樊山 老烦读《数据安全法》 本文旨在针对国家《数据安全法》全文提�对相关条款的理解,并在附录中提供有关《数据安全法》适用性引用内容,以供读者参考。本 文纯属个人见解,请勿过分解读。 目录 前言2 中华人民共和国数据安全法3 第一章总则3 第二章数据安全与发展6 第三章数据安全制度8 第四章数据安全保护义务10 第五章政务数据安全与开放14 第六章法律责任15 第七章附则18 附录1法律法规20 民法典20 第六章隐私权和个人信息保护20 中华人民共和国刑法21 中华人民共和国刑法修正案(七)23 中华人民共和国刑法修正案(九)23 中华人民共和国刑法修正案(十一)25 中华人民共和国�口管制法26 中华人民共和国网络安全法33 个人信息和重要数据�境安全评估办法45 网络安全审查办法47 《中华人民共和国认证认可条例》(2020年修订版)50 国家网络安全事件应急预案60 公共互联网网络安全突发事件应急预案69 网络安全漏洞管理规定78 附录2标准规范81 信息安全技术数据处境安全评估指南81 GB/T352732020信息安全技术个人信息保护规范81 附录3其他81 关于《中华人民共和国反外国制裁法(草案)》的说明81 前言 《数据安全法》即将在2021年9月1日正式实施,作为我国网络安全立法环节中的重要一环,本法高于《网络安全法》但相辅相成,互为依托,完善了我国网络安全基础立法。未来围绕这两部立法将延展更多的适用项专业法和法规,部门规章,同时相关的标准制定也在立法支持下日趋完善。 本文仅为作者在网络安全工作中的片面理解,为非官方不专业理解,本文在编写过程中参考了中国法制出版社杨合庆先生主编的《中华人民共和国网络安全法解读》,深圳网安检测龙军先生的《《中华人民共和国数据安全法》技术合规要点分析》一文,特向两位作者表示感谢。有关不足之处请各位读者指正。 版权所有,转发请注明出处 樊山2021年6月14日端午安康 中华人民共和国数据安全法 (2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过) 第一章总则 第一条为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织 的合法权益,维护国家主权、安全和发展利益,制定本法。 目的: 规范数据处理活动:数据在整个生命周期从数据生产/采集-存储-处理-传输-交换-销毁六个阶段展开数据安全保护。在本法的第3条将数据处理活动定义为:收集、存储、使用、加工、传输、提供、公开 数据开发利用活动应建立在遵循国家相关立法基础之上开展相关工作,从而保 护个人、组织、国家利益和权益。 第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。适用范围:中华人民共和国境内开展数据处理活动及其安全监管,同时也明确域外损害我国国家安全、公共利益或公民、组织合法权益同样适用于本法。第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 数据的含义: 数据从形态而言有电子的(通过电子设备表达的一种形式)、非电子(如记录在纸、触觉、嗅觉、听觉、视觉所识别到能够表示事物形态的内容) 本条款在定义数据处理活动中缺少了对数据销毁阶段的控制活动 数据安全中必要措施的目的是确保数据的有效、合法的利用及连续性保障,综合而言可以概述为数据的保密性(C)、完整性(I)、可用性(A)及可靠性原则的具体体现。其中综合是建立在技术、管理、工程过程基础之上围绕数据全生命周期开展其相关保障活动。但是由于数据本身与业务的特质,数据安全 保护应围绕业务开展具体工作。 第四条维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高 数据安全保障能力。 本法将数据安全工作建立在国家整体安全层面,数据安全法是建立在网络安全法之上,同时与网络安全法相辅相成,实现最终数据安全保障能力。第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。本法明确数据安全工作在国家层面由“中央”一级国家安全领导架构负责,2018年,“中央网络和信息安全领导小组”更名为“中央网络安全和信息化委员会”,从而奠定了数据安全最终的责任机构。本机构在国家层面建立协调机制,统筹有关国家数据安全的指导工作以及战略制定、政策研究。第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。本条明确层次化监管职责,各部门、行业主管单位在各自管辖权各司其职,履行监管责任和义务。国家网信部门统筹协调,公安机关承担有关危害公共安全下的数据安全监管职责、国家安全机关负责危害国家安全行为的数据安全监管工作。本省、市相关主管部门对本省市有关数据安全工作负责,各行业主管单位承担本行业监管职责。第七条国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。 本条对公民、法人和其他组织对数据的所有权关系及相关权益建立保障。