数据安全有保障 (数据安全保护的法律基础)

数据安全有保障：探究数据安全保护的法律基础

一、引言

随着信息技术的快速发展，大数据、云计算、人工智能等新型技术的广泛应用，数据安全已经成为全球范围内普遍关注的焦点。
如何确保数据安全，防止数据泄露、滥用和非法交易，成为各国政府、企业和个人所面临的共同挑战。
本文将从法律角度出发，探讨数据安全保护的基石——数据安全保障的法律基础。

二、数据安全的法律定义与重要性

数据安全，指的是数据在收集、存储、处理、传输和应用等全生命周期中，能够得到有效保护，防止数据泄露、滥用、非法交易等行为的发生。
数据安全的重要性不言而喻，它关乎个人隐私、企业利益乃至国家安全。
随着数字化进程的加速，数据已经成为重要的资产和战略资源，数据安全保护的重要性愈发凸显。

三、数据安全保护的法律基础

数据安全保护的法律基础是构建数据安全体系的核心支柱。
以下从国家层面和企业层面分别阐述数据安全保护的法律基础。

（一）国家层面

1. 宪法原则：各国宪法普遍确立了隐私权等个人权利的保护原则，为数据安全保护提供了最高法律准则。
2. 专门法律法规：各国政府纷纷出台专门的数据安全法律法规，如欧盟的《通用数据保护条例》（GDPR）、中国的《网络安全法》等，为数据安全保护提供了具体法律保障。
3. 监管机制：政府设立专门的监管机构，负责数据安全的监督管理工作，确保数据安全法律法规的有效实施。

（二）企业层面

1. 企业内部规章制度：企业应建立完善的内部规章制度，明确数据处理的原则、流程和责任，确保数据处理的安全性和合法性。
2. 合同约定：企业在与外部合作伙伴进行数据交换时，应通过合同约定明确数据的安全保障责任，确保数据在传输和共享过程中的安全。
3. 第三方认证与审计：企业可通过第三方认证和审计，确保数据处理活动符合法律法规要求，增强数据安全的可信度。

四、数据安全保护的挑战与对策

尽管数据安全保护的法律基础已经建立，但在实践中仍面临诸多挑战。
以下列举主要挑战及相应对策。

（一）挑战

1. 技术风险：随着技术的发展，新型攻击手段层出不穷，数据安全面临严峻挑战。
2. 跨国数据流动：跨境数据传输涉及不同国家的法律制度和监管要求，给数据安全保护带来复杂性。
3. 人为因素：员工的数据安全意识薄弱、不当操作等行为可能导致数据泄露。

（二）对策

1. 加强技术研发与创新：投入更多资源用于技术研发，提高数据安全防护能力。
2. 跨境数据流动的合规管理：了解并遵守不同国家的法律制度和监管要求，建立合规的数据流动机制。
3. 提高员工安全意识：加强员工培训，提高员工的数据安全意识，防范内部风险。

五、结语

数据安全保护的法律基础是确保数据安全的重要保障。
在国家层面和企业层面建立完善的法律体系，加强监管和技术创新，提高全社会的数据安全意识，是构建数据安全体系的关键。
随着数字化进程的加速，我们应继续关注数据安全保护的法律法规发展，不断完善数据安全保护体系，确保数据的安全、合法和有效利用。

---

提高数据安全保障能力的法律法规

中华人民共和国数据安全法目录第一章 总则第二章 数据安全与发展第三章 数据安全制度第四章 数据安全保护义务第五章 政务数据安全与开放第六章 法律责任第一章 总则第一条 为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。 第二条 在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。 在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。 第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 第四条 维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。 第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。 第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。 第七条 国家保护个人指大、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。 第八条 开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。 第九条 国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。 第十条 相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。 第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。 第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。 收到投诉、举报的部门应当及时依法处理。 有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。 第二章 数据安全与发展第十三条 国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。 第十四条 国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。 省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。 第十五条 国家支持开发利用数据提升公共服务的智能化水平。 提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。 第十六条 国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。 第十七条 国家推进数据开发利用技术和数据安全标准体系建设。 国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。 国家支持企业、社会团体和教育、科研机构等参与标准制定。 第十八条 国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。 国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。 第十九条 国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。 第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。 第三章 数据安全制度第二十一条 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。 第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。 国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 第二十三条 国家建立数据安全应急处置机制。 发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。 第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。 依法作出的安全审查决定为最终决定。 第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。 第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。 第四章 数据安全保护义务第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。 利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。 第二十八条 开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。 第二十九条 开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。 第三十二条 任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。 第三十三条 从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。 第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。 第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。 第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。 非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 第五章 政务数据安全与开放第三十七条 国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。 第三十八条 国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。 第三十九条 国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。 第四十条 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。 受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。 第四十一条 国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。 依法不予公开的除外。 第四十二条 国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放

