《数据安全法》新法解读
2020年9月1日起,《中华人民共和国数据安全法》(以下简称“数据安全法”)实施,这意味着数据的利用必须合规,企业对数据的利用已过了野蛮生长阶段,数据的合规化是每一个企业都要面临的问题。
一、《数据安全法》结构
《数据安全法》主要分为七章,分别是第一章的总则。第二章的数据安全与发展。第三章的数据安全保护制度。第四章的数据安全保护义务。第五章的政务数据安全与开放。第六章的法律责任。以及第七章的附则。
二、重点关注条文
《数据安全法》第十四条规定:国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划
《数据安全法》第十五条规定:国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
《数据安全法》第二十一条规定:国家建立数据分类分级保护制度
《数据安全法》二十七条规定: 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
《数据安全法》第三十条规定:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
三、企业的权利和义务
保障数据安全的义务 | 第27条、第29条 |
合目的性义务 | 第28条 |
数据处理风险评估义务 | 第30条 |
合法收集数据的义务 | 第31条、第32条 |
数据交易的审核义务 | 第33条 |
合法处理数据的义务 | 第34条 |
维护国家安全的义务 | 第31条、第35条、第36条 |
四、国家对数据的保护
1、国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
2、国家支持开发利用数据提升公共服务的智能化水平。
3、国家支持数据开发利用和数据安全技术研究。
4、国家推进数据开发利用技术和数据安全标准体系建设。
5、国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
6、国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
7、国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训。
五、总结
《数据安全法》对于数据,尤其是数据商业利用的有了更高层面的要求。第一,国家对我国境内收集使用个人数据的企业进行了筛选,只有具备数据安全保障能力,才有资格使用收集个人数据。第二,上述准入资格仅代表企业在我国境内具有收集、使用个人数据资源的可能,并不意味着可以不经权利人同意随意采集他人个人数据。结合《中华人民共和国个人信息保护法草案》,任何组织、个人收集数据,应当采取合法、正当的方式,公民仍可基于私权利对个人数据加以控制。第三,对于依法收集的数据,虽然适格企业可基于不同目的与方式共享、使用,但并非毫不受限。
六、建议
1、按照《数据安全法》的规定,建立健全数据合规管理框架与流程,在整个数据的收集、存储、处理、共享等阶段均需要建立相应的合规管理制度。
2、建立健全与国家相统一数据的分类分级保护制度
3、建立健全全流程数据安全管理制度
4、建立健全数据的风险预测制度
5、建立健全重要数据评估制度
6、建立健全数据出境安全管理制度