数据安全怎么做?合规篇之数据安全法(草案)
继欧洲GDPR、巴西LGPD、美国CCPA等法案之后,我国的《中华人民共和国数据安全法》呼之欲出。 2020年6月28日,数据安全法草案在十三届全国人大常委会第二十次会议上提请审议。
主要内容包括:
1、确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;
2、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
3、坚持安全与发展并重,规定支持促进数据安全与发展的措施;
4、建立保障政务数据安全和推动政务数据开放的制度措施。
2020年7月2日,相关安全平台发布《中华人民共和国数据安全法(草案)》全文发布,内容涉及7个章节,51条内容,相关总结梳理如下: 第一章总则(重点) 综述: 阐述数据安全法制定的背景、适用范围、关键词定义、公民和组织的权益和义务。
具体关键点如下:
1、适用范围:在中华人民共和国境内开展数据活动的组织、个人。
2、数据的定义:任何以电子或者非电子形式对信息的记录。
3、数据活动的定义:数据的收集、存储、加工、使用、提供、交易、公开等行为。
4、数据安全的定义:通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
第二章数据安全与发展
综述: 国家层加强对数据安全层面发展的支持,技术和产业发展带动数据安全建设,促进数据安全检测评估、认证、培训教育,建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第三章数据安全制度(重点)
综述: 国家层面强调对数据要进行分级分类保护,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制;建立数据安全应急处置机制;建立数据安全审查制度。数据依法实施出口管制,并可对国外采取相应的措施进行数据层面的反制。
第四章数据安全保护义务(重点)
综述: 本章节定义了开展数据活动的组织和个人的责任和义务。
具体关键点如下:
建立健全全流程数据安全管理制度(第二十五条)
组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。(第二十五条)
重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。(第二十五条)
加强风险监测,数据安全漏洞及时修补,事件及时上报。(第二十七条)
定期开展风险评估,并向有关主管部门报送风险评估报告。报告内容包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)
任何组织、个人收集数据,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。(第二十九条)
从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第三十条)
专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。(第三十一条)
境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。(第三十三条)
第五章政务数据安全与开放 此章节主要体现对政府、部委的电子政务要求。 第六章法律责任 综述: 对开展数据活动的组织和个人未正确履行责任和义务的,有关主管部门可以责令改正,给予警告并执行处罚(组织、数据安全主管及相关责任人瑟瑟发抖中)。
具体关键点如下:
1、未履行25、27、28、29条规定义务的: 组织处一万至十万罚款,直接主管人员五千至五万元罚款! 拒不改正或造成严重后果的,组织处十万至一百万罚款,直接主管及相关责任人员处一万至十万罚款!
2、未履行30条义务的: 没收违法所得,并处违法所得的一倍至十倍罚款; 无违法所得的,处十万至一百万罚款; 主管部门有权吊销相关业务许可证或营业执照; 对直接主管及相关责任人员处一万至十万罚款!
3、未经许可,擅自从事“在线数据处理等服务”经营的: 有关部门责令整改或取缔; 没收违法所得,处违法所得一倍至十倍罚款; 无违法所得的,处十万至一百万罚款; 直接主管及相关责任人员处一万至十万罚款。
4、国家机关或人员不履行本法或玩忽职守,依法给予处分。
5、数据活动维护国家或公民权益的,依法处罚或承担民事责任。
第七章附则 略。 国家层面已经发布的相关可参考的思路资料:
1、数据分级分类: 《政府数据数据分类分级指南》DB52/T1123—2016 《工业数据分类分级指南(试行)》 《政府数据数据脱敏工作指南》
2、数据采集: 《App违法违规收集使用个人信息行为认定方法》
3、数据安全建设: 《数据安全管理办法》(征求意见稿) 《网络数据安全标准体系建设指南》(征求意见稿) 《信息安全技术个人信息安全规范》
4、数据出境: 《个人信息出境安全评估办法》(征求意见稿) 总结 本法案重点内容为第四章和第六章,明确规定出开张数据活动的组织和个人的责任和义务,未按照要求履行的,可以依法进行惩处,整个法案将把国内数据安全提升到一个新的高度,数据安全工作上升到国家层面,数据安全有法可依!
版权声明:本站文章来源标注为YINGSOO的内容版权均为本站所有,欢迎引用、转载,请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站,禁止在非www.yingsoo.com所属的服务器上建立镜像,否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来,仅供学习参考,不代表本站立场,如有内容涉嫌侵权,请联系alex-e#qq.com处理。
关注官方微信