数据安全法 笔记

2021年6月10日，新华社报道，十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。
数据安全法共七章，五十五条，其中 “总则”、“法律责任”及“附则”三章属于常规章节，另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。

1. 适用范围：在中国境内开展数据活动的组织和个人。
2. 定义：定义数据是指任何以电子或者其它方式对信息的记录。
3. 保护要求：釆取必要措施，对数据进行有效保护和合法利用，并持续保持其安全能力。
4. 责任任务：工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范，并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。
5. 特别的对行业组织提出了制定安全行为规范，加强行业自律，指导会员加强数据安全保护的要求。这项法规有效的消灭了灰色地带，对各行业都形成了法律约束，杜绝了数据的随意共享和流转。

1. 原则：国家统筹发展和安全，坚持保障数据安全与促进数据开发利用并重。
2. 要求：国家实施大数据战略,省级以上人民政府应制定数字经济发展规划。
3. 标准体系建设：国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订相关标准。国家支持企业、科研机构等参与标准制定。
4. 评估认证：国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。 人才培养：要釆取多种方式培养数据开发利用技术和数据安全专业人才。
5. 交易市场:国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。
6. 人才培养：国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训

1. 分类分级：国家建立数据分类分级保护制度，对数据实行分类分级保护，并制定重要数据目录，加强对重要数据的保护。
2. 风险机制 ：国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
3. 应急处置：国家建立数据安全应急处置机制。
4. 安全审查：国家建立数据安全审查制度。
5. 出口管制：对属于管制物项的数据依法实施出口管制。

1. 管理制度：在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。
2. 风险监测：对出现缺陷、漏洞等风险，要釆取补救措施；发生数据安全事件，应当立即采取处置措施，并按规定上报。
3. 风险评估：定期开展风险评估并上报风评报告。
4. 数据收集：任何组织、个人收集数据必须釆取合法、正当的方式，不得窃取或者以其他非法方式获取数据。
5. 数据交易：数据服务商或交易机构，要提供并说明数据来源证据，要审核相关人员身份并留存记录。
6. 经营备案：数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。
7. 配合调查：要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，未经批准，不得提供。

特别的，对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

1. 管理制度：建立健全全流程数据安全管理制度，落实数据安全保护责任。
2. 存储加工：委托他人存储、加工或提供政务数据，应当经过严格审批，并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。
3. 数据开放：构建统一政务数据开放平台，发布数据开放目录，推动政务数据开放利用。

1. 存在安全风险：可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。
2. 不履行数据安全保护义务：责令改正和警告，给予单位 5 万至 50 万元罚款，给予负责人 1 万至 10万元罚款；拒不改正或造成大量数据泄漏等严重后果的，给予单位 50 万至 200万元罚款，最高责令吊销相关业务许可证或者吊销营业执照，给予负责人 5 万至 20 万元罚款。
3. 危害国家安全和损害合法权益：给予 200 万至 1000 万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，构成犯罪的，追究刑事责任。
4. 向境外提供重要数据：由有关主管部门责令改正，给予警告，可以并处 10 万至 100 万元罚款，对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。情节严重的，给予 100 万至 1000 万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予 10 万至 100 万元罚款。
5. 交易不明来源数据：没收违法所得，对违法所得一至十倍罚款。没有违法所得或违法所得不足 10 万元的给予 10 万至 100 万元罚款，最高责令吊销营业执照；对主管和直接责任人 1 万至 10 万元罚款。
6. 拒不配合数据调取：由有关主管部门责令改正，给予警告，可以并处 5 万元至 50 万元罚款，对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。
7. 国家机关不履行安全保护义务：对负责人和直接责任人员依法处分。
8. 未经审批向境外提供组织数据：由有关主管部门给予警告，可以并处 10 万至 100 万元罚款，对直接负责的主管人员和其他直接责任人员可以处 1 万至 10 万元罚款。造成严重后果的，给予 100 万至 500 万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予 5 万至 500 万元罚款。
9. 窃取或非法获取数据：依照有关法律、行政法规的规定处罚。
10. 给他人造成损害：依法承担民事责任，构成犯罪的，依法追究刑事责任。

1. 涉及国家秘密的数据：依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。
2. 涉及军事秘密的数据：由中央军事委员会依据本法另行制定。
3. 施行时间：本法自2021年9月1日起施行

相关标准、规范

数据交易相关标准：
GB/T 37932《信息安全技术 数据交易服务安全要求》
GB/T 36343《信息安全技术 数据交易服务平台 交易数据描述》
GB/T 37728《信息技术 数据交易服务平台 通用功能要求》

分类分级
JR/T0197-2020《金融数据安全 数据安全分级指南》
JR/T0158-2018《证券期货业数据分类分级指南》
GB/T39725-2020《信息安全技术 健康医疗数据安全指南》
YD/T3813-2021《基础电信企业数据分类分级方法》