《數據安全法》正式實施!企業將面對著怎樣的數據合規挑戰?

發布時間:

2021-09-09

《數據安全法》于2021年6月10日通過,并將于2021年9月1日起正式施行?!稊祿踩ā啡墓财哒挛迨鍡l,分別從數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放的角度對數據安全保護的義務和相應法律責任進行明確規定。以下針對重要條款總結、要點解讀以及面對六大合規挑戰進行總結。


01 重要條款總結


2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》。自此數據安全進入新的法制時代,對于數據安全提出了更明確的相關要求,《數據安全法》的出臺將更加有利于數據的規范使用及安全保護,也必將引領整個數據安全的市場發展。


1、第三條 本法所稱數據,是指任何以電子或者其他方式對信息的記錄。


數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。


2、第六條 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。


工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。


公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。


國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。


3、第十八條國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。


4、第十九條 國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。


5、第二十一條國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。


關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。


各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。


6、第二十三條國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。


7、第二十四條 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。


依法作出的安全審查決定為最終決定。


8、第二十七條開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。


重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。


9、第三十條重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。


風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。


10、第四十條國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批準程序,并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。


11、第四十五條 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。


違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。


12、第四十九條 國家機關不履行本法規定的數據安全保護義務的,對直接負責的主管人員和其他直接責任人員依法給予處分。


13、第五十五條本法自2021年9月1日起施行。


02 要點解讀


下文將對《數據安全法》進行重點提煉,并通過與二審稿的對比,進一步明確該法的要點。


?重點提要


2020年6月,十三屆全國人大常委會第二十次會議對數據安全法草案進行了初次審議。2021年4月26日,十三屆全國人大常委會第二十八次會議對根據數據安全法草案的修改情況進行二審。


在兩次審議之后,全國人大常委會法工委發言人臧鐵偉曾表示,根據各方面意見,提請在三次審議稿上擬作如下修改:


一是建立工作協調機制,加強對數據安全工作的統籌。


二是明確對關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據實行更嚴格的管理制度。


三是要求提供智能化公共服務應當充分考慮老年人、殘疾人的需求,不得對老年人、殘疾人的日常生活造成障礙。


四是進一步完善保障政務數據安全方面的規定。


五是加大對違法行為的處罰力度。


根據對《數據安全法》的比對,可以發現上述五點都體現于其中。


( 注:在二審稿基礎上新增或修改內容已作標紅 )


1. 數據安全工作協調機制


在二審稿的基礎上,《數據安全法》采納了建立工作協調機制的建議,優化了數據安全的統籌工作。


二審稿第六條


中央國家安全領導機構負責數據安全工作的決策和統籌協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策。


《數據安全法》第五條


中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。


二審稿第二十條


國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度,對數據實行分類分級保護,并確定重要數據目錄,加強對重要數據的保護。

各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。


《數據安全法》第二十一條


國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。

各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。


二審稿第二十一條


國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制,加強數據安全風險信息的獲取、分析、研判、預警工作。


《數據安全法》第二十二條


國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。


2. 數據安全管理制度


《數據安全法》要求在開展數據處理活動的同時履行數據保護的義務,并且嚴格規定了中華人民共和國主管機關在與外國相關機構進行數據處理活動時應遵守的原則,強調了網絡安全等級保護制度的基礎地位,規范了提供主體。相較于二審稿,條例細節更加詳細,管理更加嚴格。


二審稿第二十六條


開展數據處理活動應當依照法律、法規的規定,在網絡安全等級保護制度的基礎上,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。

重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。


《數據安全法》第二十七條


開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。


二審稿第三十五條


中華人民共和國境外的司法或者執法機構要求調取存儲于中華人民共和國境內的數據的,非經中華人民共和國主管機關批準,不得提供;中華人民共和國締結或者參加的國際條約、協定有規定的,可以按照其規定執行。


《數據安全法》第三十六條


中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。


3. 充分考慮老年人、殘疾人的需求,不得對其造成障礙


《數據安全法》根據二審建議在第二章數據安全與發展中新增了有關維護老年人、殘疾人權益的條例。在支持提升智能化的同時,充分發揮人文關懷,以人為本,考慮弱勢群體的需求,讓智能化公共服務為更多人提供便利。


《數據安全法》第十五條


國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。


4. 政務數據安全


針對敏感的政務數據,《數據安全法》在二審稿的基礎上,強調了對數據處理過程中所獲取的敏感信息應依法予以保密,并且規定了對敏感信息的處理方式。


二審稿第三十七條


國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行。


《數據安全法》第三十八條


國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供。


二審稿第三十九條


國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,或者向他人提供政務數據,應當經過嚴格的批準程序,并應當監督受托方、數據接收方履行相應的數據安全保護義務。


《數據安全法》第四十條


國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批準程序,并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。


5. 違法行為處罰規則


《數據安全法》第六章法律責任中對被處罰的主體進行了更細致的劃分,對情節嚴重的對象提高了處罰上限,并且,除經濟處罰之外,增添了追究刑事責任,大大加大了處罰力度。


《數據安全法》第四十五條


開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。


《數據安全法》第四十六條


違反本法第三十一條規定,向境外提供重要數據的,由有關主管部門責令改正,給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。


