本文轉自【公安部網安局】;
數據安全法
公安機關 保駕護航
重磅!!
9月1日起,我國數據安全領域的基礎性法律《數據安全法》即將施行。
《數據安全法》貫徹落實總體國家安全觀,立足我國數據安全工作實際,在規範數據處理活動、強化數據安全保障、促進數字經濟發展、健全數據治理體系等方面建立了系列制度,讓數據安全有法可依、有章可循,對維護國家安全、數據安全、落實大數據發展戰略具有重大意義,為全球數據安全治理提出了中國方案、貢獻了中國智慧。
明確數據安全“全口徑”“全流程”監管,系統性完善數據安全保護和管理制度。
2017年出台的《網絡安全法》從網絡運行安全、網絡信息安全角度提出了數據管理要求,管理對象側重個人信息和關鍵信息基礎設施收集產生的數據,管理範圍側重數據採集、存儲等環節。
《數據安全法》在此基礎上作了進一步擴充,將任何以電子或其他方式記錄的信息,“全口徑”地納入“數據”予以保護,並對數據的收集、存儲、使用、加工、傳輸、提供、公開等“全流程”予以監管。
同時,建立了數據分級分類、風險評估、應急處置、安全審查、出口管制等基本制度,織牢織密數據安全保障制度,全面防控數據安全風險隱患。
法條鏈接
第三條 本法所稱數據,是指任何以電子或者其他方式對信息的記錄。
數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。
數據安全,是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
對重要數據、核心數據予以嚴格保護,建立層次分明、重點突出的數據安全保護體系
《數據安全法》中明確了“國家建立數據分級分類保護制度”,根據對國家安全、公共利益或者個人、組織合法權益的影響,將數據劃分為一般數據、重要數據及核心數據予以不同程度的保護,對重要數據處理者規定了明確數據安全負責人和管理機構、定期開展風險評估並報送報告、按照國家有關要求進行出境安全管理等更為嚴格的保護要求。對關係國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據,實行更加嚴格的管理制度。
同時,賦予地方政府和行業主管部門“因地制宜”制定重要數據目錄的相關權限,在確保法律的原則性、權威性的同時,增強其靈活性及針對性。
法條鏈接
第二十一條 國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
第二十七條第二款 重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
第三十條 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。
風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。
第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
將網絡安全等級保護制度、關鍵信息基礎設施安全保護制度延伸至數據領域,強化數據安全與網絡安全的銜接。
網絡安全與數據安全是“一體兩面”的關係,維護網絡安全的目的是保護數據和個人信息安全,保護數據和個人信息安全有賴於維護網絡安全。
長期以來,網絡安全等級保護制度作為《網絡安全法》確定的基礎制度,在保護數據和個人信息安全方面發揮了重要作用。《數據安全法》將網絡安全等級保護制度作為數據安全保護的基礎制度,規定“利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務”。同時,將重要數據出境安全管理制度與《網絡安全法》中規定的關鍵信息基礎設施數據出境安全評估制度相銜接,將數據安全與網絡安全保護制度統籌設計、有效銜接,有利於明確監管機制,提高監管效率,減輕企業負擔。
法條鏈接
第二十七條 開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
立足基本國情並借鑑國外經驗,維護數據安全領域國家主權
在互聯網跨國應用、數據處理設備跨國運營、大量公民數據跨國存儲的背景下,劃定我國的數據主權範圍是數據安全立法的重要問題之一。
《數據安全法》將在境外開展數據處理活動但損害我利益的情形劃入管轄範圍,同時規定,國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的數據依法實施出口管制,境外執法機構調取我國境內數據必須獲得我國主管機關的批准。境外對我數據投資、貿易等方面採取不合理限制措施的,我國可對等採取措施,體現了全面依法治國原則,為應對國際風險提供了強有力的法律保障。
法條鏈接
第二條 在中華人民共和國境內開展數據處理活動及其安全監管,適用本法。
在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
第二十五條 國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的數據依法實施出口管制。
第二十六條 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。
第三十六條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。
基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
建立齊抓共管的數據安全監管制度,明確了公安機關數據安全監管職責
《數據安全法》建立了各地區、各部門、各行業、各領域齊抓共管的數據安全保護工作機制,由中央國家安全領導機構負責國家數據安全的決策和議事協調,建立國家數據安全工作協調機制。
同時,明確“公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責”,並明確有關組織、個人對公安機關依法調取數據的配合義務。
公安機關將依法履責,對數據處理者履行數據風險監測與風險評估等數據安全保護義務、遵守國家核心數據管理制度、向境外提供重要數據、配合公安機關開展數據調取、向外國司法或者執法機構提供數據等行為依法開展監督管理,保障國家數據安全,保護公民、組織的合法權益,維護國家主權、安全和發展利益。
法條鏈接
第五條 中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。
第六條 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
工業、電信、交通、金融、自然資源、衞生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。
第三十五條 公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當予以配合。
第四十五條 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重後果的,處五十萬元以上二百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
第四十六條 違反本法第三十一條規定,向境外提供重要數據的,由有關主管部門責令改正,給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
第四十八條 違反本法第三十五條規定,拒不配合數據調取的,由有關主管部門責令改正,給予警告,並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
違反本法第三十六條規定,未經主管機關批准向外國司法或者執法機構提供數據的,由有關主管部門給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重後果的,處一百萬元以上五百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
圖片 | 網絡截圖