数据安全怎么做?合规篇之数据安全法(草案)
继欧洲GDPR、巴西LGPD、美国CCPA等法案之后,我国的《中华人民共和国数据安全法》呼之欲出。
2020年6月28日,数据安全法草案在十三届全国人大常委会第二十次会议上提请审议。
主要内容包括:1、确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;2、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;3、坚持安全与发展并重,规定支持促进数据安全与发展的措施;4、建立保障政务数据安全和推动政务数据开放的制度措施。
2020年7月2日,相关安全平台发布《中华人民共和国数据安全法 (草案) 》全文发布,内容涉及7个章节,51条内容,相关总结梳理如下:
第一章 总则(重点)
综述:
阐述数据安全法制定的背景、适用范围、关键词定义、公民和组织的权益和义务。
具体关键点如下:1、适用范围:在中华人民共和国境内开展数据活动的组织、个人。2、数据的定义:任何以电子或者非电子形式对信息的记录。3、数据活动的定义:数据的收集、存储、加工、使用、提供、交易、公开等行为。4、数据安全的定义:通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
第二章 数据安全与发展
综述:
国家层加强对数据安全层面发展的支持,技术和产业发展带动数据安全建设,促进数据安全检测评估、认证、培训教育,建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第三章 数据安全制度(重点)
综述:
国家层面强调对数据要进行分级分类保护,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度。数据依法实施出口管制,并可对国外采取相应的措施进行数据层面的反制。
第四章 数据安全保护义务(重点)
综述:
本章节定义了开展数据活动的组织和个人的责任和义务。
具体关键点如下:
- 建立健全全流程数据安全管理制度(第二十五条)
- 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。(第二十五条)
- 重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。(第二十五条)
- 加强风险监测,数据安全漏洞及时修补,事件及时上报。(第二十七条)
- 定期开展风险评估,并向有关主管部门报送风险评估报告。报告内容包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)
- 任何组织、个人收集数据,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。(第二十九条)
- 从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第三十条)
- 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。(第三十一条)
- 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。(第三十三条)
第五章 政务数据安全与开放
此章节主要体现对政府、部委的电子政务要求。
第六章 法律责任
综述:
对开展数据活动的组织和个人未正确履行责任和义务的,有关主管部门可以责令改正,给予警告并执行处罚(组织、数据安全主管及相关责任人瑟瑟发抖中)。
具体关键点如下:1、未履行25、27、28、29条规定义务的:
- 组织处一万至十万罚款,直接主管人员五千至五万元罚款!
- 拒不改正或造成严重后果的,组织处十万至一百万罚款,直接主管及相关责任人员处一万至十万罚款!
2、未履行30条义务的:
- 没收违法所得,并处违法所得的一倍至十倍罚款;
- 无违法所得的,处十万至一百万罚款;
- 主管部门有权吊销相关业务许可证或营业执照;
- 对直接主管及相关责任人员处一万至十万罚款!
3、未经许可,擅自从事“在线数据处理等服务”经营的:
- 有关部门责令整改或取缔;
- 没收违法所得,处违法所得一倍至十倍罚款;
- 无违法所得的,处十万至一百万罚款;
- 直接主管及相关责任人员处一万至十万罚款。
4、国家机关或人员不履行本法或玩忽职守,依法给予处分。5、数据活动维护国家或公民权益的,依法处罚或承担民事责任。
第七章 附则
略。
国家层面已经发布的相关可参考的思路资料:
1、数据分级分类:《政府数据 数据分类分级指南》DB 52/T 1123—2016《工业数据分类分级指南(试行)》《政府数据 数据脱敏工作指南》2、数据采集:《App违法违规收集使用个人信息行为认定方法》3、数据安全建设:《数据安全管理办法》(征求意见稿)《网络数据安全标准体系建设指南》(征求意见稿)《信息安全技术 个人信息安全规范》4、数据出境:《个人信息出境安全评估办法》(征求意见稿)
总结
本法案重点内容为第四章和第六章,明确规定出开张数据活动的组织和个人的责任和义务,未按照要求履行的,可以依法进行惩处,整个法案将把国内数据安全提升到一个新的高度,数据安全工作上升到国家层面,数据安全有法可依!
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