中华人民共和国数据安全法 整理人:魏东 2022年12月12日 目录 第一章总则4 第一条「立法目的」4 第二条「调整范围」4 第三条「数据的内涵与外延」5 第四条「基本原则」6 第五条「国家数据安全工作协调机制」7 第六条「责任主体及各部门分工」7 第七条「权益保护与促进原则」9 第八条「数据处理活动之准则」10 第九条「宣传普及」11 第十条「行业自治」12 第十一条「国际合作」13 第十二条「投诉与举报机制」14 第二章数据安全与发展16 第十三条「安全与发展相辅相成」16 第十四条「大数据战略与数字经济」17 第十五条「公共服务职能化」18 第十六条「数据技术和产品」20 第十七条「数据标准体系建设」21 第十八条「安全检测评估,认证服务」23 第十九条「数据交易管理制度」24 第二十条「教育培训与人才培养」25 第三章数据安全制度26 第二十一条「分类分级制度」26 第二十二条「监测预警制度」29 第二十三条「应急处置制度」30 第二十四条「安全审查制度」30 第二十五条「出口管制制度」32 第二十六条「对等反制制度」33 第四章数据安全保护义务34 第二十七条「数据安全管理」34 第二十八条「数据处理活动的方向」37 第二十九条「数据安全风险监测与处置」38 第三十条「重要数据风险评估制度」39 第三十一条「重要数据的出境安全管理」40 第三十二条「收集数据的方式」42 第三十三条「数据交易服务的要求」44 第三十四条「提供数据处理相关服务的行政许可要求」45 第三十五条「公安机关、国家安全机关依法调取数据」46 第三十六条「境外司法的数据调取」47 第五章政务数据安全与开放48 第三十七条「电子政务建设的推动」48 第三十八条「国家机关收集、使用数据」49 第三十九条「国家机关的数据安全保护义务」50 第四十条「国家机关委托建设电子政务系统」52 第四十一条「政务数据公开的原则」53 第四十二条「政务数据开放」54 第四十三条「主体的范围」54 第六章法律责任55 第四十四条「数据安全监管职责的履行」55 第四十五条「违反数据安全保护义务和国家核心数据管理制度的责任承担」56 第四十六条「违法向境外提供重要数据的责任承担」错误!未定义书签。 第四十七条「数据交易中介服务机构未履行义务的责任承担」57 第四十八条「拒不配合数据调取,违法向国外司法或执法机构提供数据责任承担」 .......................................................................................................................................58 第四十九条「国家机关不履行义务责任承担」59 第五十条「监管人员违法责任承担」60 第五十一条「非法获取、使用数据损害合法权益」61 第五十二条「责任承担」62 第七章附则63 第五十三条「涉国家秘密处理活动」63 第五十四条「军事数据安全保护」64 第五十五条「施行时间」64 第一章总则 第一条「立法目的」原文 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。解读 作为本法的立法目的条款,本条为我国的数字产业发展划定了红线与基本线,即数据处理与利用活动首先应以国家主权、安全和发展利益以及个人、组织的合法权益为前提和基础,在安全的框架内开展数据开发利用,这也应成为相关企业开展业务活动的准绳与指南。 引文 《关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见》; 《法治社会建设实施纲要(2020—2025年)》; 《关于加快构建新发展格局的指导意见》; 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》; 《促进大数据发展行动纲要》; 《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》; 《中共中央、国务院关于新时代加快完善社会主义市场经济体制的意见》; 《科学数据管理办法》。 第二条「调整范围」原文 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。解读 企业开展数据活动时,应同时注意两点:1.判断自身所开展业务属于 数据产业链条的哪一环节、是否属于数据处理活动,如果属于数据处理活动,则应严格按照本法规定履行义务,主动合规。2.对于组织机构不在中国,但只要其数据处理活动与中国国家安全、公共利益或者公民、组织合法权益相关的,就必须主动履行本法所规定的义务,不得损害中国的国家利益、公共利益及公民、组织的合法权益。 引文 《中华人民共和国网络安全法》第二条; 《中华人民共和国反不正当竞争法》第二条; 《中华人民共和国国家安全法》; 《中华人民共和国刑法修正案(七)》第九条。 第三条「数据的内涵与外延」原文 本法所称数据,是指任何以电子或者其他方式对信息的记录。 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 解读 1.关注数据加工传输环节的合规。对于仅提供技术服务,自身不采集数据,亦不留存数据的科技企业而言,数据收集环节的合规性反而可能不是其关注的重点,数据加工、传输等环节的合规性和安全性显得更为重要。2.关注其他形式的数据合规。对于大部分平台型企业而言,大部分数据都是以电子形式存在的,但根据《中华人民共和国数据安全法》的要求,在关注网络数据安全的同时,亦需要对纸质文档等非 电子载体上的数据予以重视。