中华人民共和国数据安全法解读.pdf

资源描述

1、老烦读数据安全法本文旨在针对国家数据安全法全文提出对相关条款的理解，并在附录中提供有关数据安全法适用性引用内容，以供读者参考。本文纯属个人见解，请勿过分解读。樊山目录前言.2 中华人民共和国数据安全法.3 第一章总则.3 第二章数据安全与发展.6 第三章数据安全制度.8 第四章数据安全保护义务.10 第五章政务数据安全与开放.14 第六章法律责任.15 第七章附则.18 附录 1 法律法规.20 民法典.20 第六章隐私权和个人信息保护.20 中华人民共和国刑法.21 中华人民共和国刑法修正案（七）.23 中华人民共和国刑法修正案（九）.23 中华人民共和国刑法修正案（十

2、一）.25 中华人民共和国出口管制法.26 中华人民共和国网络安全法.33 个人信息和重要数据出境安全评估办法.45 网络安全审查办法.47 中华人民共和国认证认可条例（2020 年修订版）.50 国家网络安全事件应急预案.60 公共互联网网络安全突发事件应急预案.69 网络安全漏洞管理规定.78 附录 2 标准规范.81 信息安全技术数据处境安全评估指南.81 GB/T 35273 2020 信息安全技术个人信息保护规范.81 附录 3 其他.81 关于中华人民共和国反外国制裁法（草案）的说明.81 前言数据安全法即将在 2021 年 9 月 1 日正式实施，作为我国网络安全立法环节中

3、的重要一环，本法高于网络安全法但相辅相成，互为依托，完善了我国网络安全基础立法。未来围绕这两部立法将延展更多的适用项专业法和法规，部门规章，同时相关的标准制定也在立法支持下日趋完善。本文仅为作者在网络安全工作中的片面理解，为非官方不专业理解，本文在编写过程中参考了中国法制出版社杨合庆先生主编的中华人民共和国网络安全法解读，深圳网安检测龙军先生的中华人民共和国数据安全法技术合规要点分析一文，特向两位作者表示感谢。有关不足之处请各位读者指正。版权所有，转发请注明出处樊山 2021 年 6 月 14 日端午安康中华人民共和国数据安全法（20212021 年年 6 6 月月 1010 日第十

4、三届全国人民代表大会常务委员会第二十九次会议通过）日第十三届全国人民代表大会常务委员会第二十九次会议通过）第一章第一章总则总则第一条第一条为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。的合法权益，维护国家主权、安全和发展利益，制定本法。目的：目的：规范数据处理活动：数据在整个生命周期从数据生产/采集-存储-处理-传输-交换-销毁六个阶段展开数据安全保护。在本法的第 3 条将数据处理活动定义为：收集、存储、使用、加工、传输、提供、公开数据开发利用活

5、动应建立在遵循国家相关立法基础之上开展相关工作，从而保护个人、组织、国家利益和权益。第二条第二条在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。在中华人民共在中华人民共和国境外开展数和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。者公民、组织合法权益的，依法追究法律责任。适用范围：中华人民共和国境内开展数据处理活动及其安全监管，同时也明确域外损害我国国家安全、公共利益或公民、组织合法权益同样适用于本法。第三条第三条

6、本法所称数据，是指任何以电子或者其他方式对信息的记录。本法所称数据，是指任何以电子或者其他方式对信息的记录。数据处数据处理，包括数据的收集、存储、使用、理，包括数据的收集、存储、使用、加工、传输、提供、公开等。加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。备保障持续安全状态的能力。数据的含义：数据从形态而言有电子的（通过电子设备表达的一种形式）、非电子（如记录在纸、触觉、嗅觉、听觉、视觉所识别到能够表示事物形态的内容）本条款在定义数据处

7、理活动中缺少了对数据销毁阶段的控制活动数据安全中必要措施的目的是确保数据的有效、合法的利用及连续性保障，综合而言可以概述为数据的保密性（C）、完整性（I）、可用性（A）及可靠性原则的具体体现。其中综合是建立在技术、管理、工程过程基础之上围绕数据全生命周期开展其相关保障活动。但是由于数据本身与业务的特质，数据安全保护应围绕业务开展具体工作。第四条第四条维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能数据安全保障能力。力。本法将数据安全工作建立在国家整体安全层面，数据安全法是建立在网络安全法之