数据安全法施行时间

数据安全法的施行时间是自2021年9月1日起。 这部法律旨在保护个人、组织的合法权益，维护国家主权、安全和发展利益，规范数据处理活动，保障数据安全。 数据安全法作为我国首部关于数据安全的专门性法律，对数据的收集、存储、使用、加工、传输、提供、公开等处理活动进行了全面的规范。 它明确规定了数据活动的责任主体、监管要求、数据处理原则、跨境数据流动等核心问题，为我国的数据安全提供了坚实的法律保障。 一、数据安全法的立法背景随着信息技术的快速发展，数据已经成为国家基础性战略资源。 然而，数据泄露、滥用等安全问题日益突出，对个人隐私、企业商业秘密以及国家安全造成了严重威胁。 为了应对这一挑战，我国制定并施行了数据安全法，以加强数据安全保护，促进数据的合理利用。 二、数据安全法的主要内容数据安全法要求数据处理者必须遵循合法、正当、必要原则，确保数据处理活动的公开透明。 同时，法律还规定了数据安全的监管体制，明确了数据安全监管部门的职责和权力，为数据安全监管提供了有力的法律支持。 此外，数据安全法还强调了对跨境数据流动的监管。 对于涉及重要数据或大量个人信息的跨境传输，需要依法进行安全评估，确保数据在跨境流动中的安全可控。 三、数据安全法的实施意义数据安全法的施行，对于保障个人隐私、维护企业合法权益、促进数字经济发展具有重要意义。 它有助于规范数据处理活动，防止数据滥用和泄露，保护个人信息安全。 同时，数据安全法也为数据的合理利用提供了法律保障，有助于推动数字经济的健康发展。 综上所述：数据安全法自2021年9月1日起施行，为我国的数据安全保护提供了坚实的法律保障。 它规范了数据处理活动，明确了数据安全监管要求，加强了跨境数据流动的监管，对于保障个人隐私、维护企业合法权益、促进数字经济发展具有重要意义。 法律依据：《中华人民共和国数据安全法》第一条规定：为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。 《中华人民共和国数据安全法》第二条规定：在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。 在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。 《中华人民共和国数据安全法》第五十五条规定：本法自2021年9月1日起施行。

