经历,协助职业的新进者辨认合规职责和锚定危险危险,有针对性地提出合规改善计划和办法,协助相关企业下降合规危险。
第二章 第十五条国家支撑开发运用数据进步公共服务的智能化水平。供给智能化公共服务,应当充沛考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活形成妨碍。
疫情期间根据大数据的公共服务运用得到敏捷的推行,与个人生活的参加深度也得到史无前例的进步。但高龄、视障等集体因为不会运用智能手机进行付款、预定等操作而寸步难行。在防疫智能运用敏捷根据疫情需求进行适老化调整后,很多其他与生活休戚相关的运用仍或许将部分人群扫除在智能化、数字化的生活之外。《数据安全法》将智能化公共服务满意老年人、残疾人的需求列入国家要点支撑的规模之内,充沛体现了国家对需求的重视。
第三章 第二十一条国家树立数据分类分级维护准则,根据数据在经济社会展开中的重要程度,以及一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用,对国家安全、公共利益或许个人、安排合法权益形成的损害程度,对数据施行分类分级维护。国家数据安全作业和谐机制统筹和谐有关部分拟定重要数据目录,加强对重要数据的维护。
联系国家安全、国民经济命脉、重要民生、严重公共利益等数据归于国家中心数据,施行愈加严厉的办理准则。
各区域、各部分应当依照数据分类分级维护准则,确认本区域、本部分以及相关职业、范畴的重要数据详细目录,对列入目录的数据进行要点维护。
《网络安全法》第21条初次提出了数据分类分级维护准则,《数据安全法》进一步清晰了相关部分在分类分级维护和重要数据维护中的功能。《数据安全法》准则性规矩了数据分类分级的根据为在经济社会展开中的重要程度和遭到篡改、走漏等景象时的损害程度。因为不同职业、不同区域数据分类分级的详细规矩和考虑要素差异巨大,《数据安全法》将重要数据详细目录和详细分类分级维护准则的拟定权限下放到职业主管部分和各区域国家机关,充沛平衡了法令规矩的普适性和灵活性。关于商场参加者而言,咱们建议首要重视《工业数据分级分类攻略(试行)》、《根底电信企业数据分类分级办法》(YD/T 3813-2020)、《个人金融信息维护技能标准》(JR/T0171-2020)等职业数据分级分类的国家标准,别的也需求亲近重视当地职业主管部分发布的数据分类分级目录等要求。
第三章 第二十二条国家树立集中一致、高效威望的数据安全危险评价、陈述、信息同享、监测预警机制。国家数据安全作业和谐机制统筹和谐有关部分加强数据安全危险信息的获取、剖析、研判、预警作业。
第三章 第二十三条国家树立数据安全应急处置机制。发生数据安全事情,有关主管部分应当依法发动应急预案,采纳相应的应急处置办法,避免损害扩展,消除安全危险,并及时向社会发布与大众有关的警示信息。
第三章 第二十四条国家树立数据安全检查准则,对影响或许或许影响国家安全的数据处理活动进行国家安全检查。依法作出的安全检查决议为终究决议。
《数据安全法》提出树立数据安全危险评价、安全事情陈述准则、监测预警机制、应急处置机制和安全检查等准则,有望在后期逐渐推出详细机制体系的主管安排、适用规模、评价检查方式等配套准则。值得注意的是,国家依法作出的数据安全检查决议为终究决议,这意味着相关详细行政行为将无法经过行政复议、行政诉讼等方式进行救助。
第三章 第二十五条国家对与维护国家安全和利益、施行世界职责相关的归于控制物项的数据依法施行出口控制。
第三章 第二十六条任何国家或许区域在与数据和数据开发运用技能等有关的出资、买卖等方面对中华人民共和国采纳轻视性的制止、约束或许其他相似办法的,中华人民共和国能够根据实际状况对该国家或许区域对等采纳办法。
在世界竞争逐渐蔓延到数据、网络范畴后,各国之间的冲突频发。例如2020 年8月,美国以维护国家安全为由,要求字节跳动出售TikTok运用程序及事务。美国对 TikTok 的封杀反映了《外国出资检查现代化法》对触及美国公民灵敏信息和来自于特别国家出资项目严加检查的立法和法令情绪。我国《数据安全法》一方面清晰维护国家安全和利益、施行世界职责可作为制止相关数据出口的合法根据,另一方面清晰了对外国在数据范畴的出资、买卖轻视可采纳对等反制办法的立法建议,充沛体现了我国在网络数据空间建议数据主权的立法思维。
第四章 第二十七条展开数据处理活动应当依照法令、法规的规矩,树立健全全流程数据安全办理准则,安排展开数据安全教育训练,采纳相应的技能办法和其他必要办法,保证数据安全。运用互联网等信息网络展开数据处理活动,应当在网络安全等级维护准则的根底上,施行上述数据安全维护职责。
重要数据的处理者应当清晰数据安全担任人和办理安排,执行数据安全维护职责。