8、上，同时与网络安全法相辅相成，实现最终数据安全保障能力。第五条第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。重要工作，建立国家数据安全工作协调机制。本法明确数据安全工作在国家层面由“中央”一级国家安全领导架构负责，2018 年，“中央网络和信息安全领导小组”更名为“中央网络安全和信息化委员会”，从而奠定了数据

9、安全最终的责任机构。本机构在国家层面建立协调机制，统筹有关国家数据安全的指导工作以及战略制定、政策研究。第六条第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责

10、范围内承担数据安全监管职责。承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。关监管工作。本条明确层次化监管职责，各部门、行业主管单位在各自管辖权各司其职，履行监管责任和义务。国家网信部门统筹协调，公安机关承担有关危害公共安全下的数据安全监管职责、国家安全机关负责危害国家安全行为的数据安全监管工作。本省、市相关主管部门对本省市有关数据安全工作负责，各行业主管单位承担本行业监管职责。第七条第七条国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障

11、数据国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。依法有序自由流动，促进以数据为关键要素的数字经济发展。本条对公民、法人和其他组织对数据的所有权关系及相关权益建立保障。结合网络安全法第 4 章相关规定，明确数据所有权、使用权、托管权及使用数据的相关规定，在合法合规的前提下促进数据的合理有效利用，提升基于数据化的服务水平和能力，保障数据使用的相关活动能够依法有序的自由流动。第八条第八条开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商

12、业道德和职业道德，诚实守信，履和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。共利益，不得损害个人、组织的合法权益。个人、组织应该在享有宪法和法律相关的规定的前提下履行义务，在行使自由和权力的前提下所应该遵循相关法律如：刑法、民法典、网络安全法等、法规及道德规范。第九条第九条国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安

13、全保护工作，形成全推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。社会共同维护数据安全和促进发展的良好环境。维护数据安全是全社会共同责任，国家支持推动常态化的数据安全相关知识的宣传普及工作，政府有关部门督促管辖范围履行宣传教育职责，科研机构、专业培训教育机构、个人开发、设计、制作宣贯教育内容、各行业组织积极参加培训与教育。从整体提高我国数据安全水平与能力。第十条第十条相关行业组织按照章程，依法制定数据安全行为规范和相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自团体标准，加强行业自律，指导会员加强数据

14、安全保护，提高数据安全保护水平，促进行业健康发展。律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。本条强调行业自律工作。行业主体为维护共同利益、促进共同发展而开展行业规范的制订，规范行业行为、协调利益关系，维护公平竞争的自我管理和自我约束行为。共同制定符合本行业的数据安全保护规范和最佳实践。第十一条第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。数据跨境活动

15、应遵循国家互联网办公室颁布的个人信息和重要数据出境安全评估办法具体开展相关工作。同时国家积极制定相关标准规范，如：信息安全技术数据出境安全评估指南、第十二条第十二条任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。收到投诉、举报的部门应当及时依法处理。有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。举报危害数据安全行为是个人与组织的权力和义务，接受举报的主要部门为主

16、管数据安全的有关部门。接受举报的相关部门应当受理举报并根据举报内容、性质等依法、及时处理。根据行政许可法有关对举报的处理有明确时限要求的，应当在规定时限内作出处理并按要求给与回复。受理举报的有关部门应对举报人及举报内容严格保密，不得泄露第二章第二章数据安全与发展数据安全与发展第十三条第十三条国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。据安全保障数据开发利用和产业发展。本条款关于支持数据安全和产业发展的相关规定数据安全产生的隐私保护及更广义的业务安全的问题迫使我们必

17、须开始关注和重视数据在开发利用和产业发展过程中的数据安全问题。第十四条第十四条国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。各领域的创新应用。省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。制定数字经济发展规划。本条针对数据利用强调大数据战略，鼓励各行业开展大数据相关产业，合理、安全利用大数据。由省级以上人民政府支持数据的安全利用和安全的支撑产业发展作出原则性规定，

18、并通过立法开展数字经济发展规划设计工作。第十五条第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。本条着眼于大数据支持下的智能化的发展，此举势必将基于大数据建立的智能化、工业互联网体系推向高潮。而基于利用大数据建立的智能养老、残疾人服务等医疗卫健大数据的应用将获得更有效的法律支持。第十六条第十六条国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数

