(1)數據分類和核心數據保護系統。確立了根據對國家安全、公共利益或者個人、組織合法權益造成的危害程度進行分類分級的原則,要求國家網信部門協調編制重要數據目錄。各地區、各部門負責本地區目錄編制和數據保護工作,特別強調對關系國家安全、國民經濟命脈、重要民生和重大公共利益的國家核心數據實行更加嚴格的管理制度。
(2)數據安全風險評估和工作協調機制。規定國家應當建立集中統壹、高效權威的數據安全風險評估、報告、信息共享、監測預警機制,建立工作協調機制,協調相關部門加強數據安全風險信息的獲取、分析、研判和預警。
(3)數據安全應急機制。要求壹旦發生數據安全事件,主管部門應當依法啟動應急預案,采取相應的應急措施,防止危害擴大,消除安全隱患。
(4)數據安全審查制度。要求對影響或可能影響國家安全的數據處理活動進行國家安全審查。
(5)數據導出控制系統。依法對涉及維護國家安全和利益、履行國際義務的管制物項的數據實施出口管制。
(6)歧視和反措施系統。對於對中國規定相關歧視性禁止、限制或其他類似措施的國家和地區,中國可以采取對等措施。
壹.數據安全和發展。
目前,數據已經成為中國數字經濟的核心生產要素之壹,其有效利用關系到社會經濟發展,同時從微觀到宏觀影響國家安全。因此,《數據安全法》首先明確了數據安全與發展的關系,強調“國家統籌發展與安全,堅持通過數據開發利用和產業發展促進數據安全,通過數據安全保障數據開發利用和產業發展”。同時,《數據安全法》還明確了同步推進數據開發利用、數據安全技術研究和應用、標準化和教育培訓的措施,要求鼓勵發展數據安全檢測、評估、認證等服務,支持相關專業機構依法開展服務活動;建立和完善了數據交易管理制度,要求規範數據交易行為,培育數據交易市場。
二。數據安全義務。《數據安全法》規定了四種類型的數據安全義務:
(1)數據處理器的安全義務。重要數據處理者應當明確數據安全責任人和管理機構,定期開展風險評估,並向主管部門提交風險評估報告;關鍵信息基礎設施運營者在境內運營收集、生成的重要數據的出境安全管理,依照《網絡安全法》執行,其他數據處理者的出境管理由網信辦另行制定;組織和個人應當依法依規收集和使用數據。
(2)數據交易中介服務機構的義務。數據交易中介服務機構應當要求數據提供者說明數據來源,審核交易雙方的身份,保存審核和交易記錄。
(3)相關組織和個人的數據支持義務。公安或者國家安全機關為維護國家安全或者依法偵查犯罪的目的,依照國家有關規定,經過嚴格的審批程序,獲取資料,有關組織和個人應當予以配合。
(4)為跨境司法或執法機構審批提供數據的義務。未經主管機關批準,國內組織和個人不得向外國司法或執法機構提供存儲在中國境內的數據。
三。政府數據的安全性和開放性。《數據安全法》對政府數據的安全和開放做出了相應的規定。
(1)政府數據安全要求。壹方面,國家機關應當依法依規收集和使用數據,對其在履行職責過程中知悉的個人隱私、個人信息、商業秘密等數據予以保密。另壹方面,國家機關需要建立健全數據安全管理制度,落實數據安全保護責任,保障政府數據安全。
(2)外包政務系統的數據安全要求。國家機關委托他人建設和維護電子政務系統,存儲和處理政府數據,應當履行嚴格的審批程序。受委托方應當按照法律法規的規定和合同約定履行數據安全保護義務,同時國家機關應當監督受委托方履行相應的數據安全保護義務。
(三)政府數據開放要求。除依法不予公開的數據外,國家機關應當遵循公正、公平、便民的原則,按照規定及時、準確公開政府數據,同時制定政府數據開放目錄工程,建設統壹規範、互聯互通、安全可控的政府數據開放平臺,推進政府數據開放利用。
四。法律責任。《數據安全法》還對不履行數據安全義務的數據處理者和數據交易中介服務機構、履行數據安全監管職責的國家工作人員、濫用職權和弄虛作假、非法獲取或者濫用數據等行為規定了相應的處罰。其中,未盡到數據安全保障義務的數據處理者,可被責令暫停相關業務、停業整頓、吊銷相關業務許可證或吊銷營業執照,而違反國家核心數據管理制度構成犯罪的,可被追究刑事責任,違規出境或擅自向國外司法或執法機構提供數據的,也將受到相應處罰。
法律依據
中華人民共和國數據安全法
第二十壹條國家建立數據分類和等級保護制度,根據數據在經濟社會發展中的重要程度以及壹旦被篡改、破壞、泄露或者非法獲取、使用,對國家安全、公共利益或者個人、組織合法權益的危害程度,對數據實施保護。國家數據安全協調機制協調相關部門制定重要數據目錄,加強重要數據保護。
涉及國家安全、國民經濟命脈、重要民生、重大公共利益的數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門要按照數據分類分級保護制度,確定本地區、本部門及相關行業和領域重要數據的具體目錄,對列入目錄的數據進行重點保護。
第二十二條國家建立集中統壹、高效權威的數據安全風險評估、報告、信息共享、監測和預警機制。國家數據安全協調機制協調相關部門加強數據安全風險信息的獲取、分析、研判和預警。
第二十三條國家建立數據安全應急機制。發生數據安全事件時,相關主管部門應當依法啟動應急預案,采取相應的應急措施,防止危害擴大,消除安全隱患,並及時向社會發布與公眾相關的預警信息。
第二十四條國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
依法作出的安全審查決定為最終決定。
第二十五條國家依法對涉及維護國家安全和利益以及履行國際義務的管制物項數據實行出口管制。
第二十六條任何國家或者地區在與數據和數據開發利用技術有關的投資和貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區采取對等措施。