本文转自【公安部网安局】;
9月1日起,我国数据安全领域的基础性法律《数据安全法》即将施行。
《数据安全法》贯彻落实总体国家安全观,立足我国数据安全工作实际,在规范数据处理活动、强化数据安全保障、促进数字经济发展、健全数据治理体系等方面建立了系列制度,让数据安全有法可依、有章可循,对维护国家安全、数据安全、落实大数据发展战略具有重大意义,为全球数据安全治理提出了中国方案、贡献了中国智慧。
明确数据安全“全口径”“全流程”监管,系统性完善数据安全保护和管理制度。
2017年出台的《网络安全法》从网络运行安全、网络信息安全角度提出了数据管理要求,管理对象侧重个人信息和关键信息基础设施收集产生的数据,管理范围侧重数据采集、存储等环节。
《数据安全法》在此基础上作了进一步扩充,将任何以电子或其他方式记录的信息,“全口径”地纳入“数据”予以保护,并对数据的收集、存储、使用、加工、传输、提供、公开等“全流程”予以监管。
同时,建立了数据分级分类、风险评估、应急处置、安全审查、出口管制等基本制度,织牢织密数据安全保障制度,全面防控数据安全风险隐患。
法条链接
第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
对重要数据、核心数据予以严格保护,建立层次分明、重点突出的数据安全保护体系
《数据安全法》中明确了“国家建立数据分级分类保护制度”,根据对国家安全、公共利益或者个人、组织合法权益的影响,将数据划分为一般数据、重要数据及核心数据予以不同程度的保护,对重要数据处理者规定了明确数据安全负责人和管理机构、定期开展风险评估并报送报告、按照国家有关要求进行出境安全管理等更为严格的保护要求。对关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,实行更加严格的管理制度。
同时,赋予地方政府和行业主管部门“因地制宜”制定重要数据目录的相关权限,在确保法律的原则性、权威性的同时,增强其灵活性及针对性。
法条链接
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十七条第二款重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
将网络安全等级保护制度、关键信息基础设施安全保护制度延伸至数据领域,强化数据安全与网络安全的衔接。
网络安全与数据安全是“一体两面”的关系,维护网络安全的目的是保护数据和个人信息安全,保护数据和个人信息安全有赖于维护网络安全。
长期以来,网络安全等级保护制度作为《网络安全法》确定的基础制度,在保护数据和个人信息安全方面发挥了重要作用。《数据安全法》将网络安全等级保护制度作为数据安全保护的基础制度,规定“利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。同时,将重要数据出境安全管理制度与《网络安全法》中规定的关键信息基础设施数据出境安全评估制度相衔接,将数据安全与网络安全保护制度统筹设计、有效衔接,有利于明确监管机制,提高监管效率,减轻企业负担。
法条链接
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
立足基本国情并借鉴国外经验,维护数据安全领域国家主权
在互联网跨国应用、数据处理设备跨国运营、大量公民数据跨国存储的背景下,划定我国的数据主权范围是数据安全立法的重要问题之一。
《数据安全法》将在境外开展数据处理活动但损害我利益的情形划入管辖范围,同时规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,境外执法机构调取我国境内数据必须获得我国主管机关的批准。境外对我数据投资、贸易等方面采取不合理限制措施的,我国可对等采取措施,体现了全面依法治国原则,为应对国际风险提供了强有力的法律保障。
法条链接
第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
建立齐抓共管的数据安全监管制度,明确了公安机关数据安全监管职责
《数据安全法》建立了各地区、各部门、各行业、各领域齐抓共管的数据安全保护工作机制,由中央国家安全领导机构负责国家数据安全的决策和议事协调,建立国家数据安全工作协调机制。
同时,明确“公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责”,并明确有关组织、个人对公安机关依法调取数据的配合义务。
公安机关将依法履责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理,保障国家数据安全,保护公民、组织的合法权益,维护国家主权、安全和发展利益。
法条链接
第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第三十五条公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
第四十六条违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十八条违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。