2021年6月10日,第十三届全国人大常委会第二十九次大会根据《我国数据安全法》(下称《数据安全法》),自2021年9月1日起实施。
《数据安全法》展现了总体国家安全观的法律总体目标,对焦数据安全行业的明显问题,确立了数据标准化分类管理,创建了数据安全风险评价、检测预警信息、应急管理、数据安全核查等基本制度,并确定了有关核心的数据安全维护责任,这也是在我国首个相关数据安全的专业法律法规。《数据安全法》一共有七章五十五条,具备十大突显闪光点。
一、坚持不懈总体国家安全观
《数据安全法》以落实总体国家安全观的意义为立足点,以数据治理中较为关键的安全隐患做为突破口,把握住了数据安全的基本矛盾和均衡点,是在我国数据安全行业的一部关键基本性法律法规。《数据安全法》第一条确立该法的法律目地:“为了更好地标准数据处理方法主题活动,确保数据安全,推动数据信息综合利用,维护本人、机构的合法权利,维护保养领土主权、安全性和发展趋势权益,制订此方法。”
此条中的“标准数据处理方法主题活动,确保数据安全,推动数据信息综合利用”是《数据安全法》的法律基本,在其中“标准、确保、推动”这三个关键词,是一种递进关系,标准数据处理方法主题活动的目地,是因为确保统计数据的安全性,仅有在保证数据安全的根基上,方能推动数据信息的井然有序开发设计和运用。
二、在我国个人信息保护的境外法律认可
现阶段,全世界对外经济贸易买卖、行业交流、资源福利等海外协作日益频繁,数据信息跨境电商流动性早已是难以规避的客观事实。假如在我国的《数据安全法》只适用“在我国地区进行数据信息主题活动”的区域室内空间,显而易见不实际的。因此,《数据安全法》第二条第二款明文规定:“在我国海外进行数据处理方法主题活动,危害我国国防安全、集体利益或是中国公民、机构合法权利的,单位受贿罪法律依据。”
这款中的“海外进行数据处理方法主题活动”的行为主体既包含坐落于我国海外的数据处理方法者,也包含坐落于中国境内的数据处理方法者,但其数据处理个人行为在海外,这两大类数据处理方法者的个人行为只需危害了在我国国防安全、集体利益及其中国公民和安排的正规数据信息利益,均由在我国法律法规所管,并追责法律依据。
三、“中间国安委”统筹兼顾下的行业报告管控体制
在我国《数据安全法》第五条确立:“中间国防安全领导成员承担我国数据安全工作中的决定和审议融洽,研究制定、具体指导执行我国数据安全发展战略和相关重要政策方针,统筹兼顾我国数据安全的经济责任审计和关键工作中,创建我国数据安全工作中联动机制。”
《数据安全法》推行“中间国安委”统筹兼顾下的领域管控体制:最先,中间国防安全领导成员承担我国数据安全工作中的决定和审议融洽,研究制定、具体指导执行我国数据安全发展战略和相关重要政策方针,统筹兼顾我国数据安全的经济责任审计和关键工作中;次之,各地区、各职能部门对本地域、本单位工作上搜集和出现的信息及数据安全承担;再度,工业生产、电信网、交通出行、金融业、生态资源、卫生健康、文化教育、高新科技等主管机构担负行业、本领域数据安全管控岗位职责;第四,公安部门、国防安全机关单位等按照公司法和相关法律法规、行政规章的要求,在自己岗位工作职责内担负数据安全管控岗位职责;第五,我国网信部门按照《数据安全法》和相关法律法规、行政规章的要求,承担统筹兼顾互联网数据安全和有关管控工作中。
四、推动以统计数据为重要因素的数字经济的发展趋势
《数据安全法》第七条要求:“我国维护本人、机构与数据信息相关的利益,激励数据信息依规有效高效运用,确保数据信息依规井然有序随意流动性,推动以统计数据为重要因素的数字经济的发展趋势。”
