公告 / 【VK技术分享】数据安全怎么做——合规篇之数据安全法

作者:Mark 公布时间:2020-07-09 阅读次数:348

继欧洲GDPR、巴西LGPD、美国CCPA等法案之后,我国的《中华人民共和国数据安全法》呼之欲出。

2020年6月28日,数据安全法草案在十三届全国人大常委会第二十次会议上提请审议。主要内容包括:

1、确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;

2、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;

3、坚持安全与发展并重,规定支持促进数据安全与发展的措施;

4、建立保障政务数据安全和推动政务数据开放的制度措施。

2020年7月2日,发布《中华人民共和国数据安全法 (草案) 》全文发布!

第一章 总则(重点)

综述:

阐述数据安全法制定的背景、适用范围、关键词定义、公民和组织的权益和义务。

具体关键点如下:

1、适用范围:在中华人民共和国境内开展数据活动的组织、个人。

2、数据的定义:任何以电子或者非电子形式对信息的记录。

3、数据活动的定义:数据的收集、存储、加工、使用、提供、交易、公开等行为。

4、数据安全的定义:通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。

第二章 数据安全与发展

综述:

国家层加强对数据安全层面发展的支持,技术和产业发展带动数据安全建设,促进数据安全检测评估、认证、培训教育,建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

第三章 数据安全制度

综述:

国家层面强调对数据要进行分级分类保护,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度。数据依法实施出口管制,并可对国外采取相应的措施进行数据层面的反制。

第四章 数据安全保护义务(重点)

综述:

本章节定义了开展数据活动的组织和个人的责任和义务。

具体关键点如下:

1、建立健全全流程数据安全管理制度(第二十五条)

2、组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。(第二十五条)

3、重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。(第二十五条)

4、加强风险监测,数据安全漏洞及时修补,事件及时上报。(第二十七条)

5、定期开展风险评估,并向有关主管部门报送风险评估报告。报告内容包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)

6、任何组织、个人收集数据,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。(第二十九条)

7、从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第三十条)

8、专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。(第三十一条)

9、境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。(第三十三条)

第五章 政务数据安全与开放

综述:

此章节主要体现对政府、部委的电子政务要求。

第六章 法律责任(重点)

综述:

对开展数据活动的组织和个人未正确履行责任和义务的,有关主管部门可以责令改正,给予警告并执行处罚(组织、数据安全主管及相关责任人瑟瑟发抖中)。

具体关键点如下:

1、未履行25、27、28、29条规定义务的:

· 组织处一万至十万罚款,直接主管人员五千至五万元罚款;

· 拒不改正或造成严重后果的,组织处十万至一百万罚款,直接主管及相关责任人员处一万至十万罚款。

2、未履行30条义务的:

· 没收违法所得,并处违法所得的一倍至十倍罚款;

· 无违法所得的,处十万至一百万罚款;

· 主管部门有权吊销相关业务许可证或营业执照;

· 对直接主管及相关责任人员处一万至十万罚款。

3、未经许可,擅自从事“在线数据处理等服务”经营的:

· 有关部门责令整改或取缔;

· 没收违法所得,处违法所得一倍至十倍罚款;

· 无违法所得的,处十万至一百万罚款;

· 直接主管及相关责任人员处一万至十万罚款。

4、国家机关或人员不履行本法或玩忽职守,依法给予处分。

5、数据活动维护国家或公民权益的,依法处罚或承担民事责任。

第七章 附则

略。

国家层面已经发布可参考的思路资料

1、数据分级分类:

《政府数据 数据分类分级指南》DB 52/T 1123—2016

《工业数据分类分级指南(试行)》

《政府数据 数据脱敏工作指南》

2、数据采集:

《App违法违规收集使用个人信息行为认定方法》

3、数据安全建设:

《数据安全管理办法》(征求意见稿)

《网络数据安全标准体系建设指南》(征求意见稿)

《信息安全技术 个人信息安全规范》

4、数据出境:

《个人信息出境安全评估办法》(征求意见稿)

结语

本法案重点内容为第四章和第六章,明确规定出开展数据活动的组织和个人的责任和义务,未按照要求履行的,可以依法进行惩处,整个法案将把国内数据安全提升到一个新的高度,数据安全工作上升到国家层面,数据安全有法可依!


这是【vk技术分享】的第6期

后续我们将持续输出优秀的技术文章

如果您有任何希望交流讨论问题

欢迎在文末或后台进行留言

我们期待与您的技术交流和思想碰撞