19、据安全国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。本条通过立法支持有关数据安全技术的研究开发和应用，推广安全可信的网络安全产品和服务，保护数据安全技术知识产权，支持企业、研究机构和高校等参与与国家数据安全技术的创新项目。第十七条第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订

20、有关数据开发利用技术、管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。专业标准的制定是建立数据安全的必要保证，国家鼓励制定行之有效的数据安全标准，国家标准管理委员会根据数据安全技术的发展和数据产业的发展组织相关行业、学术机构、科研团体、高校及安全专家共同开发相关标准。本条根据标准化法的规定，明确国家支持标准的制定工作。第十八条第十八条国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、国家促进数

21、据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。评估、防范、处置等方面开展协作。数据安全检测评估、认证是安全相关标准和操作规程所进行的合格评定程序，这是一种国际通行做法。近年来，我国对网络安全相关活动逐步趋向于体系化、正规化、公平化，网络安全检测销售许可制度也将更加完善和具有强制力。根据中华人民共和国认证认可条例有关规定开展相关检测工作。

22、第十九条第十九条国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。随着大数据的高速发展，数据交易活动管理成为数据安全工作的焦点问题，从数据的来源、交付、使用、传递等环节的合法性问题必须通过国家立法形成有效的规制。数据来源在网络安全环境中是一个特殊的问题，黑色产业链下的数据违法交易遍及全球各地，而数据交易组织没有一个有效的审核和授权机制，大数据下的“人物画像”造成的大量隐私泄露都问题迫使全球针对数据的良性使用和交易活动立法化，通过立法培育一个良性数据交易市场。第二十条第二十条国家支持教育、科研机构和企业等开展数

23、据开发利用技术和数据安全相关教国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。本条支持培养网络安全人才，人才是第一位要素，国家创建网络空间安全学院培养网络安全专业人才，弥补现有的人才缺口，随着数据安全问题的日益突出，网络安全不再是简单的攻防对抗问题，数据安全在业务领域的多元化问题尤为突出，专业的数据安全课程的建设与开发势在必行。企业结合自己的资金、技术和环境优势，与专业科研机构、培训教育行业开发与企业相关的数据安全培训，在本行

24、业和本组织建立良好的人才培养计划，以便更好的支持数据安全工作。第三章第三章数据安全制度数据安全制度第二十一条第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目

25、录，加强对重要数据的保护。制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。域的重要数据具体目录，对列入目录的数据进行重点保护。主要工作：数据安全首要工作是建立数据分类分级机制，除国家秘密

26、，军事秘密之外，国家通过数据分类分级划分为核心数据（关系国家安全、国民经济命脉、重要民生、重大公共利益）、重要数据（涉及国家安全、公共利益或者个人、组织合法权益造成危害）采取等级化保护，此举和国家网络安全等级保护、国家关键信息基础设设施保护建立接口，相辅相成。数据安全制度是在国家数据安全工作协调机制的统筹下由个部门自行建立本行业数据安全分类分级体现行业自主和适用性的场景，打破的网络安全等级保护带来的通用要求为各个行业建立保护工作中的不均衡性。各行业应在本法的规制下分析本行业业务数据特征，制定数据分类分级标准和准则，并依据数据重要性程度建立数据资产清单，针对重要数据实施重点保护工作奠定基础。目前

27、金融行业（JR/T XXXXX-XXXX 金融数据安全数据安全分级指南（送审稿）、医疗卫健行业（GB_T 39725-2020 信息安全技术健康医疗数据安全指南）证券期货业数据分类分级指引（JR/T 05182018）已经分别建立本行业相关数据分类分级规范。第二十二条第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。分析、

28、研判、预警工作。网络安全法在第 4 章中明确规定监测预警与应急处置相关工作要求。国家在中华人民共和国突发事件应对法、中华人民共和国网络安全法、国家突发公共事件总体应急预案、突发事件应急预案管理办法和信息安全技术信息安全事件分类分级指南（GB/Z 20986-2007）基础之上于 2017 年 4 月编制了国家网络安全事件应急响应预案，2017 年 11 月再次发布公共互联网网络安全突发事件应急预案。国家制定有关数据安全事件应急预案的工作将势在必行。应急响应工作是建立在风险评估基础之上，在应急响应准备阶段应切实做好风险评估，以便客观有效的制定响应预案。根据网络安全法第五十一条规定“国家建立网络安

