“当前刑法仅对买卖、交易个人信息做出处罚,并没有详细涉及数据泄露问题。面对诸如2018年华住酒店5亿条信息泄露这样的大范围数据泄露,我国目前法律框架不管是刑法还是网络安全法,都没有规定企业要承担什么责任。说白了,泄露也就泄露了。监管机构没有法律依据,就不能追究企业责任,这个问题亟需解决。”——上海交通大学数据法律研究中心执行主任何渊
《中华人民共和国数据安全法》是一部条件比较成熟、任期内拟提请审议的法律草案。
2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。草案内容共7章51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。
2020年6月28日举行的十三届全国人大常委会第二十次会议进行初次审议。
主要内容:
-
确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度;
-
明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
-
坚持安全与发展并重,锁定支持促进数据安全与发展的措施;
-
建立保障政务数据安全和推动政务数据开放的制度措施。
《中华人民共和国数据安全法(草案)》全文共涉及7个章节,51条内容,相关梳理总结如下:
第一章 总则
阐述了安全法的制法目的,适用范围,数据,数据活动,数据安全的定义,公民及组织的权益和义务,负责机构和 各部门职责
目的:为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
适用范围:中华人民共和国境内的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的
数据:是指任何以电子或者非电子形式对信息的记录。
数据活动:是指数据的收集、存储、加工、使用、提供、交易、公开等行为。
数据安全:是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
第二章 数据安全与发展
国家加强数据开发利用技术基础研究,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系,推进数据开发利用技术和数据安全标准体系建设,建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第三章 数据安全制度 *
国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。国家建立数据安全应急处置机制。建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
第四章 数据安全保护义务 *
规定了开展数据活动的组织个人的责任和义务
开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。(第二十五条)
重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。(第二十五条)
开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即补救,告知用户并上报。(第二十七条)
重要数据的处理者应当定期开展风险评估,上报风险评估报告(第二十八条)
当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。(第二十八条)
任何组织、个人收集数据,必须采取合法、正当的方式,法规对收集、使用数据的目的、范围有规定,不得超过必要的限度。(第二十九条)
从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。(第三十条)
专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。(第三十一条)
安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,有关组织、个人应当予以配合。(第三十二条)
境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当上报(第三十三条)
第五章 政务数据安全与开放
具有公共事务管理职能的组织为履行公共事务管理职能开展数据活动,适用本章规定。
国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内进行。(第三十五条)
国家机关应当依照法律、行政法规的规定,建立数据安全管理制度,落实责任(第三十六条)
国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。(第三十八条)
第六章 法律责任
有关主管部门发现数据活动存在安全风险的,可以进行约谈。有关组织和个人应当整改。
不履行本法第二十五条、第二十七条、第二十八条、第二十九条规定的:
组织:责令改正,给予警告,可以并处一万元以上十万元以下罚款;直接负责的主管人员:处五千元以上五万元以下罚款
拒不改正或者造成大量数据泄漏等严重后果的:
组织:处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员:处一万元以上十万元以下罚款
未履行本法第三十条规定的:
导致非法来源数据交易的:责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照
直接负责的主管人员和其他直接责任人员:处一万元以上十万元以下罚款
违反第三十一条规定的:
组织:责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款
直接负责的主管人员和其他直接责任人员:处一万元以上十万元以下罚款
国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
履行数据安全监管责任的国家工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。
违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理处罚行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
涉及国家秘密的数据活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定。
军事数据安全保护的办法,由中央军事委员会另行制定
《中华人民共和国数据安全法(草案)》中国人大网下载地址:http://www.npc.gov.cn/flcaw/flca/ff80808172b5fee801731385d3e429dd/attachment.pdf