第四章 第二十九条展开数据处理活动应当加强危险监测,发现数据安全缺点、缝隙等危险时,应当当即采纳补救办法;发生数据安全事情时,应当当即采纳处置办法,依照规矩及时奉告用户并向有关主管部分陈述。
第四章 第三十条重要数据的处理者应当依照规矩对其数据处理活动定时展开危险评价,并向有关主管部分报送危险评价陈述。
危险评价陈述应当包含处理的重要数据的品种、数量,展开数据处理活动的状况,面对的数据安全危险及其应对办法等。
第四章 第三十一条要害信息根底设施的运营者在中华人民共和国境内运营中搜集和发生的重要数据的出境安全办理,适用《中华人民共和国网络安全法》的规矩;其他数据处理者在中华人民共和国境内运营中搜集和发生的重要数据的出境安全办理办法,由国家网信部分会同国务院有关部分拟定。
《数据安全法》清晰了展开数据处理活动的商场参加者应当树立完善的数据安全办理准则、进行安全教育训练、危险监测和陈述,选用技能手段执行内部准则的规矩。因而,数据安全合规准则的建造已成为企业应当施行的法令职责。《数据安全法》连续《网络安全法》的规矩,对重要数据提出更高的数据维护要求,详细的法令职责包含清晰数据安全担任人和办理安排、展开危险评价并报送陈述、契合数据出境安全办理要求等。就危险评价本身而言,关于评价的详细主体、陈述报送的目标、评价的频率有待后续立法进一步清晰。
《数据安全法》也在法令职责的部分清晰了不施行第二十七、二十九、三十条规矩的数据安全维护职责、没有形成数据走漏等结果的,主管部分也能够采纳责令改正、正告、罚款等行政处分办法。在相关准则不健全,且拒不改正或形成很多数据走漏等严重结果的,主管部分则能够责令暂停相关事务、停业整顿、撤消答应证或营业执照和处以罚款。
第四章 第三十三条从事数据买卖中介服务的安排供给服务,应当要求数据供给方阐明数据来历,审阅买卖两边的身份,并留存审阅、买卖记载。
第五章 第三十四条法令、行政法规规矩供给数据处理相关服务应当获得行政答应的,服务供给者应当依法获得答应。
《数据安全法》特别对从事数据买卖中介服务的商场参加者提出额定的安全维护要求。就数据买卖中介服务本身而言,《数据安全法》没有给出清晰的规模,相关商场参加者可参阅《数据买卖服务安全要求》中“协助数据需方和供方完结数据买卖的活动”对本身的事务特点进行定位。
就中介安排需求进行审阅的内容而言,《数据安全法》要求中介安排审阅买卖两边的身份,关于审阅的详细内容、进行方式审阅或本质审阅、供需方的合规危险是否传导到中介安排等内容还有待立法和司法的进一步清晰。
就数据处理的行政答应而言,《数据安全法》为后续数据买卖的准入预留了口儿。结合近期的立法和监管意向,例如《征信事务办理办法(征求意见稿)》和人行同意个人征信事务答应,后续或许会在多职业、多范畴对商场的准入等环节加强监管。
第五章 第三十八条国家机关为施行法定职责的需求搜集、运用数据,应当在其施行法定职责的规模内依照法令、行政法规规矩的条件和程序进行;对在施行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得走漏或许不合法向别人供给。
第五章 第三十九条国家机关应当依照法令、行政法规的规矩,树立健全数据安全办理准则,执行数据安全维护职责,保证政务数据安全。
第五章 第四十条国家机关托付别人建造、维护电子政务体系,存储、加工政务数据,应当经过严厉的同意程序,并应当监督受托方施行相应的数据安全维护职责。受托方应当依照法令、法规的规矩和合同约好施行数据安全维护职责,不得私行留存、运用、走漏或许向别人供给政务数据。
政务数据已成为促进政府科学决议计划、进步公共办理效能的重要资源,疫情催生的很多公共服务数据搜集、剖析东西也进一步进步了政务数据的体量和质量。《数据安全法》敏锐洞悉到政府履职过程中搜集、运用数据的安全合规、数据保密、数据同享和托付第三方规划、运维电子政务体系带来的安全问题,并要求相关国家机关拟定完善的数据安全办理准则、严厉的同意程序以应对实践中存在的数据走漏等安全危险。
第六章 第四十一条国家机关应当遵从公正、公正、便民的准则,依照规矩及时、精确地揭露政务数据。依法不予揭露的在外。
第六章 第四十二条国家拟定政务数据敞开目录,构建一致标准、互联互通、安全可控的政务数据敞开渠道,推进政务数据敞开运用。
在数据安全保证的大前提下,《数据安全法》清晰了政务数据以揭露为准则、不揭露为破例的根本理念。在政务数据的互联互通方面,根据实践中遍及存在的政务数据“不肯敞开、不敢敞开、不会敞开”孤岛,《数据安全法》要求在国家层面树立政务数据敞开渠道,并经过政务数据敞开目录的方式应对政务数据范畴数据资源碎片化、政务展开不均衡、政务协同缺少互信根底等现实问题。