數據安全怎么做?合規篇之數據安全法
一顆小胡椒2022-05-14 22:31:11
繼歐洲GDPR、巴西LGPD、美國CCPA等法案之后,我國的《中華人民共和國數據安全法》呼之欲出。
2020年6月28日,數據安全法草案在十三屆全國人大常委會第二十次會議上提請審議。
主要內容包括:
1、確立數據分級分類管理以及風險評估、監測預警和應急處置等數據安全管理各項基本制度;
2、明確開展數據活動的組織、個人的數據安全保護義務,落實數據安全保護責任;
3、堅持安全與發展并重,規定支持促進數據安全與發展的措施;
4、建立保障政務數據安全和推動政務數據開放的制度措施。
2020年7月2日,相關安全平臺發布《中華人民共和國數據安全法 (草案) 》
《中華人民共和國數據安全法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于2021年6月10日通過,現予公布,自2021年9月1日起施行。
全文發布,內容涉及7個章節,51條內容,相關總結梳理如下:
第一章 總則(重點)
綜述:
闡述數據安全法制定的背景、適用范圍、關鍵詞定義、公民和組織的權益和義務。
具體關鍵點如下:
1、適用范圍:在中華人民共和國境內開展數據活動的組織、個人。
2、數據的定義:任何以電子或者非電子形式對信息的記錄。
3、數據活動的定義:數據的收集、存儲、加工、使用、提供、交易、公開等行為。
4、數據安全的定義:通過采取必要措施,保障數據得到有效保護和合法利用,并持續處于安全狀態的能力。
第二章 數據安全與發展
綜述:
國家層加強對數據安全層面發展的支持,技術和產業發展帶動數據安全建設,促進數據安全檢測評估、認證、培訓教育,建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。
第三章 數據安全制度(重點)
綜述:
國家層面強調對數據要進行分級分類保護,建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制;建立數據安全應急處置機制;建立數據安全審查制度。數據依法實施出口管制,并可對國外采取相應的措施進行數據層面的反制。
第四章 數據安全保護義務(重點)
綜述:
本章節定義了開展數據活動的組織和個人的責任和義務。
具體關鍵點如下:
- 建立健全全流程數據安全管理制度(第二十五條)
- 組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。(第二十五條)
- 重要數據的處理者應當設立數據安全負責人和管理機構,落實數據安全保護責任。(第二十五條)
- 加強風險監測,數據安全漏洞及時修補,事件及時上報。(第二十七條)
- 定期開展風險評估,并向有關主管部門報送風險評估報告。報告內容包括本組織掌握的重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等。(第二十八條)
- 任何組織、個人收集數據,應當在法律、行政法規規定的目的和范圍內收集、使用數據,不得超過必要的限度。(第二十九條)
- 從事數據交易中介服務的機構在提供交易中介服務時,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。(第三十條)
- 專門提供在線數據處理等服務的經營者,應當依法取得經營業務許可或者備案。(第三十一條)
- 境外執法機構要求調取存儲于中華人民共和國境內的數據的,有關組織、個人應當向有關主管機關報告,獲得批準后方可提供。(第三十三條)
第五章 政務數據安全與開放
此章節主要體現對政府、部委的電子政務要求。
第六章 法律責任
綜述:
對開展數據活動的組織和個人未正確履行責任和義務的,有關主管部門可以責令改正,給予警告并執行處罰(組織、數據安全主管及相關責任人瑟瑟發抖中)。
具體關鍵點如下:
1、未履行25、27、28、29條規定義務的:
- 組織處一萬至十萬罰款,直接主管人員五千至五萬元罰款!
- 拒不改正或造成嚴重后果的,組織處十萬至一百萬罰款,直接主管及相關責任人員處一萬至十萬罰款!
2、未履行30條義務的:
- 沒收違法所得,并處違法所得的一倍至十倍罰款;
- 無違法所得的,處十萬至一百萬罰款;
- 主管部門有權吊銷相關業務許可證或營業執照;
- 對直接主管及相關責任人員處一萬至十萬罰款!
3、未經許可,擅自從事“在線數據處理等服務”經營的:
- 有關部門責令整改或取締;
- 沒收違法所得,處違法所得一倍至十倍罰款;
- 無違法所得的,處十萬至一百萬罰款;
- 直接主管及相關責任人員處一萬至十萬罰款。
4、國家機關或人員不履行本法或玩忽職守,依法給予處分。
5、數據活動維護國家或公民權益的,依法處罰或承擔民事責任。
第七章 附則
略。
國家層面已經發布的相關可參考的思路資料:
1、數據分級分類:
《政府數據 數據分類分級指南》DB 52/T 1123—2016
《工業數據分類分級指南(試行)》
《政府數據 數據脫敏工作指南》
2、數據采集:
《App違法違規收集使用個人信息行為認定方法》
3、數據安全建設:
《數據安全管理辦法》(征求意見稿)
《網絡數據安全標準體系建設指南》(征求意見稿)
《信息安全技術 個人信息安全規范》
4、數據出境:
《個人信息出境安全評估辦法》(征求意見稿)
總結
本法案重點內容為第四章和第六章,明確規定出開張數據活動的組織和個人的責任和義務,未按照要求履行的,可以依法進行懲處,整個法案將把國內數據安全提升到一個新的高度,數據安全工作上升到國家層面,數據安全有法可依!
一顆小胡椒
暫無描述