一、数据安全法适用对象
主体范围:所有开展数据处理活动的企业,不局限于某一类型的主体,比《网络安全法》所覆盖的网络运营者(网络所有者、管理者和服务提供者)的范围要更广泛。数据处理活动包括了数据的采集,收集、存储、使用、加工、传输、提供、公开等。一切可能处理数据的政府、企业和组织都落在了《数据安全法》规制的范围之内。
客体范围:泛指一切对信息的记录,不论数据的载体(数据库/电子文件/纸质文档等)、 不论收集方式(线上网络采集/线下采集等)。相比于《网络安全法》和亟待出台的《个人信息保护法》所厘定的数据范围都要广泛。
二、数据分类分级保护制度
《数据安全法》数据分类分级以监管机构的视角,对不同类型数据采取不同的监管措施和法律要求,即“国家建立数据分类分级保护制度”。
数据分级原则:
1.国家核心数据:关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。
2.重要数据目录:根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。
3.重要数据具体目录:由各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。
三、数据安全管理制度和技术措施
数据安全制度和技术框架:《数据安全法》没有提出详细的制度和技术要求,而是依托于国家和行业标准进行落地。在综合分析已发布的一系列国家和行业标准后,得出的数据安全保护框架。
数据安全保护和等级保护的关系:《数据安全法》第二十七条明确,数据安全保护是在企业履行了等级保护基础之上的,针对重要数据的针对性加强保护手段。
四、强化数据风险评估与监测
风险监测和评估要求:《数据安全法》第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估。
风险场景和类型:《数据安全法》未对数据风险范围和类型进行详细的说明,而是在综合分析多个国家和行业数据安全标准,并结合多年的行业经验后,总结了企业需要重点关注数据风险类型。
五、特定场景下的合规义务
1.关键信息基础设施的运营者:
第三十一条 在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定。
◆《网络安全法》中涉及相关内容“在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”
2.数据出境企业:
第三十一条 关键信息基础设施运营者之外的其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
3.涉及处理重要数据的企业:
第二十七条 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告;风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
4.数据交易服务机构:
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
六、数据安全法罚则
为什么制定数据安全法?
规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
适用范围是哪些?
在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
什么是数据?
指任何以电子或者其他方式对信息的记录。
什么是数据处理?
数据的收集、存储、使用、加工、传输、提供、公开等。
什么是数据安全?
通过采取必要措施,确保数据处于有效保护和合法利用 的状态,以及具备保障持续安全状态的能力。
谁来监督?
1.统筹规划、决策、协调:中央国家安全领导机构
2.工业、电信、交通、金融、自然资源、卫生健康、教育、科技等重点行业:行业主管部门承担数据安全监管职责。
3.公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。
4.网络数据安全监管工作:国家网信部门负责统筹协调。
