第一章 总则
第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
【解读】 本条规定了《数据安全法》的立法目的。立法者阐明立法目的有助于人们理解立法宗旨,为执法机关和司法机关适用法律和进行法律解释提供指引和参考,以确保法律的正确贯彻实施。
第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
【解读】本条规定了《数据安全法》的适用范围。范围包括两个部分,第一个为最直观的地域范围,即中国境内与境外之区分;第二个为对象范围,即本法所规制的为数据的处理活动,是一种“行为”。
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
【解读】本条规定了《数据安全法》适用范围相关的重要定义。从“数据”的定义看,将所有对信息进行记录的载体认定为数据。其他方式,即将常见的纸质登记表格、或其他小众的信息记录方式等形式也纳入到数据安全管理范畴,填补了已有立法无法有效规制纯线下、不借助网络开展数据活动的立法空白。从“数据活动”的定义看,采取了列举+兜底的方式,数据全生命周期的相关活动基本纳入到数据活动的范畴。从“数据安全”的定义看,《数据安全法》对数据安全提出了行为要求和效果要求。对于行为要求,这里的“必要措施”一般来说包括技术措施、管理措施等;对于效果要求,本条强调了安全的持续性,即应具备保障持续安全状态的能力。与网络安全相类似,数据安全也并非一劳永逸,而是需要持续的投入和关注,以不断应对可能出现的安全问题和漏洞。
第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
【解读】本条规定了《数据安全法》的核心观念。《数据安全法》按照总体国家安全观的要求,通过立法加强数据安全保护,有助于更好地规制与中国国家、公民和组织相关的全部数据活动,有助于提升国家数据安全保障能力,有利于有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益,维护公共利益和公民、组织的合法权益。
第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
【解读】本条明确了数据安全管理工作的顶层设计。中央国家安全领导机构统筹数据安全管理工作,可见数据安全的重要性和影响力。坚持党对数据安全工作的领导,有助于建立集中统一、高效权威的数据安全领导体制。
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
【解读】本条明确了数据安全管理工作的具体分工。从分工看,整体而言是在集中领导的基础上各部门、各地区分工负责的管理模式,具体体现为国家网信部门统筹网络数据监管+公安机关、国安机关依职责监管数据安全+各地区、各部门承担主体责任+各行业主管部门承担本行业监管职责,强调了数据安全管理工作的统一性,也兼顾了各地区、各部门和各行业的差异性。但实践过程中,如何厘清各地区、各部门和各行业主管部门的职责界限,有待进一步探索和明确。此外,需要指出的是,《数据安全法》并未对“网络数据”进行定义。可供参考的“网络数据”的定义出现在《网络安全法》第七十六条,其将“网络数据”界定为“通过网络收集、存储、传输、处理和产生的各种电子数据。”
第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
【解读】本条表明了对数据发展的鼓励和保障。本条表明了对数据发展的鼓励和保障,当然,数据发展需要做到在法律允许的范围内有序发展,最大程度挖掘数据价值,打破“数据孤岛”,更好地服务我国经济社会发展。
第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
【解读】本条明确了开展数据处理活动的原则性要求。对于开展数据处理活动的要求,《数据安全法》第四章对数据安全保护义务进行了具体规定,本条作为宣誓性条款明确了基本的原则,在具体规定无法有效、准确覆盖个案时可能会适用本条进行相应认定。
第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
【解读】本条明确了国家对数据安全科普的支持。相较于草案,取消了建立数据安全协同治理体系的描述,更清晰的明示了国家层面的义务。数据安全与每一个个人、组织、行业组织、有关部门均息息相关,在集中领导+分工负责数据安全管理工作的基础之上,全社会协同治理数据安全,有助于群策群力,切实维护数据安全,促进数据依法有序发展。
第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
【解读】本条明确了各行业组织加强数据安全行为的依据和要求。相较于草案,本条例属于新增条款。行业标准是对没有国家标准而又需要在全国某个行业范围内统一的技术要求所制定的标准;团体标准由团体按照团体确立的标准制定程序自主制定发布,由社会自愿采用的标准。行业标准和团体标准是对国家标准的重要补充,具有比较强的灵活性。
第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
【解读】本条明确了数据安全治理、数据开发利用领域国际合作的机制。积极参与国际交流与合作,参与国际规则和标准的制定,成为“游戏规则”的制定者,才能够在推动国际合作的同时更好地维护我国的国家利益。