数据信息做为规模经济由销售市场点评奉献、按贡献确定酬劳,这也是党的十九届四中全会初次明确提出的一项重要产权年限自主创新规章制度。现阶段,各种互联网平台,尤其是非常互联网平台根据本身构建的互联网生态体系,将互联网城市公共空间的数据信息作为一种私权,不利数据信息要素市场的搭建。因而,《数据安全法》明确指出“我国维护本人、机构与数据信息相关的利益”,这儿的“利益”指中国公民和法定代表人受国家法律维护的与数据信息相关的权益和利益。在本人和机构与数据信息相关的利益获得全面维护的根基上,依规促进数据信息有效高效使用和依规井然有序随意流动性。
五、我国数据标准化等级分类维护规章制度
《数据安全法》第二十一条要求:“我国创建数据标准化等级分类维护规章制度,依据数据信息在社会经济发展中的关键水平,及其一旦遭受伪造、毁坏、泄漏或是不法获得、不法运用,对国防安全、集体利益或是本人、机构合法权利导致的影响水平,对数据信息推行归类等级分类维护。我国数据安全工作中联动机制统筹兼顾相关部门制订关键数据信息文件目录,加强对关键信息的维护。”
《数据安全法》中的“数据标准化”,选用了数据信息的“关键水平” “伤害水平”的法律方式,对数据信息推行归类等级分类维护,尤其是将“关联国防安全、社会经济根基、关键民生工程、重要集体利益等数据信息”列入我国关键数据信息,推行更为严苛的管理方案。《数据安全法》从国家方面明确提出了数据标准化等级分类,是明确个人信息保护和运用中间均衡点的一个重要环节,为政务中心数据信息、企业资料、工业生产数据信息和个人数据的维护确立了法律基础知识。
六、我国数据安全核查规章制度
“国防安全核查”是在我国《国家安全法》最开始确立的一项国防安全核查与管控规章制度。依据《国家安全法》第五十九条的要求:“我国创建国防安全核查和管控的规章制度和体制,对危害或是很有可能危害国防安全的外国投资、特定物项和核心技术、互联网信息科技产品与服务、涉及到国防安全事宜的项目建设,及其别的经济责任审计和主题活动,开展国防安全核查,合理防范和解决我国安全隐患。”
数据安全核查规章制度与网络信息安全核查是依规确立的国防安全核查规章制度中二项关键的安全性核查规章制度。《数据安全法》第二十四条要求:“我国创建数据安全核查规章制度,对危害或是很有可能危害国防安全的数据处理方法主题活动开展国防安全核查。”《网络安全法》第三十五条要求:“重要讯息基础设施建设的经营者购置互联网产品与服务,很有可能危害国防安全的,理应根据我国网信部门会与国务院办公厅相关部门机构的国防安全核查。”
《数据安全法》中的数据安全审查规章制度与《网络安全法》中的网络信息安全核查规章制度各有不同,前面一种的审核目标关键对于危害或是很有可能危害国防安全的数据处理方法主题活动,数据处理方法主题活动包含:数据信息的搜集、储存、应用、生产加工、传送、给予、公布等;后面一种的审核目标主要是对于重要讯息基础设施建设经营者购置互联网产品与服务,危害或很有可能危害国防安全的情况。
七、我国数据安全应急管理体制
《数据安全法》第二十三条确立了“我国创建数据安全应急管理体制”,并规定“产生数据安全事情,相关部门应该依规运行应急方案,采取有效的应急管理对策,避免伤害扩张,清除安全风险,并立即向社會公布与群众相关的警告信息内容。”
此条有四层含意,一是要在国家方面搭建数据安全应急管理体制;二是相关企业在产生数据安全事情时,理应依规马上运行应急方案,此条中的“相关企业”应当“谁负责人谁承担、谁运作谁承担”的标准明确;三是采用最有效的应急管理对策,避免伤害扩张,要解决安全风险,与此同时要机构判断,储存直接证据,并搞好信息内容通告工作中;四是立即向社會公布与群众相关的警告信息内容,注重“公布与群众相关的警告信息内容”的目地,是因为让大众掌握数据安全事情的实情,并立即采用自救的对策,以防其数据信息遭受损坏或在遭受毁坏后避免损害的扩张。
数据安全事情应急方案应当紧急程度、发展趋势势态和有可能产生的影响水平开展等级划分,一般分成四级:由高到低先后用鲜红色、橘色、黄色和蓝色标识,各自相匹配很有可能造成尤其重要、重大、比较大和一般网络信息安全紧急事件。
八、数据信息合规管理责任
