数据安全释义

数据安全释义。

第一章 总则

第一条 【立法目的】

第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。

释义

数据的处理活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。

数字经济时代,数据的开发利用越来越广,通过数据安全法律制度为数据开放利用和数字经济的发展提供法治保障是立法的一项重要任务。

数据是国家基础性战略资源,对数据和数据处理活动的管辖和规范是一个国家行使主权的表现形式之一。

数据主权是国家主权的重要组成部分

数据是数字经济的重要元素,数据资源不仅事关国家安全,亦关乎中国的发展利益。

国家安全法: 第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。

第二条 【适用范围】

第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

释义

数据安全法是数据安全领域的基本法,其确定了数据安全的一般法律制度,数据安全法律领域,除了数据安全法以外,还存在其他相关法律。《保守国家秘密法》

空间效力来看,不同国家、不同法律所采取的原则不同,主要有属地原则、属人原则、保护原则。

属地原则: 以地域为界定,凡在本国领域内发生的行为,均适应本国法律。

属人原则:凡属本国公民,不论其在国内还是国外,均应适用本国法律。

保护原则:以保护本国利益为标准,凡是侵害本国国家、公民、法人或其他组织利益。无论其行为人的国籍是哪里,或行为发生地在本国领域还是其他国家领域,均应适用本国法律。

第三条 【数据、数据处理和数据安全的定义】

第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

释义

其他方式对信息的记录。兜底性规定实际上为未来信息技术迭代产生的新生课题预留了足够的解释空间,即使填补了相对稳定的法律规定与技术创新实践之间可能产生的立法空白。

将整个数据全生命周期都纳入调整范围。《民法典》规定“个人信息”是有关自然人的“信息”。

“数据”则是对“信息”电子化或其他方式的记录。《数据安全法》是“国家安全”在数据治理层面的具体表现。

安全不是一蹴而就的,应当能够保障数据处于持续安全状态的技术能力和经济能力。

第四条 【数据安全工作基本原则】

第四条:维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。

释义

从大局出发,当坚持总体国家安全观。

数据安全治理体系是数据治理体系中的一部分,是围绕数据安全治理所构建的制度体系。从宏观层面,包括安全制度、安全义务、法律责任等各领域法制机制,法律法规安排。从中观层面,包含精准定位的多元治理体系,精准防范的科学预判体系。

数据安全保障能力作为保障数据安全防御、响应和恢复的相应能力,应当包含事前的防御保障能力和事后的恢复救济能力。采用什么方法提高数据安全保障能力。

第五条 【国家数据安全工作协调机制】

第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。

释义

本条定义了中央国家安全机构在数据安全工作中的责任定位。这是从大格局开始,国家数据安全工作由领导机构协调和决策,体现了数据安全是国家安全的一部分,数据安全是广义的国家安全法体系的一部分。

第六条 【各地区、各部门维护数据安全的职责】

第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

释义

地方和部门层面数据安全职责的条、块划分。行业的划分、监管单位的责任。

与第五条一起,构建了我国中央层面和地方、部门层面的国家安全数据安全责任体系。

我国的网络安全与信息安全治理形成了主体责任+监管责任。这一框架延伸到数据安全治理领域。

第七条 【权益保护与促进利用原则】

第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。

释义

数据安全不仅限于国家安全、个人和组织的与数据相关的权益也是立法的保护对象。

不是因噎废食,禁止从事给累数据利用活动,而是要以安全为护航,坚持保障数据安全与促进数据开发利用并重的原则,通过规范数据处理活动,实现数据利用过程中的安全。

数据安全法鼓励对数据的有效利用,就必然会涉及到数据的流动,只有允许数据的流动,才能体现出数据的价值来。数据有流动,就会涉及到风险,所以要依法有序自由。有序进行,特别是重要数据、国家核心数据的流动,需要依法进行风险评估和安全审查。

