最終的第三稿,與第二稿相比,主要亮點和變化有:明確了國家機關在數據安全管理方面的職責和合作機制,強調了重要數據的重點保護,強調了智能公共服務對老年人的適用性,提高了政府數據的安全性,進壹步加大了對違法行為的懲處力度。
《數據安全法》第壹章重點條款解讀第五條中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定並指導實施國家數據安全戰略和有關重大方針政策,協調國家數據安全重大問題和重要工作,建立國家數據安全工作協調機制。
第壹章第六條各地區、各部門對本地區、本部門工作中采集和產生的數據及其安全負責。工業、電信、交通、金融、自然資源、衛生、教育、科技等主管部門承擔本行業和領域的數據安全監管責任。
公安機關、國家安全機關依照本法和有關法律、行政法規的規定,在各自的職責範圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規,負責協調網絡數據安全及相關監管工作。
《數據安全法》作為數據安全領域最高級別的專門法律,與2065年6月65日438+0,2007年生效的《網絡安全法》壹起,補充了《國家安全法》框架下的安全治理法律體系,更加全面地保障了各行業、各領域國家安全的法律基礎。
就監管機構而言,國家安全機關、公安機關、網信部門,以及工業、電信、交通、金融等主管部門。都有權在各自的職權範圍內對數據安全進行監督管理。因此,數據安全法延續了網絡安全法生效以來“壹軸兩翼”的多層次監管體系。“壹軸”指國家安全機關,兩翼指公安機關和網信部門。行業的多層次橫向範圍主要體現在工業、電信、交通、金融等行業主管部門的參與,在行政架構上主要體現在各地區、各部門采集生成的數據的安全管理。
第壹章第十條相關行業組織應當按照章程,依法制定數據安全行為規範和團體標準,加強行業自律,引導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
第二章第十六條?國家促進數據安全檢測、評估、認證等服務業發展,支持數據安全檢測、評估、認證等專業機構依法開展服務活動。
第二章第十七條國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門應當按照各自職責,組織制定並適時修訂數據開發利用技術、產品和數據安全的相關標準。國家支持企業、社會團體、教育科研機構參與標準的制定。
在數據安全技術飛速發展的背景下,立法的要求跟不上科技的發展。行業協會、評價認證專業機構、標準化組織在推動技術發展、提升合規建設、實現行業自律方面的作用得到了法律的充分認可。
為了及時跟上行業最新發展,參與引領行業發展方向,建議市場參與者積極加入相關行業協會或組織,積極參與行業標準的討論,積極分享企業在安全合規建設方面探索的實踐經驗,基於行業最佳實踐實時推進企業內部的合規建設。行業協會也可以作為傳遞行業面臨的共性問題和最新技術進展的重要媒介,積極與監管形成良好互動。
在評估認證方面,專業機構可以基於自身對行業的深入了解和在咨詢過程中積累的豐富行業經驗,幫助新人明確合規義務,錨定潛在風險,提出針對性的合規改進方案和措施,幫助相關企業降低合規風險。
第二章第十五條國家支持數據開發利用,提高公共服務智能化水平。提供智能化的公共服務,要充分考慮老年人和殘疾人的需求,避免對他們的日常生活造成障礙。
疫情期間,基於大數據的公共服務應用得到了快速推進,對個人生活的參與深度也得到空前提升。然而,老年人、視障人士等群體卻因為無法使用智能手機進行支付、預約等操作而舉步維艱。防疫智能的應用根據疫情需要快速調整後,大量與生活密切相關的其他應用仍可能將壹部分人排除在智能化、數字化生活之外。數據安全法將滿足老年人和殘疾人需求的智能公共服務納入國家重點支持範圍,充分體現了國家對弱勢群體需求的關註。
第三章第二十壹條國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及壹旦被篡改、破壞、泄露或者非法獲取、使用,對國家安全、公共利益或者個人、組織合法權益的危害程度,對數據實施保護。國家數據安全協調機制協調相關部門制定重要數據目錄,加強重要數據保護。
涉及國家安全、國民經濟命脈、重要民生、重大公共利益的數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門要按照數據分類分級保護制度,確定本地區、本部門及相關行業和領域重要數據的具體目錄,對列入目錄的數據進行重點保護。
《網絡安全法》第21條首次提出了數據分類分級保護制度,《數據安全法》進壹步明確了相關部門在分類分級保護和重要數據保護中的職能。《數據安全法》原則規定,數據分類分級的依據是在經濟社會發展中的重要程度和被篡改、泄露時的危害程度。由於不同行業和地區的數據分類分級的具體規則和考慮因素差異很大,數據安全法將重要數據具體目錄和具體分類分級保護制度的制定權限下放給各地區行業主管部門和國家機關,充分平衡了法律規定的普遍性和靈活性。對於市場參與者,建議首先關註《行業數據分類(試行)》、《基礎電信企業數據分類分級方法》(YD/T 3813-2020)、《個人金融信息保護技術規範》(JR/T0171-2020)。