深度| 《数据安全法》全面解读

2021年6月10日，十三届全国人大常委会第二十九次会议通过了《数据安全法》。 这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于2021年9月1日起施行。 数字化改革推动我国生产模式的变革，随着经济数字化、政府数字化、企业数字化的建设，数据已经成为我国政府和企业最核心资产。 合资企业、跨境贸易、多厂商全球合作的模式变迁，数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。 根据公开报道，2020年全球数据泄露的平均损失成本为1145万美元，2019年数据泄露事件达到7098起，涉及151亿条数据记录，比2018年增幅284%，数据泄漏事件影响大、损失重。 有专家言论，对数据掌控、利用以及保护能力，已成为指销卜衡量国家之间竞争力的核心要素。 一、外力驱动和内部需求，促使数安法落地1.外力驱动2018年3月23日，时任美国总统特朗普正式签署了《澄清域外合法使用数据法》，法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件，无论服务提供者的通信、记录或其他信息是否存储在美国境内，要求服务商根据该法案进行调取并提供相关证据。 2018年5月25日，欧盟《一般数据保护条例》(GDPR)正式实施。 GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外，只要处理的是欧盟境内居民的数据，均适用此法案，对数据实施长臂管理。 目前全球已有近100个国家和地区制定了数据安全保护的法律，数据安全保护专项立法已成为国际惯例。 面对欧美国家将数据主权从物理边界转向技术边界，将会直接影响到第三方国家的主权，在数据跨境流动愈加频繁的今天，必须尽快完善我国相关法律法规，保护我国国家利益、跨国公司唯穗以及公民个人利益。 2.内部需求当前全球经济传统经济增长缓慢，尤其是2020年全球“新冠疫情”给经济带来了沉重的打击。 迫切需要通过新的经济增长点拉动内需，增加就业，而数字经济正是切入点和发动机，国家将发展数字经济提升到国战略高度则水到渠成。 近年来数字经济增速也证明了数字经济发展空间的巨大，中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示，我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年36.2%。 可见，数字经济已成为我国国民经济增长要素的重要一员。 从2015年，国务院发布的《促进大数据发展行动纲要》开始，2018年国务院发布《科学数据管理办法》，2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，2021年3月12日，公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，数据安全政策导向明确，国家数据战略清晰。 因此，亟需一部国家的基本法，为中国数字经济的安全发展保驾护航。 上述背景下数安法诞生，恰逢其时，维护了我国的数据主权，保障了国家的安全、促进了经济健康发展。 二、数安法要点解读和提炼数安法的发布标志着我国将数据安全保护的政策要求，通过法律文本的形式进行了明确和强化。 本法一共七章五十五条，其中 “总则”、“法律责任”及“附则”三章属于常规章节，另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。 我们对数安法进行深入解读后，为大家提炼出40个要点。 (一)总则的要点1)适用范围:在中国境内开展数据活动的组织和个人。 2)定义:定义数据是指任何以电子或者非电子形式对信息的记录。 3)保护要求:采取必要措施，对数据进行有效保护和合法利用，并持续保持其安全能力。 4)责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范，并且落地本部门的数据安全规范。 公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。 网信部门负责统筹协调和监管。 5)特别的对行业组织提出了制定安全行为规范，加强行业自律，指导会员加强数据安全保护的要求。 这项法规有效的斗册消灭了灰色地带，对各行业都形成了法律约束，杜绝了数据的随意共享和流转。 (二)数据安全与发展要点6)发展原则:国家统筹发展和安全，坚持保障数据安全与促进数据开发利用并重。 7)战略要求:省级以上人民政府应制定数字经济发展规划。 进一步细化了国家数据战略的执行主体。 8)标准体系:国家主管部门负责相关标准和体系的制定。 9)评估认证:国家促进数据安全检测评估、认证等服务的发展，支持专业机构依法开展服务。 10)人才培养:采取多种方式培养数据开发利用技术和数据安全专业人才。 11)特别地，加强了公共服务的要求，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。 (三)数据安全制度要点12)分类分级:国家建立数据分类分级保护制度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。 13)风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。 14)应急处置:要建立数据安全应急处置机制。 15)安全审查:要建立数据安全审查制度。 16)出口管制:对属于管制物项的数据依法实施出口管制，可以根据实际情况对该国家或者地区对等采取措施。 这项法规进一步明确了国家对中国数据的主权，即我国数据是否在境内，依然受到中国法律的保护。 (四)数据安全保护义务要点17)管理制度:在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展教育培训。 重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。 18)风险监测:对出现缺陷、漏洞等风险，要采取补救措施;发生数据安全事件，应当立即采取处置措施，并按规定上报。 19)风险评估:定期开展风险评估并上报风评报告。 20)数据收集:任何组织、个人收集数据必须采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。 21)数据交易:数据服务商或交易机构，要提供并说明数据来源证据，要审核相关人员身份并留存记录。 22)经营备案:数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。 23)配合调查:要求依法配合公安、安全等部门进行犯罪调查。 境外执法机构要调取存储在中国的数据，未经批准，不得提供。 24)特别的，对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。 (五)政务数据安全与开放要点25)管理制度:建立健全全流程数据安全管理制度，落实数据安全保护责任。 26)存储加工:委托他人存储、加工或提供政务数据，应当经过严格审批，并做好监督。 受托方不得擅自留存、使用、泄露或向他人提供政务数据。 27)数据开放:构建统一政务数据开放平台，发布数据开放目录，推动政务数据开放利用。 28)适用主体:法律、法规授权的具有管理公共事务职能的组织。 (六)法律责任要点29)不履行规定保护义务:责令改正和警告，给予单位5万至50万元罚款，给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的，给予单位50万至200万元罚款，最高责令吊销相关业务许可证或者吊销营业执照，给予负责人5万至20万元罚款。 30)危害国家安全和损害合法权益的:给予200万至1000万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，构成犯罪的，追究刑事责任。 31)向境外提供重要数据的:由有关主管部门责令改正，给予警告，可以并处10万至100万元罚款，对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。 情节严重的，给予100万至1000万元罚款，责令停业整顿、吊销相关业务许可证或者吊销营业执照，对负责人给予10万至100万元罚款。 32)交易来源不明的数据:没收违法所得，对违法所得一至十倍罚款。 没有违法所得或违法所得不足10万元的给予10万至100万元罚款，最高责令吊销营业执照;对主管和直接责任人1万至10万元罚款。 33)拒不配合数据调取的:由有关主管部门责令改正，给予