现在国家在积极倡导数字经济发展,加强数字社会、数字政府建设,并提出建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。其中数据又是数字经济中的关键要素。

第八条【数据处理者的基本义务】

第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

释义

本条规范的对象是数据处理活动主体的基本法律义务和伦理义务。

上面的大概包括五项义务。

法律、行政法规是对全体社会成员具有普遍的强制约束力的行为规范。

数据伦理在规范数据处理活动中占重要的地位。数据处理活动,尤其伴随人工智能发展的自动化数据处理,具有极高的专业性、技术性和“黑箱”。

数据处理者应当履行数据安全保护义务,是一种公法私法化的转介性义务,实现了国家通过向数据处理者施加数据安全保护义务,从而实现数据安全保护这一间接规制的治理逻辑。

第九条【数据安全保护的社会共治】

第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

释义

通过宣传教育来提高数据处理者等社会主体自身的数据安全保护意识和水平,可在最大程度上解决数据安全保护的隐患。社会共治来参与到数据安全保护工作。

第十条【行业组织的数据安全保护义务】

第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。

释义

行业组织有制定数据安全行为规范和团体标准的法定义务,行业组织需要通过一定的机制来明确什么的行为必须为、可以为、禁止为,引导成员企业培养规范意识。

加强行业自律,严格执行上述的数据安全行为规范和团体标准,对违反规范和标准要求的行为通过行业内的机制给以处罚,以实现较好的行业自律效果。

第十一条【促进数据跨境流动】

第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

释义

当前在数据的跨境流动方面并未建立拥有广泛共识的国际规则和标准,所以我国应积极参与数据安全相关的国际规则和标准的制定,只有基于统一的国际规则和标准,数据的跨境自由流动才能实现。

数据跨境安全、自由流动对全球数字经济的发展至关重要。另一方面各个国家的数据立法和政策导致国际互信难以建立,不同类型的数据受到不同法律机制的调整,各个国家对数据分类及定义方法不一,导致数据跨境流动法律适用问题复杂。

四种不同态度:不设限制的数据自由流动机制、有条件的数据流动机制、数据本地化存储或处理的要求、禁止数据跨境流动。

第十二条【投诉举报机制】

第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。

有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。

释义

本条是关于投诉举报机制的规定。

数据安全法旨在通过建立一套数据安全监管制度,保护个人、组织与数据相关的权益,维护公共安全和国家安全。

普通百姓对组织是否履行数据安全法的监督。

举报与投诉有所不同,举报人举报的违法事项有可能与自身权益有关,也有可能与自身权益无关。

第二章 数据安全与发展

第十三条【统筹发展和安全】

第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

释义

数据安全是发展的保障,发展是安全的目的。

数据安全具有与其他领域安全问题完全不同的属性,数据资源是可复制的,复制后的痕迹难以追溯。

数据安全法坚持安全与发展并重的导向,力求在安全和发展之间做出平衡,而非只追求其一而忽视其他。

第十四条 【实施国家大数据战略】

第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。

省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。

释义

国家实施大数据战略,数据被称为“21世纪的石油”

支持鼓励各行业、各领域的创新应用,为其深度融合提供了法律保障。

第十五条 【鼓励开发提升公共服务】

第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

释义

呼应了第一条,规范数据处理活动,保障数据安全、促进数据开发利用。

基于人工智能、大数据等信息技术的发展,鼓励并支持数据开发和建设,在发展的同时,存在约束力,不能违背伦理,尤其是对弱势群体的生活造成影响。

智能化的快速发展,我国老龄人人口越来越重,面对老年人不会上网,不会使用手机,在出行、就医、消费存在不便。尤其是在突发事件时,比如疫情封城。要做好突发事件应急响应状态下对老年人的服务保障。

