近日,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》进行了审议。中国人大网公布了《中华人民共和国数据安全法(草案)》全文。
记者了解到,《草案》的主要内容包括:确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,规定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。
“近日,谷歌因为个性化广告涉嫌违反欧盟的《通用数据保护条例》,而被法国国务委员会开出了5000万欧元的罚单。国外对个人信息以及数据安全非常重视,国内也出台了不少法律、规范,对数据安全的要求越来越严格。”道琼斯公司风险合规专家石龙新在接受《中国贸易报》记者采访时表示,《草案》不仅对数据活动,数据安全等概念进行了明确的定义,还对违法开展数据行为的企业和个人将承担的法律责任进行了阐述。《草案》第四十一条规定,有关主管部门在履行数据安全监管职责中,发现数据活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈。有关组织和个人应当按照要求采取措施,进行整改,消除隐患。
上海市华诚律师事务所律师张丹对此表示,《草案》对企业数据合规提出了一些明确的要求,如开展数据活动的企业要建立全流程的数据安全管理制度,开展数据安全教育培训以及采取安全保障技术措施,重要数据处理者还应设立数据安全负责人和管理机构,对数据活动定期开展风险评估。
《草案》规定,开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
“企业应对数据进行全面梳理并分类分级,自动发现并识别敏感数据隐患,确保敏感数据的合规使用,防止敏感数据泄漏。”石龙新介绍说,《草案》还对部分特殊领域的机构提出了合规要求,如数据交易中介服务机构要着重审查数据提供方的数据来源,否则有可能面临罚款、没收违法所得、吊销营业执照等相关行政处罚;专门提供在线数据处理服务的经营者应当依法取得经营业务许可或者备案,否则可能面临被取缔的风险。关于在线数据处理服务、办理经营许可或者备案等定义,需要等待细则进一步明确。
“草案也提出了与个人信息保护相同的数据收集的合法、正当、必要原则。开展数据活动的组织或个人不得窃取或者以其他非法方式获取数据,否则有可能以非法侵入计算机信息系统罪、非法获取计算器信息系统数据罪、侵犯商业秘密罪等论处。”张丹说。