BRICSPULSE
$1 = 71.01 $1 = 6.79 ¥$1 = 95.81
Back
cn flagChinaSoftwareLawActive

Data Security Law

Jun 10, 2021
ChineseEnglishRussian

中华人民共和国数据安全法 -- 综合评述

概述

《中华人民共和国数据安全法》于2021年6月10日由第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起正式施行。该法是中国数据安全领域的基础性法律,与《网络安全法》《个人信息保护法》共同构成中国数据治理法律体系的三大支柱。

该法共七章五十五条,系统建立了数据安全保护的法律制度框架。法律开宗明义确立了立法目的:规范数据处理活动,保障数据安全,促进数据开发利用,保护个人和组织的合法权益,维护国家主权、安全和发展利益。值得注意的是,该法不仅着眼于安全保护,同时强调数据的开发利用和促进数字经济发展,体现了"统筹发展和安全"的立法理念。

该法将"数据"广义定义为"任何以电子或者其他方式对信息的记录",将"数据处理"定义为涵盖数据的收集、存储、使用、加工、传输、提供、公开等全生命周期活动。这一宽泛的定义确保了法律的广泛适用性,涵盖了数字化时代几乎所有的数据活动。

主要条款

数据安全制度体系。 该法建立了四项核心制度:一是数据分类分级保护制度(第二十一条),根据数据的经济社会重要程度和危害程度进行分类分级管理,特别引入"国家核心数据"概念,对关系国家安全、国民经济命脉、重要民生、重大公共利益的数据实行最严格管理;二是数据安全风险评估和监测预警机制(第二十二条),建立集中统一、高效权威的风险管理体系;三是数据安全应急处置机制(第二十三条),要求及时启动应急预案;四是数据安全审查制度(第二十四条),对影响国家安全的数据处理活动进行安全审查,且审查决定为最终决定。

数据安全保护义务。 法律要求所有数据处理者建立全流程数据安全管理制度(第二十七条),重要数据处理者需明确数据安全负责人和管理机构;要求开展持续的风险监测(第二十九条),发现安全缺陷时立即采取补救措施;重要数据处理者须定期开展风险评估并报送主管部门(第三十条)。

跨境数据管理。 该法对数据出境设置了严格规制:关键信息基础设施运营者的重要数据出境适用《网络安全法》规定(第三十一条);未经主管机关批准,境内组织和个人不得向外国司法或执法机构提供境内数据(第三十六条);对与数据相关的歧视性措施,中国可对等采取反制措施(第二十六条)。

政务数据安全与开放。 法律专设一章(第五章)规范政务数据管理,要求国家机关依法保密,建立数据安全管理制度,同时推动政务数据依法有序开放,构建统一规范的政务数据开放平台。

法律责任。 该法建立了阶梯式处罚体系。一般违规的罚款为5万元至50万元,严重违规的罚款为50万元至200万元,并可责令暂停业务、停业整顿或吊销营业执照。违反国家核心数据管理制度的罚款高达200万元至1000万元,构成犯罪的追究刑事责任。向境外违规提供重要数据的罚款为10万元至1000万元。

目标与时间表

该法于2021年9月1日起施行,标志着中国数据安全法律框架的正式确立。法律本身为长期有效的基本法律,未设定明确的阶段性时间表,但其条款要求各地区、各部门按照数据分类分级保护制度确定本地区、本部门的重要数据具体目录。

国家数据安全工作协调机制负责统筹协调有关部门制定重要数据目录。各行业主管部门(工业、电信、交通、金融、自然资源、卫生健康、教育、科技等)承担本行业数据安全监管职责,需要在法律框架下逐步制定和完善行业特定的数据安全管理规则。

实施机制

该法构建了多层级的监管实施架构。在中央层面,中央国家安全领导机构负责国家数据安全工作的最高决策和议事协调,建立国家数据安全工作协调机制。国家网信部门负责统筹协调网络数据安全和相关监管工作。在行业层面,各行业主管部门承担本行业数据安全监管职责。公安机关和国家安全机关在各自职责范围内承担监管职责。在地方层面,各地区对本地区工作中收集和产生的数据及数据安全负责。

法律的执行工具包括:约谈机制(第四十四条),对存在较大安全风险的数据处理活动进行约谈整改;行政处罚(第四十五条至第四十八条),建立从警告到吊销执照的阶梯式处罚;民事赔偿责任(第五十二条);以及刑事追责机制。此外,法律鼓励行业组织制定数据安全行为规范和团体标准(第十条),形成行业自律。

行业影响

《数据安全法》对中国IT行业和数字经济产生了深远而广泛的影响。

合规成本与体系建设。 法律的实施促使企业全面建立数据安全管理体系,包括任命数据安全负责人、建立数据分类分级制度、定期开展风险评估、完善数据安全应急预案等。对大型科技公司和平台企业而言,数据合规团队规模大幅扩充,合规投入显著增加。

数据跨境流动。 法律对跨境数据传输的严格规制对跨国企业运营产生了重大影响。特别是第三十六条关于向外国司法或执法机构提供数据的限制性条款,直接影响了在中国运营的外国企业的合规架构。结合后续出台的《数据出境安全评估办法》,形成了完整的数据出境监管体系。

数据交易市场。 法律第十九条要求建立健全数据交易管理制度,为数据交易市场的规范发展提供了法律基础。深圳数据交易所、上海数据交易所等机构的设立和运营均以该法为法律依据。

数据安全产业。 法律催生了数据安全评估、认证、审计等新兴服务业态的快速发展,数据安全产品和解决方案市场规模快速增长。数据安全创业公司获得大量投资,行业人才需求急剧上升。

平台经济监管。 结合反垄断法和个人信息保护法,数据安全法为加强平台经济监管提供了重要的法律工具,推动了针对大型互联网平台的数据安全合规审查。

国际维度。 该法的域外效力条款(第二条第二款)和反制措施条款(第二十六条),体现了中国在数据主权问题上的坚定立场,成为中国参与全球数据治理博弈的重要法律武器。

修改历史

《中华人民共和国数据安全法》于2021年6月10日经第十三届全国人民代表大会常务委员会第二十九次会议通过,以中华人民共和国主席令第八十四号公布,自2021年9月1日起施行。目前为现行有效法律,尚未经过修订。

在立法过程中,该法经历了三次审议:2020年6月全国人大常委会初次审议草案,2021年4月进行第二次审议,2021年6月第三次审议通过。从草案到最终通过,法律在数据分类分级制度、跨境数据管理、法律责任等方面进行了多处重要修改和完善。

相关文件

  • 《中华人民共和国网络安全法》(2017年6月1日施行)
  • 《中华人民共和国个人信息保护法》(2021年11月1日施行)
  • 《中华人民共和国保守国家秘密法》
  • 《关键信息基础设施安全保护条例》(2021年9月1日施行)
  • 《数据出境安全评估办法》(2022年9月1日施行)
  • 《网络数据安全管理条例》
  • 《"十四五"数字经济发展规划》(国发〔2021〕29号)
  • 《中华人民共和国电子商务法》
  • 欧盟《通用数据保护条例》(GDPR)-- 国际比较参考