第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
【解读】本条明确了数据安全相关的投诉、举报机制,以及对投诉、举报人的保护。从举报主体看,任何组织和个人都可以进行举报,意味着用户、非用户、竞争对手、第三方测评机构、自媒体等都可以作为举报主体,有助于实现第九条提出的“数据安全协同治理体系”。
从举报部门看,结合数据安全管理体系的职责分工,“有关主管部门”应该指向公安部门、国安部门、网信部门、各地区、各部门和各行业的主管部门。以举报网络数据违法为例,应向国家及地方网信部门进行举报。从举报处理看,收到投诉、举报的部门应当及时依法处理。也就是说,如果投诉、举报后出现杳无音讯或怠于处理等不作为、慢作为的情形,该等部门可能需要承担相应的责任。最后,明确了主管部门有义务对投诉、举报人的信息予以保护。也就是说,如果投诉、举报后信息被主管部门泄露,该等部门需要承担相应的责任。
第二章 数据安全与发展
第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
【解读】本条明确了数据安全工作的基本原则。数据安全和数据发展并重是《数据安全法》坚持的基本原则。
第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
【解读】本条明确了支持数字经济发展的配套要求。从产业角度来看,我国已形成较为完整的数据供应链,在数据采集、数据标注、时序数据库管理、数据存储、商业智能处理、数据挖掘和分析、数据安全、数据交换等各环节形成了数据产业体系,数据管理和数据应用能力不断提升。可以看出,数字经济对我国国民经济发展具有重要意义,完善数字经济发展的配套措施有助于更好地促进数字经济发展。
第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
【解读】本条体现了国家对弱势群体的照顾原则。相较于草案,本条例属于新增条款。在高速发展的信息化时代,信息技术日新月异,但同时也对老年人、残疾人等弱势群体越来越不友好,本条充分体现了国家对老年人、残疾人等弱势群体的照顾。
第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
【解读】本条体现了促进数据资源开发利用的精神。大数据时代,数据有价,只有不断完善数据开发利用技术和数据安全技术,培训发展数据开发利用和数据安全产品和产业体系,才能更好、更大程度上挖掘和实现数据的价值。
第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
【解读】本条明确了数据安全与发展的标准体系建设要求。从制定主体看,与网络安全标准体系制定主体相类似,国务院标准化行政主管部门和国务院有关部门为数据开发利用技术、产品和数据安全相关标准的制定主体。从参与主体看,可以预见的是,后续数据安全与发展的相关标准,将会与个人信息相关标准的制定一样,会有很多互联网企业、各社会团体、教育科研机构等参与其中。
第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
【解读】本条体现了国家对数据安全社会化服务体系建设的支持。相较于草案,新增了第二部分内容。对于企事业单位而言,数据安全必将成为企事业单位的一张名牌,数据安全工作做得好,对企事业单位的形象而言绝对是添光加彩,反之则会影响声誉,降低公众的信任以及好感度。数据安全检测评估、认证等服务构成了数据安全的社会化服务体系,有助于协助企事业单位发现数据安全方面存在的问题并加以改进和完善。同时,有关部门、行业组织、企业、教育和科研机构也可以协作开展数据安全工作。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
【解读】本条明确了国家对合法数据交易的支持。《数据安全法》作为数据领域的基本法,首次从法律层面明确了国家对合法数据交易的支持,对于数据交易而言无疑是利好消息。本条未明确数据交易的定义,同时就数据交易管理制度而言,本条并未明确其具体内容,包括数据权属、交易标的、定价机制等都有待后续进一步明确。
第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
【解读】本条体现了国家对数据安全相关人才培养的支持。数据安全发展离不开数据相关人才的支撑,加强数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据安全相关人才,有助于数据安全工作的常态化发展。
第三章 数据安全制度
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
【解读】本条明确了数据分级分类的制度要求。从数据分级分类的基本要求看,《网络安全法》第二十一条首次从法律层面提出了“数据分类”的要求,本条则首次从法律层面完整地提出了“数据分级分类”的要求。分级分类的标准主要包括两个维度,一个维度是数据的重要程度,另一个程度是数据安全事件发生的危害程度。从重要数据看,本条并未明确重要数据的定义和识别标准,而是授权各地区和行业主管部门制定本地区、本行业重要数据保护目录。对于不同地区的不同部门可能会有不同的重要数据保护目录,而对于如何解决各地区、各部门之间对重要数据划分的冲突则需要进一步研究。
