数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见 – 作者:acstar

2020年7月伊始,《数据安全法(草案)》在千呼万唤中得以亮相,成为总体国家安全观下新的拼图,与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法(草案)》并立。
《数据安全法(草案)》目前只是初次公开征求意见,条文距离最终文本还存在很大的不确定性,但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法(草案)》对一些基础概念进行明确:
概念
定义
数据
任何以电子或者非电子形式对信息的记录。
数据活动
数据的收集、存储、加工、使用、提供、交易、公开等行为。
数据安全
通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
网络安全*
*《网络安全法》第76条
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

二、设立义务

对于大多数企业来说,更为关注的是《数据安全法(草案)》新设立了哪些义务,企业需要新采取哪些合规措施。在《数据安全法(草案)》中列明了以下项目:
图片[1]-数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见 – 作者:acstar-安全小百科
其中处理重要数据需要报送风险评估报告需要包括以下内容:
重要数据种类
数量
收集情况
存储情况
加工情况
使用情况
安全风险
应对措施
重要数据A
 
 
 
 
 
 
 
重要数据B
 
 
 
 
 
 
 
重要数据C
 
 
 
 
 
 
 
如果违反,则可能面临以下行政处罚:
 
常规
拒不整改或
数据泄露造成严重后果
组织与个人
责令改正、警告
最高10万元
最高100万元
责任人员
/
最高5万元
最高10万元

三、数据交易

在2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场,依法合规开展数据交易”,并将数据列为一种生产要素,要求:
(二十二)加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。
在《数据安全法(草案)》对数据交易的中介机构专门要求,如果违反,最高也会面临100万元的罚款或吊销经营许可:
  • 提供方说明数据来源
  • 审核交易双方的身份
  • 并留存审核、交易记录
国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)会成为《数据安全法》在适用时所倚重的对象,对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架:
图片[2]-数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见 – 作者:acstar-安全小百科

四、立法与监管方向

 相较于草案阶段的义务,未来立法与监管的方向同样值得留意。
《数据安全法(草案)》不仅在关注境内的数据获得,同样赋予了管辖境外数据活动的“长臂”,并且加入了“对等原则”,即如果境外国家(地区)在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施,中国也会采取对等措施。但具体如何判断歧视性措施,对等措施如何采取则有待未来立法进一步明确,这恐怕需要不短的时间。
除了设置自己的“长臂”,《数据安全法(草案)》对海外的“长臂”(如欧洲GDPR、美国“云法案”)同样进行了回应,针对海外执法机构在境内调取数据,同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约,方可提供数据。
此外,未来围绕数据的立法与监管可能会在以下方向着力:
  • 管辖境外影响境内合法权益的数据活动
  • 向境外执法机构提供数据的流程
  • 数据分级分类,由各地区、部门制定重要数据保护目录
  • 统一的数据安全风险评估、报告、信息共享、监测预警机制
  • 数据安全应急处置机制
  • 数据安全审查制度,且审查是最终决定
  • 出口管制拓展至数据领域
  • ……
 《网络安全法》从首次公开征求意见到最终生效历时接近两年,《数据安全法》也正在开始同样的进程:

法律

首次征求意见

二次审议稿

三次审议稿

通过

生效

《网络安全法》

2015.07.06

2016.07.06

2016.10.31

2016.11.07

2017.06.01

《数据安全法》

2020.07.03

 

来源:freebuf.com 2020-07-04 08:16:49 by: acstar

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论