第十六条【数据技术研究和产品、产业体系培育】

第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。

释义

数据开发利用和数据安全等领域的技术推广和商业创新是推动实施国家大数据战略、保障数据安全和发展的关键。

第十七条【数据标准体系建设】

第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

释义

统一完善的标准对数据开发利用和数据安全保障的市场培育、服务能力提升和行业管理的支撑,都具有重要意义。

中华人民共和国标准化法

第十八条【数据安全检测认证与协同保障】

第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。

国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

释义

利好政策,为数据安全检测评估、认证工作提供了法律鼓励。

第十九条【数据交易管理制度】

第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

释义

引导培育大数据交易市场,依法合规开展数据交易。

数据交易和传统的商品不一样,一方面基于数据的无体性、可复制特点,数据交易难以物理方式完全交割。另一方面,数据负载的信息常与其他民事主体的身份、行为轨迹和商业秘密等密切相关。

需要为数据交易提供一种监管制度,起到约束的作用。

第二十条 【数据人才培养】

第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。

释义

人才的缺失,各个方面要培养促进人才的发展。首先从教育做起,各大高校开设网络安全学院。

第三章 数据安全制度

第二十一条【数据分类分级保护制度】

第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

释义

本条规定对象是国家、地区和行业层面的数据分类分级保护制度。

数据分类分级的两个方面。需要结合第四章的数据安全保护义务。

第二十二条【建立国家数据安全风险机制】

第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

释义

建立数据安全风险机制的要求,属于建立健全国家数据安全管理制度,完善国家数据治理体系的重要组成部分。

通过自上而下的角度对数据安全风险集中开展治理工作。

数据安全风险是指针对数据的,在其生存周期的安全风险,一般包括外部数据安全威胁、内部数据安全风险以及数据以外丢失的风险。

数据安全风险机制的具体内容、相关政府部门及企业的义务仍有待于未来相关配套法规的细化和补充。

第二十三条【建立国家数据安全应急处置机制】

第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

释义

本条确立了数据安全的应急处置机制,以有效应对和处置数据安全事件。

应急预案是一种事前预防措施,是指为依法、迅速、有效、科学应对突发事件,最大限度预防和减少突发事件及其造成的损失。

第二十四条【建立国家数据安全审查制度】

第二十四条 第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

释义

本条明确了建立国家数据安全审查制度的要求,是建立健全数据安全治理体系的重要组成部分。

数据安全审查与网络安全审查、外商投资审查等之间存在融合与交汇,因此数据安全的审查对象、审查范围、审查机构、审查内容、审查标准、审查程序都需要未来相关配套法规的细化和补充。

数据安全审查的情况,只是在数据处理活动中可能影响国家安全,并不是常规常态的审查。

第二十五条【建立数据出口管理制度】

第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

释义

在以数字为关键生产要素的数字经济高速发展的背景下,数据流动所产生的经济价值和社会价值日益凸显,随之而来的是流动过程中产生的安全风险,国家安全、利益、个人隐私都会收到严重影响,因此对数据流动进行规制是必要的。

第二十六条【明确数据领域对等反歧视措施】

第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

释义

本条明确了国家在数据领域的对等反歧视措施,为本国在全球开展数据活动中依法、合法地采取对等反歧视措施提供了明确的法律依据,保障了本国相关企业参与数字领域国际竞争的公平性和其合法合理的利益,进而达成切实维护国家主权、安全和发展利益的目的。