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
【解读】本条明确了数据安全的监测预警机制。集中统一、高效权威的公权力监测预警机制,有助于及时发现和准确识别数据安全风险并在此基础上有效预测事件发生的可能性、影响范围和危害程度,准确发布避免、减轻危害的措施。
第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
【解读】本条明确了建立数据安全应急处置机制的要求。应急处置的好坏,会较大程度地影响数据安全事件所造成的后果。建立数据安全应急机制,在数据安全事件发生后,及时启动应急预案并采取相应的应急处置措施,并及时向公众发布与公众有关的警示信息,能够有效减少事件造成的损失和危害。
第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
【解读】本条明确了建立数据安全审查制度的要求。数据安全审查制度的审查范围和重点是“影响或者可能影响国家安全的数据梳理活动”,但《数据安全法》对数据安全审查的审查主体、审查流程、审查期限、审查内容等未进行具体规定,应该会通过后续具体的配套立法加以明确。本条第二款规定“依法作出的安全审查决定为最终决定”,若该款规定最终生效,意味着数据安全审查的决定一经作出即告生效,不会进入行政复议或行政诉讼程序。
第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
【解读】本条明确了数据出口管制的要求。《数据安全法》首次提出了数据出口管制的要求,管制的范围为“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”。但《数据安全法》并未对具体的管制范围进行明确,有待后续配套立法的进一步明确。
第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
【解读】本条明确了数据方面的国际对等反制。随着我国综合国力的不断发展壮大,部分国家和地区开始不断对我国采取政治、经济、外交等方面采取限制、打压、歧视等措施。对此,我国对该等国家和地区采取对等的反制措施予以有效反击,积极维护国家利益。
第四章 数据安全保护义务
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
【解读】本条明确了数据安全保护义务的基本要求。对于建立全流程数据安全管理制度,结合第三条对于“数据处理活动”的定义,系列数据安全管理制度应覆盖数据收集、存储、加工、使用、提供、交易、公开等流程。对于数据安全教育培训,从培训时间点看,宜进行新员工入职培训时,将数据保护作为培训内容之一,在入职阶段就强化数据保护,后续每年定期或不定期进行数据安全培训;从培训内容看,数据保护的相关法律法规规定、内部制度、操作流程等,特别是最新出台的规定和内部制度流程等的重要修订,应该纳入培训的内容;从培训对象看,这里的员工不应限于基层员工,而应是包含高层员工在内的全体员工,领导层高度重视、基层员工严格践行,方能更好地开展数据保护工作。对于采取相应的技术措施和其他必要措施,这里使用的是“相应”和“必要”,而非统一提出某些技术措施和其他措施要求,有助于企事业单位根据数据重要性、数据安全事件发生后的危害程度等采取相对应的措施。另外,使用互联网开展数据处理活动的企业,除了必须要开展等级保护工作外,还应当开展额外的数据保护工作,以尽到数据安全保护的义务。对于设立数据安全负责人和管理机构,并非对所有企事业单位均提出该项要求,而是对重要数据的处理者提出了要求。后续可能会有配套文件对于数据安全负责人的资质、职责等提出要求。
第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
【解读】本条要求数据处理活动和数据技术应符合社会公德和伦理。新技术发展在推动社会进步的同时,也出现了被用于违反社会公德和伦理的实验、商业行为等情况。因此,《数据安全法》强调数据处理活动和数据技术应符合社会公德和伦理,虽然更多的意义在于宣誓性,但能写入法律条文,本身已经体现出国家对该问题的重视。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
【解读】本条明确了数据安全风险监测和后续处置要求,以便企事业单位可以及时发现数据安全风险并及时采取补救措施。如果发生数据安全事件,还应及时通过公告、站内信等方式告知用户,并向有关主管部门报告。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
【解读】本条对重要数据处理者提出了定期开展风险评估和报送评估报告的要求。从定期开展风险评估看,本条并未明确限定评估主体。结合第十八条的规定,可以理解为重要数据的处理者可以自行评估,也可以委托数据安全检测评估专业机构进行评估。从风险评估报告的内容看,本条第二款采用“列举+兜底”的方式提出了内容要求。同时相较于草案,开展数据处理活动的描述,完善了例举不全面的情况。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
