数据安全怎么做?合规篇之数据安全法(草案) – 作者:Mark2019

继欧洲GDPR、巴西LGPD、美国CCPA等法案之后,我国的《中华人民共和国数据安全法》呼之欲出。
2020年6月28日,数据安全法草案在十三届全国人大常委会第二十次会议上提请审议。
主要内容包括:
1、确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;
2、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
3、坚持安全与发展并重,规定支持促进数据安全与发展的措施;
4、建立保障政务数据安全和推动政务数据开放的制度措施。
2020年7月2日,相关安全平台发布《中华人民共和国数据安全法 (草案) 》全文发布,内容涉及7个章节,51条内容,相关总结梳理如下:

第一章 总则(重点)

综述:
阐述数据安全法制定的背景、适用范围、关键词定义、公民和组织的权益和义务。
具体关键点如下:
1、适用范围:在中华人民共和国境内开展数据活动的组织、个人。
2、数据的定义:任何以电子或者非电子形式对信息的记录。
3、数据活动的定义:数据的收集、存储、加工、使用、提供、交易、公开等行为。
4、数据安全的定义:通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。

第二章 数据安全与发展

综述:
国家层加强对数据安全层面发展的支持,技术和产业发展带动数据安全建设,促进数据安全检测评估、认证、培训教育,建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

第三章 数据安全制度(重点)

综述:
国家层面强调对数据要进行分级分类保护,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度。数据依法实施出口管制,并可对国外采取相应的措施进行数据层面的反制。

第四章 数据安全保护义务(重点)

综述:
本章节定义了开展数据活动的组织和个人的责任和义务。
具体关键点如下:
  1. 建立健全全流程数据安全管理制度(第二十五条)
  2. 组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。(第二十五条)
  3. 重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。(第二十五条)
  4. 加强风险监测,数据安全漏洞及时修补,事件及时上报。(第二十七条)
  5. 定期开展风险评估,并向有关主管部门报送风险评估报告。报告内容包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)
  6. 任何组织、个人收集数据,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。(第二十九条)
  7. 从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第三十条)
  8. 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。(第三十一条)
  9. 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。(第三十三条)

第五章 政务数据安全与开放

此章节主要体现对政府、部委的电子政务要求。

第六章 法律责任

综述:
对开展数据活动的组织和个人未正确履行责任和义务的,有关主管部门可以责令改正,给予警告并执行处罚(组织、数据安全主管及相关责任人瑟瑟发抖中)。
具体关键点如下:
1、未履行25、27、28、29条规定义务的:
  • 组织处一万至十万罚款,直接主管人员五千至五万元罚款!
  • 拒不改正或造成严重后果的,组织处十万至一百万罚款,直接主管及相关责任人员处一万至十万罚款!
2、未履行30条义务的:
  • 没收违法所得,并处违法所得的一倍至十倍罚款;
  • 无违法所得的,处十万至一百万罚款;
  • 主管部门有权吊销相关业务许可证或营业执照;
  • 对直接主管及相关责任人员处一万至十万罚款!
3、未经许可,擅自从事“在线数据处理等服务”经营的:
  • 有关部门责令整改或取缔;
  • 没收违法所得,处违法所得一倍至十倍罚款;
  • 无违法所得的,处十万至一百万罚款;
  • 直接主管及相关责任人员处一万至十万罚款。
4、国家机关或人员不履行本法或玩忽职守,依法给予处分。
5、数据活动维护国家或公民权益的,依法处罚或承担民事责任。

第七章 附则

略。
国家层面已经发布的相关可参考的思路资料:
1、数据分级分类:
《政府数据 数据分类分级指南》DB 52/T 1123—2016
《工业数据分类分级指南(试行)》
《政府数据 数据脱敏工作指南》
2、数据采集:
《App违法违规收集使用个人信息行为认定方法》
3、数据安全建设:
《数据安全管理办法》(征求意见稿)
《网络数据安全标准体系建设指南》(征求意见稿)
《信息安全技术 个人信息安全规范》
4、数据出境:
《个人信息出境安全评估办法》(征求意见稿)

总结

本法案重点内容为第四章和第六章,明确规定出开张数据活动的组织和个人的责任和义务,未按照要求履行的,可以依法进行惩处,整个法案将把国内数据安全提升到一个新的高度,数据安全工作上升到国家层面,数据安全有法可依!

来源:freebuf.com 2020-07-03 16:16:35 by: Mark2019

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论