3.关注“必要措施”。“必要措施”应当在后续的相关立法中予以明确,企业应对此保持关注并按照要求建立常态化的必要措施体系。4.关注个人信息合规。《中华人民共和国数据安全法》所指向的数据具有宏观性,而非具体到某一领域或某一类型的数据,企业应结合自身业务关注领域内相关立法。随着个人信息保护法的出台,企业应注意个人信息保护合规。 引文 《中华人民共和国网络安全法》第七十六条; 《中华人民共和国民法典》第一百二十七条; 《中华人民共和国民法典》第一千零三十五条; 《中华人民共和国电子商务法》第二十五条; 《网络产品安全漏洞管理规定》第七条。 第四条「基本原则」原文 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。 解读 对于企业来说,“坚持总体国家安全观”首先要求其在开展数据收集和处理活动中,应当依照数据安全法第二十七条及有关法律、法规的规定,履行数据安全保护义务;其次,不少数据及相应的数据处理活动乍看之下虽然与国家安全联系并不紧密,但这些数据在与其他数据进行整合、加工、分析之后,仍可能产生威胁国家安全的风险。因而,在总体国家安全观的视角下,企业应审慎对待数据安全维护工作,严格做好数据安全风险评估,采取相应的技术措施和必要措施,不可因数据暂时未涉及国家安全而放松对任一流程数据安全的管理。 引文 《国家安全战略纲要》; 《中华人民共和国国家安全法》第三条。 第五条「国家数据安全工作协调机制」原文 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。 解读 《中华人民共和国国家安全法》第五条规定:“中央国家安全领导机构负责国家安全工作的决策和议事协调,研究制定、指导实施国家安全战略和有关重大方针政策,统筹协调国家安全重大事项和重要工作,推动国家安全法治建设。”而在《中华人民共和国网络安全法》《数据安全管理办法(征求意见稿)》等其他有关法律法规中,则均规定由国家网信部门负责协调统筹有关数据安全的工作。数据安全法第五条并未沿用由网信部门负责的规定,而是上升到了中央国家安全领导机构层面,与国家安全法保持高度一致。 引文 《中华人民共和国国家安全法》第五条。 第六条「责任主体及各部门分工」原文 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调 网络数据安全和相关监管工作。 解读 企业在经营过程中应当做好数据合规工作。企业在开展数据处理活动以前,应当根据企业的经营范围及拟通过数据处理活动达到的目标,比对该行业或领域有关数据安全监管的规定,对自身数据处理活动进行风险评估及合规性审查。同一数据对不同时期的不同主体具有不同的价值,特定某些数据在产生和被收集后可能出现某些一开始未曾设想的利用价值,企业为更高效地利用这些数据,可能会将数据挪作他用。虽然在这一情形中数据本身并未发生变化,但由于数据的使用场景发生了变化,企业应当对新场景下的数据处理活动进行新一轮的风险评估及合规性审查。在此基础上,如企业在特定行业或领域具有较为成熟的数据治理经验,可向有关主管部门分享,助力推动数据安全保障规则体系的构建。反之,如若企业数据权益受到侵害,可根据侵害来源,向有关主管部门寻求帮助,以保障自身权益,降低企业的运营风险。 引文 《中华人民共和国国家安全法》第四十二条、第五十二条; 《中华人民共和国网络安全法》第八条; 《交通运输政务数据共享管理办法》; 《中国银保监会监管数据安全管理办法(试行)》; 《教育部机关及直属事业单位教育数据管理办法》; 《科学数据管理办法》第二条。 第七条「权益保护与促进原则」原文 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。解读 1.对数据进行处理时应避免损害其他个人、组织权益由于数据具有一定的外部性,企业在处理数据之时并不能穷尽数据未来的具体用途,在这种情况下,企业应从避免损害其他个人、组织权益的角度出发,规范自身数据处理和利用行为,仅在最小限度内收集切实必要的数据,并在数据处理过程中实行严格管理,谨防数据安全风险。2.对数据“有效利用”之前提为“依法”“合理”在一不正当竞争纠纷案中,某度公司在其经营的某度地图中大量使用了某涛公司旗下某点评网的点 评数据。乍看之下某度地图与某点评网之功能并不一致,而某度公司使用某涛公司数据的行为本身也不会妨碍某涛公司对自身数据的利用。然而,这一行为从长远来看会降低数据处理者日后收集、加工和提供数据等的积极性,不利于促进商业投入和产业创新,损害了市场竞争秩序,因而该行为并不能被认为是合理合法的。企业在日常经营中,或许同样能从某些公开途径获得其他主体已经进行过一定处理的数据,且短期内对这些数据进行使用可能不会对其他主体产生影响。但是,企业仍应兼顾考虑数据处理者和自身的利益平衡,谨慎地审查 利用数据的行为是否合理、合法,尽量避免涉嫌扰乱市场秩序行为的 出现。 引文 无 第八条「数据处理活动之准则」原文 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。 解读 企业在运营过程中应做好以下几个方面的工作:企业应当对可能与自身数据业务相关的法律法规及其他规范性文件进行梳理,并在运营过程中做好合规工作,以规避可能存在的风险;并且,在运营过程中做好相关宣传教育、制定行为规范,以确保有关工作人员具备基本的职业操守,防止其违规违法开展数据处理工作。在从事商事活动过程中,企业不得违背基本的商业伦理。企业应当尽量开展避免任何可能危害国家安全、公共利益或损害