结合《网络安全法》第4章相关规定,明确数据所有权、使用权、托管权及使用数据的相关规定,在合法合规的前提下促进数据的合理有效利用,提升基于数据化的服务水平和能力,保障数据使用的相关活动能够依法有序的自由流动。第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。个人、组织应该在享有宪法和法律相关的规定的前提下履行义务,在行使自由和权力的前提下所应该遵循相关法律如:刑法、民法典、网络安全法等、法规及道德规范。第九条国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。维护数据安全是全社会共同责任,国家支持推动常态化的数据安全相关知识的宣传普及工作,政府有关部门督促管辖范围履行宣传教育职责,科研机构、专业培训教育机构、个人开发、设计、制作宣贯教育内容、各行业组织积极参加培训与教育。从整体提高我国数据安全水平与能力。第十条相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。本条强调行业自律工作。行业主体为维护共同利益、促进共同发展而开展行业规范的制订,规范行业行为、协调利益关系,维护公平竞争的自我管理和自我约束行为。共同制定符合本行业的数据安全保护规范和最佳实践。第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。数据跨境活动应遵循国家互联网办公室颁布的《个人信息和重要数据出境安全评估办法》具体开展相关工作。同时国家积极制定相关标准规范,如:《信息安全技术数据出境安全评估指南》、第十二条任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。 举报危害数据安全行为是个人与组织的权力和义务,接受举报的主要部门为主管数据安全的有关部门。接受举报的相关部门应当受理举报并根据举报内容、性质等依法、及时处理。根据《行政许可法》有关对举报的处理有明确时限要求的,应当在规定时限内作出处理并按要求给与回复。受理举报的有关部门应对举报人及举报内容严格保密,不得泄露 第二章数据安全与发展 第十三条国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。本条款关于支持数据安全和产业发展的相关规定数据安全产生的隐私保护及更广义的业务安全的问题迫使我们必须开始关注和重视数据在开发利用和产业发展过程中的数据安全问题。第十四条国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。本条针对数据利用强调大数据战略,鼓励各行业开展大数据相关产业,合理、安全利用大数据。由省级以上人民政府支持数据的安全利用和安全的支撑产业发展作出原则性规定,并通过立法开展数字经济发展规划设计工作。第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。本条着眼于大数据支持下的智能化的发展,此举势必将基于大数据建立的智能化、工业互联网体系推向高潮。而基于利用大数据建立的智能养老、残疾人服务等医疗卫健大数据的应用将获得更有效的法律支持。第十六条国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。本条通过立法支持有关数据安全技术的研究开发和应用,推广安全可信的网络安全产品 和服务,保护数据安全技术知识产权,支持企业、研究机构和高校等参与与国家数据安全技术的创新项目。第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。专业标准的制定是建立数据安全的必要保证,国家鼓励制定行之有效的数据安全标准,国家标准管理委员会根据数据安全技术的发展和数据产业的发展组织相关行业、学术机构、科研团体、高校及安全专家共同开发相关标准。本条根据标准化法的规定,明确国家支持标准的制定工作。第十八条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。数据安全检测评估、认证是安全相关标准和操作规程所进行的合格评定程序,这是一种国际通行做法。近年来,我国对网络安全相关活动逐步趋向于体系化、正规化、公平化,网络安全检测销售许可制度也将更加完善和具有强制力。根据《中华人民共和国认证认可条例》有关规定开展相关检测工作。第十九条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。随着大数据的高速发展,数据交易活动管理成为数据安全工作的焦点问题,从数据的来源、交付、使用、传递等环节的合法性问题必须通过国家立法形成有效的规制。数据来源在网络安全环境中是一个特殊的问题,黑色产业链下的数据违法交易遍及全球各地,而数据交易组织没有一个有效的审核和授权机制,大数据下的“人物画像”造成的大量隐私泄露都问题迫使全球针对数据的良性使用和交易活动立法化,通过立法培育一个良性数据交易市场。第二十条国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。本条支持培养网络安全人才,人才是第一位要素,国家创建网络空间安全学院培养网络安全专业人才,弥补现有的人才缺口,随着数据安全问题的日益