数据安全怎么做?合规篇之数据安全法
一颗小胡椒2022-05-14 22:31:11
继欧洲GDPR、巴西LGPD、美国CCPA等法案之后,我国的《中华人民共和国数据安全法》呼之欲出。
2020年6月28日,数据安全法草案在十三届全国人大常委会第二十次会议上提请审议。
主要内容包括:
1、确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;
2、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
3、坚持安全与发展并重,规定支持促进数据安全与发展的措施;
4、建立保障政务数据安全和推动政务数据开放的制度措施。
2020年7月2日,相关安全平台发布《中华人民共和国数据安全法 (草案) 》
《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,现予公布,自2021年9月1日起施行。
全文发布,内容涉及7个章节,51条内容,相关总结梳理如下:
第一章 总则(重点)
综述:
阐述数据安全法制定的背景、适用范围、关键词定义、公民和组织的权益和义务。
具体关键点如下:
1、适用范围:在中华人民共和国境内开展数据活动的组织、个人。
2、数据的定义:任何以电子或者非电子形式对信息的记录。
3、数据活动的定义:数据的收集、存储、加工、使用、提供、交易、公开等行为。
4、数据安全的定义:通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
第二章 数据安全与发展
综述:
国家层加强对数据安全层面发展的支持,技术和产业发展带动数据安全建设,促进数据安全检测评估、认证、培训教育,建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第三章 数据安全制度(重点)
综述:
国家层面强调对数据要进行分级分类保护,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度。数据依法实施出口管制,并可对国外采取相应的措施进行数据层面的反制。
第四章 数据安全保护义务(重点)
综述:
本章节定义了开展数据活动的组织和个人的责任和义务。
具体关键点如下:
- 建立健全全流程数据安全管理制度(第二十五条)
- 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。(第二十五条)
- 重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。(第二十五条)
- 加强风险监测,数据安全漏洞及时修补,事件及时上报。(第二十七条)
- 定期开展风险评估,并向有关主管部门报送风险评估报告。报告内容包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)
- 任何组织、个人收集数据,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。(第二十九条)
- 从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第三十条)
- 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。(第三十一条)
- 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。(第三十三条)
第五章 政务数据安全与开放
此章节主要体现对政府、部委的电子政务要求。
第六章 法律责任
综述:
对开展数据活动的组织和个人未正确履行责任和义务的,有关主管部门可以责令改正,给予警告并执行处罚(组织、数据安全主管及相关责任人瑟瑟发抖中)。
具体关键点如下:
1、未履行25、27、28、29条规定义务的:
- 组织处一万至十万罚款,直接主管人员五千至五万元罚款!
- 拒不改正或造成严重后果的,组织处十万至一百万罚款,直接主管及相关责任人员处一万至十万罚款!
2、未履行30条义务的:
- 没收违法所得,并处违法所得的一倍至十倍罚款;
- 无违法所得的,处十万至一百万罚款;
- 主管部门有权吊销相关业务许可证或营业执照;
- 对直接主管及相关责任人员处一万至十万罚款!
3、未经许可,擅自从事“在线数据处理等服务”经营的:
- 有关部门责令整改或取缔;
- 没收违法所得,处违法所得一倍至十倍罚款;
- 无违法所得的,处十万至一百万罚款;
- 直接主管及相关责任人员处一万至十万罚款。
4、国家机关或人员不履行本法或玩忽职守,依法给予处分。
5、数据活动维护国家或公民权益的,依法处罚或承担民事责任。
第七章 附则
略。
国家层面已经发布的相关可参考的思路资料:
1、数据分级分类:
《政府数据 数据分类分级指南》DB 52/T 1123—2016
《工业数据分类分级指南(试行)》
《政府数据 数据脱敏工作指南》
2、数据采集:
《App违法违规收集使用个人信息行为认定方法》
3、数据安全建设:
《数据安全管理办法》(征求意见稿)
《网络数据安全标准体系建设指南》(征求意见稿)
《信息安全技术 个人信息安全规范》
4、数据出境:
《个人信息出境安全评估办法》(征求意见稿)
总结
本法案重点内容为第四章和第六章,明确规定出开张数据活动的组织和个人的责任和义务,未按照要求履行的,可以依法进行惩处,整个法案将把国内数据安全提升到一个新的高度,数据安全工作上升到国家层面,数据安全有法可依!
一颗小胡椒
暂无描述