張凱旋 律師
2021年6月10日,全國人民代表大會常務委員會通過了《中華人民共和國資料安全法》(下稱《資料安全法》),自2021年9月1日起施行。主要內容如下:
一、總則
《資料安全法》適用於在中華人民共和國境內開展資料處理活動及其安全監管。但在中華人民共和國境外開展資料處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,仍依法追究法律責任。資料是指任何以電子或者其他方式對資訊的記錄。資料處理,包括資料的收集、存儲、使用、加工、傳輸、提供、公開等。資料安全,是指通過採取必要措施,確保資料處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
國家保護個人、組織與資料有關的權益,鼓勵資料依法合理有效利用,保障資料依法有序自由流動,促進以資料為關鍵要素的數位經濟發展。
二、資料安全與發展
國家統籌發展和安全,推進資料基礎設施建設,鼓勵和支援資料在各行業、各領域的創新應用。國家支援開發利用資料提升公共服務的智慧化水準。國家支援資料開發利用和資料安全技術研究,推進資料開發利用技術和資料安全標準體系建設,促進資料安全檢測評估、認證等服務的發展,健全資料交易管理制度,培養資料開發利用技術和資料安全專業人才。
三、資料安全制度
國家建立資料分類分級保護制度,資料安全風險評估、報告、資訊共用、監測預警機制以及資料安全應急處置機制。同時,還建立資料安全審查制度,對影響或者可能影響國家安全的資料處理活動進行國家安全審查,對與維護國家安全和利益、履行國際義務相關的屬於管制物項的資料依法實施出口管制。
任何國家或者地區在與資料和資料開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。
四、資料安全保護義務
開展資料處理活動應當建立健全全流程資料安全管理制度,保障資料安全。利用互聯網等資訊網路開展資料處理活動,應當在網路安全等級保護制度的基礎上,履行上述資料安全保護義務。開展資料處理活動應當加強風險監測,發生資料安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。
關鍵資訊基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要資料的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他資料處理者在中華人民共和國境內運營中收集和產生的重要資料的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的資料。
任何組織、個人收集資料,應當採取合法、正當的方式,不得竊取或者以其他非法方式獲取資料。從事資料交易仲介服務的機構提供服務,應當要求資料提供方說明資料來源,審核交易雙方的身份,並留存審核、交易記錄。
五、政務資料安全與開放
國家機關為履行法定職責的需要收集、使用資料,應當在其履行法定職責的範圍內依照法律、行政法規規定的條件和程式進行;對在履行職責中知悉的個人隱私、個人資訊、商業秘密、保密商務資訊等資料應當依法予以保密,不得洩露或者非法向他人提供。
六、法律責任
對於未履行資料安全保護義務、違反國家核心資料管理制度、違法向境外提供重要資料、未履行仲介義務等違法行為,《資料安全法》規定了對相關組織和責任人根據情況可處以罰款、暫停業務、停業整頓和吊銷營業執照等處罰。