29、全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。”第二十三条第二十三条国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。社会发布与公众有关的警示信息。网络安全法在第五十三、五十四、五十五条款中分别描述网络安全事件的预案制定及演练、事件确认和事件处置

30、与通报等活动。数据安全事件发生后，组织应根据国家建立的数据安全应急处置机制对结合应急响应工作六大流程准备-确认-遏制-根除-恢复-跟踪总结做好事件响应工作，同时建立事件通报、上报和披露机制。第二十四条第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。动进行国家安全审查。依法作出的安全审查决定为最终决定。依法作出的安全审查决定为最终决定。本条款衔接网络安全审查办法,通过制定数据安全审查制度进一步针对涉及国家安全数据的入境与离境活动实施审查机制。数据处理活动在第三条中所描述有关“收集、存储

31、、使用、加工、传输、提供、公开”全生命周期下任何一个环节都应该受到严格审查及规制。第二十五条第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。依法实施出口管制。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。根据中华人民共和国出口管制法的要求，源代码、算法等技术资料列入管制范围，这些数据的出口企业需按照出口管制法的要求执行。根据刑法（十一）修正案，第三百三十四条之一违反国家有关规定，非法采集我国人类遗传资源或者非法运送、邮寄、携带我国人类遗传资源材料出

32、境，危害公众健康或者社会公共利益，情节严重的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。第二十六条第二十六条任何国家任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。以根据实际情况对该国家或者地区对等采取措施。关于中华人民共和国反外国制裁法（草案）的说明一文中提出：近

33、些年来，某些西方国家为了遏制我国发展，利用涉台涉港涉藏涉疆涉海涉疫等问题对我进行遏制打压，粗暴干涉我国内政，严重违反国际法和国际关系基本准则。为了维护我国的国家主权、安全、发展利益，有必要制定专门法律应对某些西方国家对我实施的所谓“单边制裁”，为对外斗争提供法律支撑。本法强调在数据开发利用技术中，对于他国歧视性措施我国依据相关立法采取对等措施。第四章第四章数据安全保护义务数据安全保护义务第二十七条第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和

34、其他必要措施，保障数据管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。主要工作：数据处理活动的合法性依据（1）国家法律法规；（2）行业标准规范；（3）组织相关管理制度。并针对上述依据在组织内开展教育培训工作；由于数

35、据安全工作的实质是业务安全的重要组成，数据安全相关培训应以业务部门为核心展开。从业务需求-设计-开发/实施-交付验收-运行维护-废弃全生命周期基于网络安全法要求同步规划、同步建设和同步使用三同步原则开展教育。同时，针对技术部门在运行维护阶段如何有效落实数据安全保护手段所必备的技术能力建立培训。安全厂商、软件开发商、安全服务商需要在自己的工作范围内掌握如何保护数据安全设计合理的数据调用手段开展培训教育。组织高层的意识教育尤为重要，安全是一个自上而下的活动，针对高层有关数据安全工作重要性及合规性要求教育势在必行。全体员工应在数据安全保护的大环境下通过意识宣贯了解自己在数据安全工作中应尽的义务与责任

36、，并理解数据安全对自身的影响和损害，使其成为数据安全工作中忠实的执行者。组织应建立数据安全管理机构及专职人员负责数据安全具体工作，并监督、指导数据安全治理活动。第二十八条第二十八条开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。展，增进人民福祉，符合社会公德和伦理。本条与网络安全法第十八条共同声明根据国家产业政策，鼓励有关数据处理活动及研究活动。在具体的数据新技术开发中，由网络运营者、科研机构、高校、软件开发商、安全厂商、服务商共同为促进经济社会发展发挥作用。第二十九条第二十

37、九条开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。知用户并向有关主管部门报告。导致数据安全产生问题应该从网络运营者的自我发现，安全厂商、服务商及软件开发商在提供产品、服务中能够及时对自己产品中所产生有关危害数据安全行为的漏洞及时进行通告，并采取补救措施。工信部在网络安全漏洞管理规定（征求意见稿）中明确了漏洞责任方应在限定时间内

