背景

2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》,将于2021年9月1日正式生效。自2017年《中华人民共和国网络安全法》生效并在网络信息安全章节中提出重点对个人信息以及重要数据的保护以来,国家已经相继出台了一系列法律法规和国家标准对个人信息的保护提出了高标准详细的要求,而对于重要数据的保护一直还缺乏进一步的指引。数安法的出台终于确定了重要数据保护的基调。

以下是我们总结的要点:

整体框架

如图所示,数安法从数据安全与发展,安全制度,安全保护义务,政务数据安全与开放四大领域结合整体数字经济的发展提出了发展与安全并重的具体要求。

一.定义及范围:

首先数安法在总则里面明确了数据的定义是“任何以电子或者其他方式对信息的记录”,数据处理包括“数据的收集、存储、使用、加工、传输、提供、公开等”。同时规定了“在中华人民共和国境内开展数据处理活动及其安全监管,适用本法”

二.监督管理:

明确了中央国家安全领导机构负责决策并建立协调机制,各地区,各部门,行业主管,公安机关和国家安全机关在各自范围负责安全监管,网信部门负责统筹协调

三.安全与发展:

  • 提出了“保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”的原则,明确“国家实施大数据战略,推进数据基础设施建设”并鼓励创新。

  • 对比二审稿,正式生效的数安法还特别增加了要求在智能化公共服务的过程中充分考虑老年人及残疾人需求的条款

  • 明确支持“数据安全检测评估、认证等服务的发展”

  • 提出了“建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”在数据确权,数据估值,数据贸易的数字经济立法趋势上更进了一步。

四.数据分类分级:

  • 明确“国家建立数据分类分级保护制度”,与国家“网络安全等级保护”制度呼应。要求各地区,各部门,各行业制定各自范围里的“重要数据目录

  • 提出了“国家核心数据”的概念,“实行更加严格的管理制度”,违反者将面临最高1000万人民币的罚款以及“暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的处罚,并有可能承担刑事责任

五.安全机制:

  • “建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制”

  • “国家建立数据安全应急处置机制”

  • “国家建立数据安全审查制度”

六.安全评估:

明确了重要数据处理者必须“定期开展风险评估”及相应评估报告内容的具体要求,违反企业将面临最高200万人民币的罚款,相关个人最高20万人民币的罚款。(网安法为最高100万人民币和10万人民币)

七.数据跨境:

  • 明确了“对属于管制物项的数据依法实施出口管制

  • 网安法的三十七条只对关键信息基础设施运营者的数据跨境做了要求,数安法三十一条明确了“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。违反企业将面临最高1000万人民币的罚款,相关个人最高100万人民币的罚款。(网安法为最高50万人民币和10万人民币)

  • 明确了海外司法或执法机构对于中国境内数据的调取必须通过中国主管机关根据相应的国际条约,协定或平等互惠原则进行处理。违反企业将面临最高500万人民币的罚款,相关个人最高50万人民币的罚款。

八.数据交易:

对数据提供者提出了“说明数据来源”的要求,交易服务机构必须“审核交易双方的身份,并留存审核、交易记录”。违反企业将面临10倍违法所得或100万人民币的罚款,相关个人最高10万人民币的罚款

九.数据调取:

明确了公安机关,国家安全机关国家安全或侦察犯罪需求调取企业及个人数据的权力。拒不配合的企业将面临50万人民币的罚款,相关个人10万人民币的罚款。

十.数据处理许可:

提出了相关数据处理服务行政许可的要求

十一.政务数据:

明确了对政务数据收集,使用,存储,处理,维护等的具体要求,并将制定政务数据公开目录

十二.反海外歧视:

赋予了国家因任何国家或地区“在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的”,国家可以“根据实际情况对该国家或者地区对等采取措施”。结合已经生效的《中华人民共和国反外国制裁法》,给予了国家在数字领域应对海外不合理“长臂管辖”的有力法律武器。

总体来说,

数安法高屋建瓴的在数字经济大势下如何平衡安全与发展,如何加强对于重要数据及核心数据的保护,如何确保国家对于数据的主权并切实保护企业及个人的利益方面提出了具体要求。同时大幅提高了相对网安法的处罚力度,增加了违法成本,提高了威慑力。相信各地区,各部分和各行业主管会很快依据数安法明确其范围内的重要数据目录,跨境管理规定其其他相应具体措施细则。加上即将颁布的《个人信息保护法》,一整套针对网络信息安全的体系将建立起来。

在这个数字世界里,企业的声誉可能始于网络,也可能止于网络。网络无处不在,所以网络安全是整个企业的共同责任。信任是各种关系的基石,是您与员工,供应商,供应链合作伙伴和客户进行所有交互的基础。德勤最新的网络安全服务,“理解,连接,信任 - 德勤网络安全赋能解决方案”将帮助我们的客户和社会在安全无界,畅行无限。

作者:江玮,德勤中国风险咨询合伙人

声明:本文来自德勤Deloitte,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。