第四章 数据安全保护义务

第二十七条【数据安全保护义务履行方式】

第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

释义

本条强调了开展数据活动的合规性要求以及重要数据处理者的管理责任。

该条与第3章国家建立数据安全制度相关联,是对开展数据主体设置的安全保护义务。

作为“数据安全领域的基础性法律”,《数据安全法》成为国家安全法律体系的重要组成部分,与《网络安全法》《个人信息保护法》等一起构成了中国经济发展与安全的制度保障。

第二十八条【符合社会公共利益义务】

第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。

释义

本条指明了开展数据活动及有关研究时应秉持的正确目的及其道德伦理要求。

第二十九条【风险处置义务】

第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

释义

本条是明确了开展数据活动时应采取的风险管理及安全事件处理措施。

数据具有大量、高速、易变性、低价值密度、真实性特点,在数据处理活动中,一旦泄露重要数据,则直接危害到国家、经济、社会和公共安全,应当立即采取补救措施。

第三十条【重要数据处理者的风险评估义务】

第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

释义

本条明确了重要数据的处理者定期开展风险评估的责任,并进一步明确了风险评估报告应包含的内容。

风险评估是指在风险事件发生之前或之后(但没有结束),对该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。量化测评某一个事件或事物带来的影响或损失的可能性。

数据安全风险评估是对开展数据处理活动或研究开发数据新技术所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性评估。

第三十一条【重要数据处境规则】

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

释义

本条规范的是重要数据的出境管理。

重要数据原则上需要在境内存储,出境需要安全评估的规定,且只有在在符合业务需要的前提下才能出镜。

第三十二条【数据处理活动应当遵循合法、正当、必要原则】

第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

释义

本条规定了对数据处理活动应当遵循合法、正当、必要原则。

合法、正当、必要原则比较抽象一点,需要辅以相应细化的原则。

第三十三条【数据中介服务机构的义务】

第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

释义

本条是关于数据中介服务机构义务的规定。

规范、活跃的数据交易离不开交易平台、数据中间商等交易中介服务机构的参与和支持。

要求数据提供方说明数据来源:数据的来源首先决定数据的质量。

审核交易双方的身份:

留存审核、交易记录:在以往的交易实践中,留存审核、交易记录是明晰各方责任、减少纠纷处理时举证困难的重要手段。

第三十四条【依法取得行政许可的义务】

第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。

释义

本条规定是数据处理相关服务提供者依法取得行政许可的义务。

对数据行业的准入监管仅作原则性规定。

服务提供者违反“依法取得行政许可”义务的法律后果依据特别法规定。

第三十五条【国家机关有权依法调取数据】

第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

释义

本条规范的是特定国家机关基于国家安全或者犯罪侦查需要所开展的数据调取活动。

第三十六条【外国司法或执法机构关于数据请求的处理规则】

第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

释义

本条对向外国司法或者执法结构提供数据进行了规定。

批准的主体是中华人民共和国主管机关。批准的对象是境外的执法和司法机关关于提供数据的请求。

第五章 政务数据安全与开放

第三十七条【政务数据运用的目标和要求】

第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。

释义

本条规定了国家大力推进电子政务建设和运用政务数据的目标,对提升政府数据治理能力提出要求。

在推进国家治理体系和治理能力现代化进程中,发展电子政务是国家治理能力现代化的重要支撑和保障。

数字经济是全球经济增长日益重要的驱动力。发展数字经济离不开数据,以数据作为关键生产要素是数字经济最鲜明的特点。

第三十八条【国家机关收集、使用数据的基本原则】

第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。

释义

本条规范对象是国家机关收集、使用数据的行为,这是我国首次在法律层面明确对政务数据的收集和使用行为进行规定。

第三十九条【数据安全管理制度】

第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。

释义

国家机关应到承担的三项保障政务数据安全的职责。

建立数据安全管理制度,则应当以风险导向意识为重,针对政务数据收集、处理、利用、共享的场景及可能引发的风险实施有力措施和明确责任。

第四十条【委托他人处理数据】

第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。

释义

对委托方管理处理数据时的法律要求。比如第三方开发公司,可通过合同的方式清晰约定民事法律后果,更好的约束委托人。

第四十一条【政务数据开放原则】

第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。

释义

本条规定了政务数据的基本原则和要求。

第四十二条【开放目录与平台】

第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。

释义

本条规定了政务数据开放的目录和平台。

《国家信息化发展战略纲要》

提高信息资源利用水平。建立公共信息资源开放目录,构建统一规范、互联互通、安全可控的国家数据开放体系,积极稳妥推进公共信息资源开放共享。发展信息资源市场,促进信息消费。引导和规范公共信息资源增值开发利用,支持市场主体利用全球信息资源开展业务创新。