【解读】本条明确了数据出境的合规依据。相较于草案,本条例属于新增条款。关键基础设施在境内运营产生的数据,依据《网络安全法》规定进行出境。其余数据出境则按照国家网信部门和国务院有关部门制定的规定出境,但目前该法规要求尚未出台,后续将有待国家网信部出台对应法规。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
【解读】 本条明确了收集数据的合法、正当要求。本条强调了收集个人信息的合法、正当、必要的要求。对于“合法、正当”的理解,主要包括不得从非法的渠道收集数据、不得隐秘收集数据、不得以欺诈、诱骗、误导的方式收集数据等。
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
【解读】本条明确了数据交易中介服务机构的服务要求。从数据交易中介服务机构的服务要求看,主要包括说明来源+审核身份+留存记录三项要求。而三项要求是否妥善履行,将决定着数据交易中介服务机构是否会依据第四十七条承担相应的法律责任。但需要指出的是,如果仅仅是要求说明来源+审核身份,而不是要求审核数据来源,数据交易中介服务机构似乎难以有效识别数据来源是否非法,这种情况下如果真的出现非法来源的数据交易,要求数据交易中介服务机构承担法律责任是否合适,有待进一步论证。而如果后续要求数据交易中介服务机构审核数据来源,是形式审核还是实质审核,也是有待进一步探讨的问题。
第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
【解读】本条提出对专门提供在线数据处理等服务的经营者的许可要求。
第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
【解读】本条明确了组织、个人配合调取数据的要求。从有权调取数据的机关和调取数据的条件看,限定在了公安机关和国家安全机关,在依法维护国家安全或者侦查犯罪需要的情况下,可以调取数据。从调取数据的程序要求看,使用了“按照国家有关规定,经过严格的批准手续,依法进行”的描述,有助于依法行政的落实,避免有权机关滥用权力。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。【解读】本条明确了组织及个人向中国境外执法机构提供数据需经报批的原则性要求。对于向境外机构提供证据材料、文件和资料,《数据安全法》从数据监管的角度,通过本条明确了组织及个人向中国境外执法机构提供数据需经报批的原则性要求,旨在一定程度上封堵境外执法机构的长臂管辖,有助于维护数据主权和国家安全。同时,明确了本条规定的例外情形,即我国缔结或参加的国际条约、协定对此有规定的,依照其规定,妥善解决了法律与国际条约、协定的适用问题。
第五章 政务数据安全与开放
第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
【解读】本条明确了国家对于电子政务建设的支持和对政务数据的要求。电子政务建设的推进,有助于更好地提升行政效率,进一步降低行政成本,更好地发挥社会管理职能。而电子政务的推进,政务数据的数量、广度等都会进一步提升,但如果要最大程度上发挥政务数据的价值,需要确保政务数据满足科学性、准确性和时效性的要求,否则如数据存在遗漏、错误、延迟等问题,可能会让政务数据的价值大打折扣,甚至出现负面作用。
第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
【解读】本条对国家机关收集使用数据提出了规范化要求。从规范化要求看,主要包括以下两点:第一,需要基于履行法定职责的需要并在履行法定职责的范围内收集、使用数据,避免随意收集、使用数据;第二,需要依照法律、行政法规规定的条件和程序进行,也就是说如未经法定条件和程序,即使在法定职责范围内也不得收集、使用数据。从安全义务看,需要对履行职责过程中的个人隐私、个人信息、商业秘密、保密商务信息等数据予以保密,不应泄露或向他人提供。
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
【解读】本条对国家机关提出了数据安全保护的要求。政务数据数量庞大,关系国计民生、国家安全和国家主权,如果出现数据安全事件,其后果可能不堪设想。因此,对国家机关提出了数据安全保护的要求,强调保障政务数据安全。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
【解读】本条对国家机关委托存储、加工、向他人提供政务数据提出了规范性要求,同时对受托方也提出了数据安全保护的义务。实践中,为了对数据进行分析整理或者基于提供公共职能服务需要,国家机关委托存储、加工或向他人提供政务数据的情形并不少见。本条强化了委托存储、加工和向他人提供政务数据的审批要求和监督履行数据安全保护义务的要求,旨在降低政务数据在该等环节出现数据安全事件的概率。同时强调了受托方的数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据,进一步完善了政务数据的安全。
第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
【解读】本条明确了政务数据公开为常态、不公开为例外的要求。
第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
【解读】本条明确了政务数据开放平台的构建要求。通过构建统一规范、互联互通、安全可控的政务数据开放平台,有助于统一规范政务数据的开放与管理,依法有序进行政务数据的开放利用。
