2021年6月10日,十三屆全國人大常委會第二十九次會議通過了《數(shù)據(jù)安全法》,該法將于2021年9月1日起施行。
下文將對《數(shù)據(jù)安全法》進行重點提煉,并通過與二審稿的對比,進一步明確該法的要點。
重點提要
2020年6月,十三屆全國人大常委會第二十次會議對數(shù)據(jù)安全法草案進行了初次審議。2021年4月26日,十三屆全國人大常委會第二十八次會議對根據(jù)數(shù)據(jù)安全法草案的修改情況進行二審。
在兩次審議之后,全國人大常委會法工委發(fā)言人臧鐵偉曾表示,根據(jù)各方面意見,提請在三次審議稿上擬作如下修改:
一是建立工作協(xié)調(diào)機制,加強對數(shù)據(jù)安全工作的統(tǒng)籌。
二是明確對關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)實行更嚴格的管理制度。
三是要求提供智能化公共服務應當充分考慮老年人、殘疾人的需求,不得對老年人、殘疾人的日常生活造成障礙。
四是進一步完善保障政務數(shù)據(jù)安全方面的規(guī)定。
五是加大對違法行為的處罰力度。
根據(jù)對《數(shù)據(jù)安全法》的比對,可以發(fā)現(xiàn)上述五點都體現(xiàn)于其中。
( 注:在二審稿基礎上新增或修改內(nèi)容已作標紅 )
1. 數(shù)據(jù)安全工作協(xié)調(diào)機制
在二審稿的基礎上,《數(shù)據(jù)安全法》采納了建立工作協(xié)調(diào)機制的建議,優(yōu)化了數(shù)據(jù)安全的統(tǒng)籌工作。
二審稿第六條
中央國家安全領導機構負責數(shù)據(jù)安全工作的決策和統(tǒng)籌協(xié)調(diào),研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策。
《數(shù)據(jù)安全法》第五條
中央國家安全領導機構負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào),研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策,統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項和重要工作,建立國家數(shù)據(jù)安全工作協(xié)調(diào)機制。
二審稿第二十條
國家建立數(shù)據(jù)分類分級保護制度,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度,對數(shù)據(jù)實行分類分級保護,并確定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。
各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。
《數(shù)據(jù)安全法》第二十一條
國家建立數(shù)據(jù)分類分級保護制度,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù),實行更加嚴格的管理制度。
各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度,確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。
二審稿第二十一條
國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制,加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。
《數(shù)據(jù)安全法》第二十二條
國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。
2. 數(shù)據(jù)安全管理制度
《數(shù)據(jù)安全法》要求在開展數(shù)據(jù)處理活動的同時履行數(shù)據(jù)保護的義務,并且嚴格規(guī)定了中華人民共和國主管機關在與外國相關機構進行數(shù)據(jù)處理活動時應遵守的原則,強調(diào)了網(wǎng)絡安全等級保護制度的基礎地位,規(guī)范了提供主體。相較于二審稿,條例細節(jié)更加詳細,管理更加嚴格。
二審稿第二十六條
開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,在網(wǎng)絡安全等級保護制度的基礎上,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。
重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。
《數(shù)據(jù)安全法》第二十七條
開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動,應當在網(wǎng)絡安全等級保護制度的基礎上,履行上述數(shù)據(jù)安全保護義務。重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。
二審稿第三十五條
中華人民共和國境外的司法或者執(zhí)法機構要求調(diào)取存儲于中華人民共和國境內(nèi)的數(shù)據(jù)的,非經(jīng)中華人民共和國主管機關批準,不得提供;中華人民共和國締結或者參加的國際條約、協(xié)定有規(guī)定的,可以按照其規(guī)定執(zhí)行。
《數(shù)據(jù)安全法》第三十六條
中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執(zhí)法機構關于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關批準,境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。
3. 充分考慮老年人、殘疾人的需求,不得對其造成障礙
《數(shù)據(jù)安全法》根據(jù)二審建議在第二章數(shù)據(jù)安全與發(fā)展中新增了有關維護老年人、殘疾人權益的條例。在支持提升智能化的同時,充分發(fā)揮人文關懷,以人為本,考慮弱勢群體的需求,讓智能化公共服務為更多人提供便利。