《數據安全法》第四十八條


違反本法第三十五條規定,拒不配合數據調取的,由有關主管部門責令改正,給予警告,并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。違反本法第三十六條規定,未經主管機關批準向外國司法或者執法機構提供數據的,由有關主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重后果的,處一百萬元以上五百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。


其他要點


相較于二審稿,《數據安全法》刪除修改了如下內容:


1. 總則中所規定的各地區、各部門所負責的數據安全范圍改變:從產生、匯總、加工的數據更改為收集和產生的數據;所擔負的責任由主體責任變為責任。


2. 二審稿中的建立數據安全協作機制更改為開展數據安全知識宣傳普及,提高全社會的數據安全保護意識和水平。


3. 二審稿中國家支持開展數據開發利用技術和數據安全相關教育和培訓的高等學校、中等職業學校改為教育機構。


03 企業即將面對著的數據合規挑戰?


企業即將面對著怎樣的數據合規挑戰?又有哪些任務是必須要落地完成的?


第一,數據安全法的定位。從立法背景看,數據安全法主要以數據主權與國家安全為基礎和底線,強調安全與發展的平衡,意在數據領域實現從合法到合規,從單方監管到合作治理的國家治理模式的現代化。那么,數據安全法、個人信息保護法、網絡安全法、民法典、國家安全法、憲法之間到底是什么關系呢?


第二,數據(網絡)安全審查制度。數據安全法第23條規定,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。由于數據安全法尚未生效,數據安全審查制度尚未建立,所以滴滴案適用的是網絡安全審查制度。那么,未來的數據安全審查制度會與網絡安全審查制度合二為一,還是單獨建立?審查重點是不是關鍵基礎設施的供應鏈安全和國家安全審查?采取的主要模式是企業主動申報,還是以監管機構主動出擊為主?數據跨境是不是監管機構的關注焦點?企業的數據安全自評估機制又應當如何建構?


第三,重要數據保護制度。《數據安全法》采取“目錄”方式建立國家重要數據保護制度,但目前尚未出臺。在這種背景下,企業是靜等國家重要數據目錄的出臺,還是要提前做些合規布局?界定重要數據概念的基礎是評估國家安全和社會公共利益受影響等級,那么如何明確關鍵要素重要數據內容,以及其影響等級?重要數據數量、重要數據范圍和技術處理等要素對等級的影響如何用定量方式判定?重要數據的識別是延用行業分類的方式,還是從數據的作用、受破壞后可能帶來的影響等角度,將重要數據分為經濟運行類、人口與健康類、自然資源與環境類、科學技術類、安全保護類、應用服務類、政務信息類等?


重要數據保護制度的合規落地關鍵點又是什么?如何明確保護對象?如何依據《數據安全法》出臺細化的企業管理制度?如何做好與其他安全相關制度的協同配合?一是做好國家重要數據保護與企業數據分類分級工作的協同;二是做好重要數據保護、網絡安全保護與個人信息保護的協同。


第四,數據的分類分級制度。數據安全法第21條強調:國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。


數據分級分類的工作流程是什么?如何作好對數據進行盤點、梳理與分類,形成統一的數據資產清單等數據資產梳理工作?如何作好明確數據定級的顆粒度及識別數據安全定級關鍵要素等數據安全定級準備工作?如何按照數據定級規則,結合國家及行業有關法律法規、部門規章,對數據安全等級進行初步判定?如何綜合考慮數據規模、數據時效性、數據形態等因素,對數據安全級別進行復核,調整形成數據安全級別評定結果及定級清單?如何審核數據安全級別評定過程和結果?以及如何由數據安全管理最高決策組織對數據安全分級結果進行審議批準?


具體到行業領域而言,金融數據、公共數據、移動數據、醫療健康數據以及工業數據的分類分級又有哪些最佳實踐和行業標準?具體的工作流程如何?


第五,數據跨境合規框架。


首先,外國機構調取中國境內數據的合規框架。根據數據安全法第36條,主管機關根據有關法律和中國締結或者參加的國際條約、協定,或者按照平等互惠原則處理。如沒有條約、協定,未經國家批準,不得向外國機構提供存儲于中國境內的數據。?


《數據安全法》正式實施!企業將面對著怎樣的數據合規挑戰?


其次,關鍵基礎信息設施的重要數據出境合規框架。依據數據安全法第31條和網絡安全法第37條,關鍵信息基礎設施的運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。


《數據安全法》正式實施!企業將面對著怎樣的數據合規挑戰?


最后,個人信息跨境合規框架。按照個人信息保護法第38條、39條的規定,個人信息跨境提供應當滿足以下條件之一是網信部門組織的安全評估、專業機構的個人信息保護認證及網信部門制定的標準合同。在此基礎上,還得獲得個人的單獨同意。


《數據安全法》正式實施!企業將面對著怎樣的數據合規挑戰?


第六,《關鍵信息基礎設施安全保護條例》的合規要點。作為數據安全法和網絡網絡安全法的配套法規之一,關基條例緊急通過,并于數據安全法同步于9月1日生效,可見其地位之重要。


轉自:網信前沿觀察 來源:數據法盟? 等級保護測評?