数据信息合规管理,就是指数据处理方法者以及工作员的数据处理方法个人行为合乎相关法律法规、管控要求、领域规则和数据安全管理方法管理制度及其国际条约、标准等规定。《数据安全法》第二十七条到第三十条确立了数据处理方法者执行数据安全的四项关键合规管理责任。
(一) 进行数据处理方法主题活动理应依规合规管理
《数据安全法》第二十七条要求了四项关键责任:一是进行数据处理方法主题活动理应按照法律法规、政策法规的要求;二是进行数据处理方法主题活动理应不断完善全步骤数据安全管理方案,并深入开展数据安全培训学习;三是进行数据处理方法主题活动理应采取有效的技术措施和别的相应措施,确保数据安全;四是借助互联网技术等网络信息进行数据处理方法主题活动,理应在网络信息安全等级保护测评规章制度的根基上,执行以上数据安全维护责任。
(二) 数据处理方法理应为民造福并合乎社会发展社会道德
《数据安全法》第二十八条明确提出了数据处理方法主题活动及其科研开发设计数据信息新技术应用的三项合规管理责任,一是数据处理方法者科学研究开发设计数据信息技术性,一定要有利于推动社会经济发展;二是数据处理方法者科学研究开发设计数据信息新技术应用,要以提高人民福址为目地;三是数据处理方法者科学研究开发设计数据信息新技术应用理应合乎社会道德和伦理道德。
(三) 数据处理方法主题活动理应加强风险性检测
《数据安全法》第二十九条对数据安全的风险性检测与数据安全事情的处理作出二项明确规定,一是进行数据处理方法主题活动理应加强风险性检测,发觉数据安全缺点、系统漏洞等风险性时,理应立刻采用防范措施;二是产生数据安全事情时,理应立刻采用处理对策,按规定立即告之客户并向相关主管机构汇报。
(四) 关键数据处理方法者需要按时进行数据信息风险评价
《数据安全法》第三十条要求,一是关键信息的解决者理应按规定对其数据处理方法主题活动按时进行风险评价;二是数据信息风险评估报告理应向相关主管机构申报;三是风险评估报告理应包含解决的关键信息的类型、总数,进行数据处理方法主题活动的状况,遭遇的数据安全风险性以及应对措施等。
九、关键信息的出国安全制度
《数据安全法》第三十一条对关键数据信息出国安全工作提出要求,关键有两层面內容,一是重要讯息基础设施建设的经营者在我国地区经营中整理和出现的关键信息的出国安全工作,适用《中华人民共和国网络安全法》的要求;二是除重要讯息基础设施建设的经营者解决的关键数据信息外,别的数据处理方法者在我国地区经营中整理和出现的关键信息的出国安全工作方法,由我国网信部门会与国务院办公厅相关部门制订。
十、给予数据分析服务项目的行政许可事项准入条件规章制度
《数据安全法》第三十四条要求:“法律法规、行政规章要求给予数据处理方法相关服务理应获得行政许可事项的,生产经营者理应依规获得批准。” 许可(license)带有准予、容许或受权的含意,数据处理方法相关服务的行政许可事项,其基本上特性是行政单位对指定的数据处理方法服务项目行动开展预先操纵的一种管理方法个人行为。
数据处理方法相关服务的行政许可事项一般应具备下列特点:
一是从业数据处理方法相关服务的行政许可事项是一种依行政相对人申请办理的行政主体,沒有行政相对人的申请办理,行政单位不可以积极给予批准;
二是数据处理方法服务项目行政许可事项的设置代表着法律法规的一般严禁,行政许可事项的內容是我国一般严禁的主题活动,为融入社会发展和制造的必须,对满足一定条件者消除严禁,容许其从业某种指定的主题活动。数据处理方法服务项目自身牵涉到维护保养国家领土主权、安全性和发展趋势权益,应该是国家一般严禁的个人行为,但国家为了更好地推动数据信息综合利用,在确保网络信息安全的条件下,对满足条件的结构和本人准许其执行数据处理服务项目个人行为;
三是数据处理服务项目行政许可事项是一种授益性行政行为,即授予相对人某类支配权和资质的授益性行政行为,是准许相对人从业数据处理服务项目此项特殊主题活动的个人行为。