中国数据安全法要点解读

专业著作 / 2021-06-11 18:18:56 数据安全

《中华人民共和国数据安全法》已于2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过，将于同年9月1日起施行。数据安全法分七章共计五十五条，除了总则附则以外，还涉及数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放以及法律责任。本文就数据安全法的一些要点简要解读如下。

一、关于适用范围，在中华人民共和国境内开展数据处理活动及其安全监管；在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，需要追究法律责任的，均适用数据安全法。但是，开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》。军事数据安全保护的办法，由中央军事委员会依据本法另行制定。

二、对于数据的定义：数据安全法第三条规定，数据是指任何以电子或者其他方式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

三、关于监管体系，数据安全法明确：

中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。
各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。其中，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。
相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。
任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。

四、关于数据安全与发展的关系，数据安全法明确坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。为实施大数据战略，鼓励和支持数据在各行业、各领域的创新应用，并推进数据基础设施建设，支持智能化公共服务和数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

五、关于数据开发利用技术和数据安全标准体系，由国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。同时支持企业、社会团体和教育、科研机构等参与标准制定。国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场，并支持培养数据开发利用技术和数据安全专业人才。

六、关于数据安全制度

国家建立数据分类分级保护制度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。
国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。
国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

七、对于数据安全保护义务，数据安全法要求开展数据处理活动应当：

建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。
加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用网络安全法规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。
数据处理相关服务应当获得行政许可的，则服务提供者应依法取得许可，从事数据交易中介的机构应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。
公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

八、关于政务数据的安全与开放，国家推进电子政务建设，制定政务数据开放目录，遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。

九、关于违反数据安全法的法律责任，如下：

违法情形	处罚对象	处罚内容
数据处理过程中，未建立数据安全管理制度，未采取相应的数据安全措施	数据处理业务相关人士、企业、组织	单位和直接责任人处罚5~50万元直接主管及关联人员处罚1~10万元产生数据泄露或拒不改正处罚50~200万元且会停业整顿甚至吊销执照
数据处理过程中未进行风险监测，以及发现数据安全事件未及时上报	数据处理业务相关人士、信息系统建设相关人士、企业组织的相关负责人
列为重要数据的处理者未对业务进行数据安全风险评估	数据处理业务相关人士、信息系统建设相关人士、企业组织的相关负责人
违反国家核心数据管理制度或未参照执行	企业、组织	组织、企业处罚200~1000万元，且会停业整顿甚至吊销执照
违规境外未申报数据出境	企业、组织数据出境业务相关人士、信息系统建设相关人士	组织、企业处罚10~100万元，情节严重的处罚100~1000万元直接负责人及关联人员处罚1~10万元，情节严重的处罚10~100万元
数据交易过程中未审核且留存记录	大数据公司、数据服务企业等数据交易中介服务商	对企业处罚数据交易获利额的1~10倍作为罚款，无获利或少于10万元获利的，处罚10~100万元，处罚直接负责人1~10万元
未配合公安、国安的合规合法取证	企业、组织数据处理业务相关人士、信息系统建设相关人士	企业处罚5~50万元直接负责人及其关联人处罚1~10万元
未获批而向外国司法机构提供数据	个人、企业、组织数据处理业务相关人士、信息系统建设相关人士	组织、企业处罚10~100万元，情节严重的处罚100~500万元直接负责人及关联人员处罚1~10万元，情节严重的处罚5~50万元
违规泄露数据	国家机关工作人员	处分
未履行监管职责	国家机关工作人员	处分
违反数据安全法造成人身伤害	个人	民事责任
违反数据安全法触发治安管理违法	个人	治安管理处罚或承担刑事责任

综上可见，数据安全法的规制范围以及执法力度不容小觑。企业对于数据合规已经箭在弦上，先人一步的数据合规治理是企业长期稳健发展的明智之举。我们也将持续关注和分享数据合规话题。

***

【免责声明：本文内容仅为学习交流目的发表作者个人观点，不应被视为广告、法律意见，阅读和传播本文内容不构成建立律师与委托人关系。作者不对本文内容做日常性维护、更新，本文内容可能未反映最新的法律、政策环境变化。读者在就自身案件获得执业律师专业意见之前，勿以任何目的依赖本文信息，作者亦不承担因有关本文内容任何形式的使用而产生的一切责任、损失和损害。如需进一步咨询请联系我们。】

Contact Partner

靳琳 合伙人

专业领域：业内部经营管理、非洲国家课题研究、数据合规、公司法

E: jinlin@hunslaw.com

孙仁杰 合伙人

专业领域：公司合规与并购、民事信托、环保与科技合规、房地产与建工

E: sunrenjie@hunslaw.com

靳琳孙仁杰

中国数据安全法要点解读

最新动态

下一篇

上一篇