《数据安全法》要点解读.docxVIP

《数据安全法》要点解读 2021年6月10日，第十三届全国人民代表大会常务委 员会第二十九次会议通过《数据安全法》三审稿，该法将 于2021年9月1日起正式施行。《数据安全法》全文共七章 五十五条，分别从数据安全与发展、数据安全制度、数据 安全保护义务、政务数据安全与开放的角度对数据安全保 护的义务和相应法律责任进行规定。本文将对《数据安全 法》的立法沿革和重点条款进行解读，以期帮助市场参与 者在新法生效前及时做好数据安全建设，降低合规风险。 一、《数据安全法》的立法沿革 2020年6月28日，第十三届全国人大常委会第二十次 会议对《数据安全法（草案）》进行了初次审议。2021年4 月29日，中国人大网公布了《数据安全法（草案）》的二 审稿。二审稿的主要亮点在于将数据分类分级制度作为数 据安全的基本核心制度，强化了等保的基础作用，提出明 确数据安全负责人和管理机构的要求，明确关键信息基础 设施的运营者在重要数据的出境方面的义务和责任，调整 数据处理服务的资质要求，加强向涉外司法机构提供数据 的监管，大幅加重不履行数据安全保护义务的法律责任及 拒不配合数据调取的法律责任等。 义务。《数据安全法》延续《网络安全法》的规定，对重 要数据提出更高的数据保护要求，具体的法律义务包括明 确数据安全负责人和管理机构、开展风险评估并报送报告、 符合数据出境安全管理要求等。就风险评估本身而言，关 于评估的具体主体、报告报送的对象、评估的频率有待后 续立法进一步明确。 《数据安全法》也在法律责任的部分明确了不履行第 二十七、二十九、三十条规定的数据安全保护义务、尚未 造成数据泄露等后果的，主管部门也可以采取责令改正、 警告、罚款等行政处罚措施。在相关制度不健全，且拒不 改正或造成大量数据泄露等严重后果的，主管部门则可以 责令暂停相关业务、停业整顿、吊销许可证或营业执照和 处以罚款。 第四章第三十三条从事数据交易中介服务的机构提 供服务，应当要求数据提供方说明数据来源，审核交易双 方的身份，并留存审核、交易记录。 第五章第三十四条 法律、行政法规规定提供数据处 理相关服务应当取得行政许可的，服务提供者应当依法取 得许可。 《数据安全法》特别对从事数据交易中介服务的市场 参与者提出额外的安全保护要求o就数据交易中介服务本 身而言，《数据安全法》尚未给出明确的范围，相关市场 参与者可参考《数据交易服务安全要求》中“帮助数据需 方和供方完成数据交易的活动”对自身的业务属性进行定 位。 就中介机构需要进行审核的内容而言，《数据安全法》 要求中介机构审核交易双方的身份，关于审核的具体内容、 进行形式审核或实质审核、供需方的合规风险是否传导到 中介机构等内容还有待立法和司法的进一步明确。 就数据处理的行政许可而言，《数据安全法》为后续 数据交易的准入预留了口子。结合近期的立法和监管动向， 例如《征信业务管理办法（征求意见稿）》和人行批准个 人征信业务许可，后续可能会在多行业、多领域对市场的 准入等环节加强监管。 第五章第三十八条 国家机关为履行法定职责的需要 收集、使用数据，应当在其履行法定职责的范围内依照法 律、行政法规规定的条件和程序进行；对在履行职责中知 悉的个人隐私、个人信息、商业秘密、保密商务信息等数 据应当依法予以保密，不得泄露或者非法向他人提供。 第五章第三十九条国家机关应当依照法律、行政法 规的规定，建立健全数据安全管理制度，落实数据安全保 护责任，保障政务数据安全。 第五章第四十条 国家机关委托他人建设、维护电子 政务系统，存储、加工政务数据，应当经过严格的批准程 序，并应当监督受托方履行相应的数据安全保护义务。受 托方应当依照法律、法规的规定和合同约定履行数据安全 保护义务，不得擅自留存、使用、泄露或者向他人提供政 务数据。 政务数据已成为促进政府科学决策、提高公共管理效 能的重要资源，疫情催生的大量公共服务数据采集、分析 工具也进一步提升了政务数据的体量和质量。《数据安全 法》敏锐洞察到政府履职过程中收集、使用数据的安全合 规、数据保密、数据共享和委托第三方设计、运维电子政 务系统带来的安全问题，并要求相关国家机关制定完善的 数据安全管理制度、严格的批准程序以应对实践中存在的 数据泄露等安全风险。 第六章第四十一条 国家机关应当遵循公正、公平、 便民的原则，按照规定及时、准确地公开政务数据。依法 不予公开的除外。 第六章第四十二条 国家制定政务数据开放目录，构 建统一规范、互联互通、安全可控的政务数据开放平台, 推动政务数据开放利用。 在数据安全保障的大前提下，《数据安全法》明确了 政务数据以公开为原则、不公开为例外的基本理念。在政 务数据的互联互通方面，基于实践中普遍存在的政务数据 “不愿开放、不敢开放、不会开放”孤岛，《数据安全法》