《數(shù)據(jù)安全法》第十五條
國家支持開發(fā)利用數(shù)據(jù)提升公共服務的智能化水平。提供智能化公共服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
4. 政務數(shù)據(jù)安全
針對敏感的政務數(shù)據(jù),《數(shù)據(jù)安全法》在二審稿的基礎上,強調(diào)了對數(shù)據(jù)處理過程中所獲取的敏感信息應依法予以保密,并且規(guī)定了對敏感信息的處理方式。
二審稿第三十七條
國家機關為履行法定職責的需要收集、使用數(shù)據(jù),應當在其履行法定職責的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進行。
《數(shù)據(jù)安全法》第三十八條
國家機關為履行法定職責的需要收集、使用數(shù)據(jù),應當在其履行法定職責的范圍內(nèi)依照法律、行政法規(guī)規(guī)定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密,不得泄露或者非法向他人提供。
二審稿第三十九條
國家機關委托他人建設、維護電子政務系統(tǒng),存儲、加工政務數(shù)據(jù),或者向他人提供政務數(shù)據(jù),應當經(jīng)過嚴格的批準程序,并應當監(jiān)督受托方、數(shù)據(jù)接收方履行相應的數(shù)據(jù)安全保護義務。
《數(shù)據(jù)安全法》第四十條
國家機關委托他人建設、維護電子政務系統(tǒng),存儲、加工政務數(shù)據(jù),應當經(jīng)過嚴格的批準程序,并應當監(jiān)督受托方履行相應的數(shù)據(jù)安全保護義務。受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數(shù)據(jù)。
5. 違法行為處罰規(guī)則
《數(shù)據(jù)安全法》第六章法律責任中對被處罰的主體進行了更細致的劃分,對情節(jié)嚴重的對象提高了處罰上限,并且,除經(jīng)濟處罰之外,增添了追究刑事責任,大大加大了處罰力度。
《數(shù)據(jù)安全法》第四十五條
開展數(shù)據(jù)處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
違反國家核心數(shù)據(jù)管理制度,危害國家主權、安全和發(fā)展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據(jù)情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;構成犯罪的,依法追究刑事責任。
《數(shù)據(jù)安全法》第四十六條
違反本法第三十一條規(guī)定,向境外提供重要數(shù)據(jù)的,由有關主管部門責令改正,給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節(jié)嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
《數(shù)據(jù)安全法》第四十八條
違反本法第三十五條規(guī)定,拒不配合數(shù)據(jù)調(diào)取的,由有關主管部門責令改正,給予警告,并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。違反本法第三十六條規(guī)定,未經(jīng)主管機關批準向外國司法或者執(zhí)法機構提供數(shù)據(jù)的,由有關主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重后果的,處一百萬元以上五百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
其他要點
相較于二審稿,《數(shù)據(jù)安全法》刪除修改了如下內(nèi)容:
1. 總則中所規(guī)定的各地區(qū)、各部門所負責的數(shù)據(jù)安全范圍改變:從產(chǎn)生、匯總、加工的數(shù)據(jù)更改為收集和產(chǎn)生的數(shù)據(jù);所擔負的責任由主體責任變?yōu)樨熑巍?/p>
2. 二審稿中的建立數(shù)據(jù)安全協(xié)作機制更改為開展數(shù)據(jù)安全知識宣傳普及,提高全社會的數(shù)據(jù)安全保護意識和水平。
3. 二審稿中國家支持開展數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全相關教育和培訓的高等學校、中等職業(yè)學校改為教育機構。
總結
《數(shù)據(jù)安全法》的出臺,以及不到三個月就將施行的緊迫期限,都引起了網(wǎng)絡安全行業(yè)的從業(yè)者、研究人員和愛好者們的強烈關注。
通過以上分析可以發(fā)現(xiàn),新出臺的《數(shù)據(jù)安全法》確立了數(shù)據(jù)分類分級管理、數(shù)據(jù)安全審查、數(shù)據(jù)安全風險評估、監(jiān)測預警和應急處置等基本制度,為我國數(shù)據(jù)安全保護提供了法律保障,并指明了維護數(shù)據(jù)安全的方向。
360公司創(chuàng)始人兼CEO周鴻祎也認為:
“大數(shù)據(jù)時代,所有的業(yè)務都是數(shù)據(jù)驅(qū)動的,一旦敏感數(shù)據(jù)被鎖定或泄露,會造成重大經(jīng)濟損失或生產(chǎn)癱瘓。法案的出臺,非常必要且及時,將推動社會數(shù)據(jù)全生命周期的安全,比如采集、傳輸、存儲、處理、交換、銷毀等的安全。”
《數(shù)據(jù)安全法》中對于企業(yè)與機構的責任、義務有了更加細節(jié)的劃分,并且,針對不同的實際情況提供了不同的應對方案,在廣度和深度上都對數(shù)據(jù)安全保護有了詳細的規(guī)定。
《數(shù)據(jù)安全法》通過之后,結合先前出臺的《網(wǎng)絡安全法》、再加上即將問世的《個人信息保護法》,由此可見,我國網(wǎng)絡空間的法律保障正在愈加完善。
