Service support服务支持
网络安全服务 产品更新 网络安全学堂 常见问题 下载中心

透过《数据安全法》看数据安全治理

TIME:2021-09-13   click: 186 次
2021年6月10日,《数据安全法》经中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议表决通过,成为我国数据安全领域通过的第一部上位法,用以规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,将于今年9月1日起正式施行。
 
 
本文中,安华金和数据安全专家通过对《数据安全法》总体架构的梳理、分析,以图文结合的形式集中呈现法案关键信息与重点条款:
 
 
 
法案总体架构梳理与分析
 
从总则条款可以看出,《数据安全法》的三审通过,得以最终明确其适用范围、概念定义及安全观念:
 
 
 
1
 
适用范围(第二条)
 
· 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法;
 
· 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
 
 
 
2
 
概念定义(第三条)
 
数据:指任何以电子或者其他方式对信息的记录;
 
数据处理:包括数据的收集、存储、使用、加工、传输、提供、公开等。
 
数据安全:是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
 
 
 
3
 
安全观念(第四条)
 
维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
 
 
 
同时,总则中条款提出了包括“保障数据依法有序自由流动”(第七条)、“开展数据处理活动”(第八条)、“提高数据安全保护意识和水平”(第九条)、“指导会员加强数据安全保护”(第十条)、“促进数据跨境安全、自由流动”(第十一条)、“对投诉、举报人的信息予以保密”(第十二条)等要求。
 
 
 
安华金和通过对《数据安全法》总体架构进行概括提炼,更加直观呈现其重点内容。如下图所示,除总则、法律责任、附则外,《数据安全法》主要包括“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”四个章节:
 
 
1
 
数据安全与发展章节
 
明确提出我国在数字经济领域要实现“安全与发展并举”这一核心目标与发展方向,即“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”(第十三条)。
 
 
 
此外,“数据安全与发展”章节的不同条款也分别从“国家实施大数据战略”(第十四条)、“国家支持并鼓励针对数据的开发利用、技术研究与商业创新”(第十六条)、“国家推进数据安全标准体系建设”(第十七条)、“国家促进数据安全检测、评估、认证服务”(第十八条)、“国家培育数据交易市场”(第十九条)等多维度清晰传递出《数据安全法》对“安全与发展并举”的重视。
 
 
 
2
 
数据安全制度章节
 
从国家层面推动落实数据分类分级工作,即“国家建立数据分类分级保护制度”(第二十一条),并将该制度的核心目标定义为“保护重要数据及国家核心数据”。
 
 
 
此外,明确提出由国家“建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”(第二十二条)、“建立数据安全应急处置机制”(第二十三条),“建立数据安全审查制度”(第二十四条)、“依法实施数据出口管制”(第二十五条)以及“对外国歧视性行动的反制措施”等内容。
 
 
 
3
 
数据安全保护义务章节
 
集中规定了数据处理者对数据的安全保护义务:
 
3-1
 
数据安全治理方面义务
 
相关条款内容涵盖“数据安全管理、相应技术措施、风险监测与安全事件处置、风险评估、数据产生和收集”等多个方面。其中值得注意的是,由于《网络安全法》和《数据安全法》对于数据安全保护义务的相关规定较为琐碎,均属在日常需坚持不懈,且难以自证合规或容易违反要求的常规义务,应密切注意相关制度的建设与技术措施的实践落地方式,完整留存实践证明材料,以避免因此遭受行政乃至刑事处罚。
 
3-2
 
数据处理及服务方面义务
 
明确了关键信息基础设施重要数据出境安全管理办法适用《网络安全法》“本地化要求+出境评估”相关规定,而其他重要数据出境安全管理办法则由国家网信部门会同国务院有关部门制定(第三十一条)。同时,相关条款内容体现出国家对“数据交易模式”的重点关注,对“从事数据交易中介服务的机构及其服务方式”提出一系列具体要求,包括“应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”(第三十三条) ,同时明确“提供数据处理相关服务应当取得行政许可”(第三十四条)。
 
 
 
4
 
政务数据安全与开放章节
 
政务数据作为电子政务建设的基础要素,《数据安全法》专门对此类数据的“安全与开放”作出规定,明确国家机关行为规范,包括“在法定职责内收集使用数据,对在履职范围内知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据依法保密”(第三十八条);“建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全”(第三十九条);“国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序”(第四十条);“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台”(第四十二条)。