《数据安全法》要点解读
2021年6月10日,十三届全国人大常委会第二十九次会议通过了《数据安全法》,该法将于2021年9月1日起施行。
下文将对《数据安全法》进行重点提炼,并通过与二审稿的对比,进一步明确该法的要点。
重点提要
2020年6月,十三届全国人大常委会第二十次会议对数据安全法草案进行了初次审议。2021年4月26日,十三届全国人大常委会第二十八次会议对根据数据安全法草案的修改情况进行二审。
在两次审议之后,全国人大常委会法工委发言人臧铁伟曾表示,根据各方面意见,提请在三次审议稿上拟作如下修改:
一是建立工作协调机制,加强对数据安全工作的统筹。
二是明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度。
三是要求提供智能化公共服务应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍。
四是进一步完善保障政务数据安全方面的规定。
五是加大对违法行为的处罚力度。
根据对《数据安全法》的比对,可以发现上述五点都体现于其中。
(注:在二审稿基础上新增或修改内容已作标红)
1. 数据安全工作协调机制
在二审稿的基础上,《数据安全法》采纳了建立工作协调机制的建议,优化了数据安全的统筹工作。
二审稿第六条
中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。
《数据安全法》第五条
中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
二审稿第二十条
国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。《数据安全法》第二十一条
国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。二审稿第二十一条
国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。
《数据安全法》第二十二条
国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
2. 数据安全管理制度
《数据安全法》要求在开展数据处理活动的同时履行数据保护的义务,并且严格规定了中华人民共和国主管机关在与外国相关机构进行数据处理活动时应遵守的原则,强调了网络安全等级保护制度的基础地位,规范了提供主体。相较于二审稿,条例细节更加详细,管理更加严格。
二审稿第二十六条
开展数据处理活动应当依照法律、法规的规定,在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。《数据安全法》第二十七条
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
二审稿第三十五条
中华人民共和国境外的司法或者执法机构要求调取存储于中华人民共和国境内的数据的,非经中华人民共和国主管机关批准,不得提供;中华人民共和国缔结或者参加的国际条约、协定有规定的,可以按照其规定执行。
《数据安全法》第三十六条
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
3. 充分考虑老年人、残疾人的需求,不得对其造成障碍
《数据安全法》根据二审建议在第二章数据安全与发展中新增了有关维护老年人、残疾人权益的条例。在支持提升智能化的同时,充分发挥人文关怀,以人为本,考虑弱势群体的需求,让智能化公共服务为更多人提供便利。
《数据安全法》第十五条
国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
4. 政务数据安全
针对敏感的政务数据,《数据安全法》在二审稿的基础上,强调了对数据处理过程中所获取的敏感信息应依法予以保密,并且规定了对敏感信息的处理方式。
二审稿第三十七条
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。
《数据安全法》第三十八条
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
二审稿第三十九条
国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督受托方、数据接收方履行相应的数据安全保护义务。
《数据安全法》第四十条
国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
5. 违法行为处罚规则
《数据安全法》第六章法律责任中对被处罚的主体进行了更细致的划分,对情节严重的对象提高了处罚上限,并且,除经济处罚之外,增添了追究刑事责任,大大加大了处罚力度。
《数据安全法》第四十五条
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。《数据安全法》第四十六条
违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
《数据安全法》第四十八条
违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
其他要点
相较于二审稿,《数据安全法》删除修改了如下内容:
1. 总则中所规定的各地区、各部门所负责的数据安全范围改变:从产生、汇总、加工的数据更改为收集和产生的数据;所担负的责任由主体责任变为责任。
2. 二审稿中的建立数据安全协作机制更改为开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平。
3. 二审稿中国家支持开展数据开发利用技术和数据安全相关教育和培训的高等学校、中等职业学校改为教育机构。
总结
《数据安全法》的出台,以及不到三个月就将施行的紧迫期限,都引起了网络安全行业的从业者、研究人员和爱好者们的强烈关注。
通过以上分析可以发现,新出台的《数据安全法》确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,为我国数据安全保护提供了法律保障,并指明了维护数据安全的方向。
360公司创始人兼CEO周鸿祎也认为:
“大数据时代,所有的业务都是数据驱动的,一旦敏感数据被锁定或泄露,会造成重大经济损失或生产瘫痪。法案的出台,非常必要且及时,将推动社会数据全生命周期的安全,比如采集、传输、存储、处理、交换、销毁等的安全。”
《数据安全法》中对于企业与机构的责任、义务有了更加细节的划分,并且,针对不同的实际情况提供了不同的应对方案,在广度和深度上都对数据安全保护有了详细的规定。
《数据安全法》通过之后,结合先前出台的《网络安全法》、再加上即将问世的《个人信息保护法》,由此可见,我国网络空间的法律保障正在愈加完善。