38、对漏洞进行修复；网络安全法在第五十六条中规定了网络安全事件发生后的上报和约谈机制及要求网络运营者履行责任和义务按照要求采取措施，进行整改，消除隐患。第三十条第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。数据安全风险及其应对措施等。风险评估活动是建立动态数据安全

39、保护的基础，重要数据处理者应定期，通常为每年至少一次或者当组织发生重大变更时进行风险评估，风险评估活动以自评估为主，风险评估报告向上级主管机构上报。同时，通过风险评估制定风险控制措施，并在指定的时间完成风险控制，降低风险。由于目前我国尚无有效是数据安全评估标准，基于信息安全技术信息安全风险评估规范GB_T 20984-2007 风险评估模型，各行业应制定符合本行业的数据安全评估准则。第三十一条第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用中华人民共和国网络安全法的规定；其他

40、数据处理者在要数据的出境安全管理，适用中华人民共和国网络安全法的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。门会同国务院有关部门制定。网络安全法第三十七条固定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”，重要数据出境根据个人信息和重要数据出境安全评估办法相关

41、规定，（一）含有或累计含有 50 万人以上的个人信息；（二）数据量超过 1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益的数据离境必须经过国家网信部门评估。存在以下情况之一的，数据不得出境：（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；（三）其他经国家网信部门、

42、公安部门、安全部门等有关部门认定不能出境的。第三十二条第三十二条任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。目的和范围内收集、使用数据。网络安全法在第 4 章第四十一条中规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方

43、式和范围，并经被收集者同意。不管是欧洲的 GDPR，还是我国个人信息保护规范在针对数据收集时都应遵循以下原则：权责一致原则对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。目的明确原则具有合法、正当、必要、明确的个人信息处理目的。选择同意原则向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。最少够用原则除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。公开透明原则以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。确保安全原则具备与所面临的安全

44、风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。主体参与原则向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。同时网络安全法第 4 章第四十一条第二款中规定“在网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。“第三十三条第三十三条从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核

45、、交易记录。源，审核交易双方的身份，并留存审核、交易记录。本条针对在数据交易活动中，数据服务机构应通过书面形式向数据接收方说明数据来源及合法性问题，同时，交易双方应对各自的身份进行识别，确保数据在交付后能够被合法利用。交易活动应保存交易记录。第三十四条第三十四条法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。供者应当依法取得许可。数据交易组织应由国家有关部门授权许可之后方可实施数据交易活动，授权许可根据国家认证认可条例由有关责任部门依法授予。第三十五条第三十五条公安机关、国家安全机关因依法

46、维护国家安全或者侦查犯罪的需要调取数公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。配合。网络运行者应按照法律、法规执行。未经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。企业技术部门人员不允许在未经国家有关部门授权，由组织数据安全主管领导的许可同意的情况下，直接向外国司法或者执法机构提供存储在境内的数据。组织数据安全主管领导遇到此情形应积极与相关主管机关沟通

47、汇报。第三十六条第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。提供存储于中华人民共和国境内的数据。本条针对境外组织向中华人民共和国境内组织获取数据的要求。第五

48、章第五章政务数据安全与开放政务数据安全与开放第三十七条第三十七条国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。升运用数据服务经济社会发展的能力。政务大数据利用将成为一个不可逆转的局面，“数据化“将作为政务服务的重要手段。高速、海量、多样和准确的数据活动指导未来政务工作。第三十八条第三十八条国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履

49、行职责中知悉的个人隐私、的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。提供。国家机关首先在履行其业务职能提供公民公共事务服务过程中承担网络运营者的角色；其次，在履行法定职责活动中承担监督管理职责活动；在网络安全法第 4 章第四十五条中明确了“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。“，在本法中进一步强调在

50、具体执行工作中需要依照”法律、行政法规规定的条件和程序进行“并明确了涉及的数据类型”第三十九条第三十九条国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。实数据安全保护责任，保障政务数据安全。本条明确指出承载数据业务的政务机构必须制定符合本单位使用的数据安全管理制度，并明确数据保护责任人及保护手段，保障政务数据第四十条第四十条国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准

展开阅读全文