2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《数据安全法》三审稿,该法将于2021年9月1日起正式施行。《数据安全法》全文共七章五十五条,分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。本文将对《数据安全法》的立法沿革和重点条款进行解读,以期帮助市场参与者在新法生效前及时做好数据安全建设,降低合规风险。
一、《数据安全法》的立法沿革
2020年6月28日,第十三届全国人大常委会第二十次会议对《数据安全法(草案)》进行了初次审议。2021年4月29日,中国人大网公布了《数据安全法(草案)》的二审稿。二审稿的主要亮点在于将数据分类分级制度作为数据安全的基本核心制度,强化了等保的基础作用,提出明确数据安全负责人和管理机构的要求,明确关键信息基础设施的运营者在重要数据的出境方面的义务和责任,调整数据处理服务的资质要求,加强向涉外司法机构提供数据的监管,大幅加重不履行数据安全保护义务的法律责任及拒不配合数据调取的法律责任等。
在近日通过的最终三审稿中,与二审稿相比,主要的亮点和变化体现在明确国家机关在数据安全管理的职责和配合机制,强调对重要数据重点保护,强调智能化公共服务对老年人等的适用性,完善政务数据安全保障,并进一步加大对违法行为的处罚力度。
二、《数据安全法》重点条款解读
第一章第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第一章第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《数据安全法》作为数据安全领域最高位阶的专门法,与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系,更全面地保障了国家安全在各行业、各领域保障的有法可依。
就监管机构而言,国家安全机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。因此,《数据安全法》延续了《网络安全法》生效以来的”一轴两翼多级”的监管体系。”一轴”指国家安全机关,两翼指公安机关和网信部门,多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与,在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。
第一章第十条相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第二章第十六条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
第二章第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
---此处隐藏12492字,下载后查看---
政务数据已成为促进政府科学决策、提高公共管理效能的重要资源,疫情催生的大量公共服务数据采集、分析工具也进一步提升了政务数据的体量和质量。《数据安全法》敏锐洞察到政府履职过程中收集、使用数据的安全合规、数据保密、数据共享和委托第三方设计、运维电子政务系统带来的安全问题,并要求相关国家机关制定完善的数据安全管理制度、严格的批准程序以应对实践中存在的数据泄露等安全风险。
第六章第四十一条国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第六章第四十二条国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
在数据安全保障的大前提下,《数据安全法》明确了政务数据以公开为原则、不公开为例外的基本理念。在政务数据的互联互通方面,基于实践中普遍存在的政务数据”不愿开放、不敢开放、不会开放”孤岛,《数据安全法》要求在国家层面建立政务数据开放平台,并通过政务数据开放目录的形式应对政务数据领域数据资源碎片化、政务发展不均衡、政务协同缺乏互信基础等现实问题。