张凯旋 律师
2021年6月10日,全国人民代表大会常务委员会通过了《中华人民共和国数据安全法》(下称《数据安全法》),自2021年9月1日起施行。主要内容如下:
一、总则
《数据安全法》适用于在中华人民共和国境内开展数据处理活动及其安全监管。但在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,仍依法追究法律责任。数据是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
二、数据安全与发展
国家统筹发展和安全,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。国家支持开发利用数据提升公共服务的智能化水平。国家支持数据开发利用和数据安全技术研究,推进数据开发利用技术和数据安全标准体系建设,促进数据安全检测评估、认证等服务的发展,健全数据交易管理制度,培养数据开发利用技术和数据安全专业人才。
三、数据安全制度
国家建立数据分类分级保护制度,数据安全风险评估、报告、信息共享、监测预警机制以及数据安全应急处置机制。同时,还建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
四、数据安全保护义务
开展数据处理活动应当建立健全全流程数据安全管理制度,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。开展数据处理活动应当加强风险监测,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
五、政务数据安全与开放
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
六、法律责任
对于未履行数据安全保护义务、违反国家核心数据管理制度、违法向境外提供重要数据、未履行中介义务等违法行为,《数据安全法》规定了对相关组织和责任人根据情况可处以罚款、暂停业务、停业整顿和吊销营业执照等处罚。