第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
【解读】 本条明确了对法律法规授权的具有公共事务管理职能的组织开展数据活动的要求。《数据安全法》第三十七到第四十二条规制的主体均为国家机关,本条将具有公共事务管理职能的组织履行公共管理职能开展数据活动的情形也纳入前述规定的适用范围。
第六章 法律责任
第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
【解读】本条明确了数据安全监管的约谈制度。本条对约谈主体的规定为“有关主管部门”,未明确主管部门的层级要求,如不加以必要限制可能会造成约谈制度的滥用。此外,从立法体例的角度,相较于《网络安全法》将约谈制度规定在第五章“监测预警与应急处置”而不是第六章“法律责任”,《数据安全法》将约谈制度作为法律责任的一条,约谈是偏柔性、非强制性的监管措施。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
【解读】本条明确了未履行数据安全保护义务的法律责任。从法律责任形式看,本条基本借鉴了《网络安全法》第五十九条对于未履行网络安全保护义务的法律责任的规定,主要包括责令改正、警告、对组织罚款和对直接负责的主管人员罚款等,拒不改正或者造成大量数据泄露等严重后果的罚款金额会有较大幅度地上升。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
【解读】本条明确了数据出境的法律责任。相较于草案,本条例属于新增条款。从规范要求看,向境外提供重要数据才会承担本条款责任,另外,实际中也应当考虑重要数据的量级,不同量级具有不同的罚款金额和惩罚措施。
第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
【解读】本条明确了数据交易中介机构相关的法律责任。若数据交易中介机构未要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录,且导致非法来源数据交易的,需要根据本条承担责令改正、没收违法所得、罚款、吊销相关业务许可证或者吊销营业执照的法律责任。其中,吊销相关业务许可证或者吊销营业执照的处罚,对于数据交易中介机构而言是最重的处罚,将直接决定数据交易中介机构后续无法继续从事数据交易中介服务。
第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
【解读】本条明确了配合国内数据调取和国外数据调取的法律责任。相较于草案,本条例属于新增条款,替换了草案第四十四条。对于国内监管机构,应当积极配合数据调取。而对于国外监管机构,未经主管机构批准不应配合数据调取。
第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
【解读】本条明确了国家机关不履行数据安全保护义务的法律责任。从条文对应上,本条主要规定的是第三十九条的相应法律责任。但第四十条,也就是委托存储、加工、向他人提供政务数据,也可能纳入本条的法律责任的适用范围。需要指出的是,本条并未限制条件,即未要求造成数据安全事件等严重后果才适用本条,也就意味着,如果在日常数据安全检查等发现国家机关不履行本法规定的数据安全保护义务的,就可能触发本条的法律责任。
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
【解读】本条规定了国家工作人员玩忽职守、滥用职权、徇私舞弊的法律责任。履行数据安全监管责任的国家工作人员,玩忽职守、滥用职权、徇私舞弊触犯刑事犯罪的,依照前述《刑法》规定承担相应责任;尚不构成犯罪的,依法给予处分,旨在督促国家工作人员切实履行数据安全监管责任。
第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
【解读】本条明确了非法方式获取数据并造成不正当竞争、损害个人、组织合法权益的法律责任。本条适用有关法律、行政法规的规定处罚。使用的词语是“处罚”,相对应的应该是承担行政责任,而民事责任、行政责任都不适用“处罚”的表述。推测来看,似乎是依据《国家安全法》、《网络安全法》等相关法律、行政法规进行处罚。
第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【解读】本条明确了民事、刑事责任及治安管理处罚的衔接性规定。本条与《网络安全法》第七十四条基本一致,明确了民事、刑事责任及治安管理处罚的衔接性规定。
第七章附则
第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
【解读】本条明确了涉及国家秘密的数据活动和涉及个人信息的数据活动的法律适用。通过本条的规定,妥善解决了涉及国家秘密的数据活动的和涉及个人信息的数据活动的法律适用,避免了法律之间的交叉和冲突。
第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
【解读】本条明确了军事数据安全保护的适用规定。同《网络安全法》第七十八条规定“军事网络的安全保护,由中央军事委员会另行规定”相类似,本条规定军事数据安全保护的办法由中央军事委员会另行制定。
第五十五条 本法自2021年9月1日起施行。