1、统一规范,对现有开放政务 数据资源加以整合,建立跨系统、跨部门的统一开放数据平台

2、互通互联,行政机关的开放数据、数据库信息应当与开放数据平台相连接,防止出现各自为战,重复分散的问题,为公众提供一站式的政务数据获取及相关服务。

3、安全可控。《数据安全法》坚持安全与发展并重,数据安全事件一旦发生,无法真正消除损害,恢复原状。因此数据安全应以风险防范为核心。

第四十三条【法律、法规授权的组织】

第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。

释义

本条规定了法律、法规授权的组织在数据处理活动中的法律地位。

第六章 法律责任

第四十四条【主管部门对数据安全风险的前置处理】

第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。

释义

本条规定的是有关主管部门对存在较大安全风险的数据处理活动的前置处理。强化了主管部门的数据安全监管职能,更加有利于数据安全监管的落实和行之有效。

如何平衡数据安全和数据发展、柔性治理方法与刚性治理手段的现实问题。对存在一定数据安全风险但还没有构成违法或造成危害后果的数据处理活动,如果一切进行处罚等较为刚性和体现制裁的手段,对数字经济发展和数据产业的进步而言将产生一定的负面影响。在事先进行一定引导和规范,通过柔性监管的手段促进组织、个人及时完善保障数据安全的各项技术手段或措施、化解安全隐患。

第四十五条【不履行数据安全保护义务的法律责任】

第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

释义

本条规定是开展数据处理活动的组织、个人不履行法定数据安全保护义务的法律责任。

规范的对象是开展数据处理活动的组织、个人。

第四十六条【违反数据出境管理规定的法律责任】

第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

释义

本条规定的是违反数据出境安全管理规定,向境外提供重要数据的法律责任。进一步完善了数据出境安全管理制度体系,也从侧面体现出数据出境安全管理对我国数据宏观安全的重要意义。

第四十七条【从事数据交易中介服务的机构未履行说明审核义务的法律责任】

第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

释义

本条规定的是从事数据交易中介服务的机构未履行说明审核义务的法律责任。该义务的来源是第33条的规定:从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

第四十八条【拒不配合数据调取的法律责任】

第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

释义

本条规定的是拒不配合数据调取的法律责任,该义务的来源是本法第35条和第36条的规定。

第四十九条【国家机关不履行数据安全保护义务的法律责任】

第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。

释义

本条规定了国家机关不履行数据安全保护义务的法律责任,本条的特殊性在于,虽然违法主体是不履行法定义务的国家机关,但处罚的对象则是国家机关内的人员。属于单罚制。

第五十条【国家工作人员失职尚不构成犯罪的法律责任】

第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。

释义

本条规定的是履行数据安全监管职责的国家工作人员失职,应依法给予处分。

第五十一条【非法数据处理活动的惩罚】

第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。

释义

本条规定了几种非法数据处理活动处罚的法律适用。实现《数据安全法》与现有法律、行政法规的有效衔接,节约立法成本,避免重复规范,推进我国数据治理规范的体系化建设。

第五十二条【法律责任的兜底条款】

第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。

违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

释义

本条规定了违反《数据安全法》的责任。

第七章 附则

第五十三条【涉及国家秘密信息处理活动,统计、档案工作中开展数据处理活动】

第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。

释义

该条奠定了《数据安全法》作为保护各类数据安全的基本规则的地位,明确了《数据安全法》与其他相关法律、行政法规的一般法与特别法关系。

第五十四条【军事数据安全的保护】

第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。

释义

本条规定了军事数据安全的保护。

第五十五条【实施日期】

第五十五条 本法自2021年9月1日起施行。