数据安全法、个人信息保护法二审全文解读
十三届全国人大常委会第二十八次会议于4月26日至29日在北京成功召开。本次会议审议了数据安全法草案、个人信息保护法草案、乡村振兴促进法草案、反食品浪费法草案、海上交通安全法修订草案、教育法修正草案、海南自由贸易港法草案、监察官法草案、军人地位和权益保障法草案等9部法律的修正案草案的议案,将进一步完善我国各方面法律体系建设,对企业经营和社会发展将会带来深远影响。本文主要聚焦数据安全法草案和个人信息保护法草案两部法律的二审稿,并就其在审议后的修改点做了分析解读,以供参考。(关注公众号,并回复关键词“两法”,下载《数据安全法(草案)》、《个人信息保护法(草案)》二审稿高清PDF文档!点击“阅读原文”,进入“中国人大网”,对二审稿提供更多建议!)
01数据安全法草案二审稿关键修改点
目前数据存在过度收集及滥用、数据权属不明确、数据主体权益保护存在困难等问题,数据安全法二审稿新增或修改了一审稿中的法律条例,并进一步完善了数据防护的制度规范,为数据安全法的正式发布,奠定了基础。
建立数据分类分级保护制度
规定 | 草案一审稿 | 草案二审稿 |
建立数据分类分级保护制度 | 国家根据数据在经济社会发展中的重要程度,以 及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家 安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部 门、本行业重要数据保护目录,对列入目录的数据进行重点保护。 | 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地 区、本部门以及相关行业、领域的重要数据具体目录,对列入目 录的数据进行重点保护。 |
数据开放是数据发挥价值的必由之路,是数据生产要素化的必然结果。但数据普遍缺乏依据重要性的优先来排列分级,混乱的数据管理模式给数据泄露事件的频发创造了条件。目前,频发的数据泄露事件已给企业或个人造成了巨大损失乃至恶劣社会影响,数据分类分级制度的建立为改善数据防护创造前提环境,是数据安全管理的基石。
数据处理活动应建立在等级保护制度基础上
规定 | 草案一审稿 | 草案二审稿 |
建立健全全流程安全管理制度 | 开展数据活动应当依照法律、行政法规的规定 和国家标准的强制性要求,建立健全全流程数据安全管理制度, 组织开展数据安全教育培训,采取相应的技术措施和其他必要措 施,保障数据安全。 | 开展数据处理活动应当依照法律、法规的规定,在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。 |
当下,数据的收集边界以及使用方式充满了模糊性,让数据保护面临着种种困难,数据防护力度参差不齐。网络安全法对网络运营者提出了“按照网络安全等级保护制度采取相应措施”的要求,数据安全法的有关制度也应该与网络安全等级保护制度做好相关衔接。
对重要数据的出境安全管理作出规定
规定 | 草案一审稿 | 草案二审稿 |
对重要数据的出境安全管理作出规定 | 未明确提出 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 |
过去,数据安全保护范围无法完全覆盖大量有出境需求的重要数据,尤其是关键信息基础设施之外的企业在我国境内运营过程中也会产生大量重要数据,这些数据拥有巨大的潜在价值和泄露风险,如何防护这些数据的非法出境问题,是目前急需解决的,因此需要根据实践发展和数据安全管理工作的需要,相应扩大数据安全法的范围。
关键词完善
规定 | 草案一审稿 | 草案二审稿 |
关键词完善 | 在中华人民共和国境内开展数据活动,适用本法。中华人民共和国境外的组织、个人开展数据活动,损害中华 人民共和国国家安全、公共利益或者公民、组织合法权益的,依 法追究法律责任。 | 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。 |
草案为了与民法典等相关规定衔接,草案中的一些类似数据活动、数据安全等用语的含义有了完善。
增加未经批准擅自提供数据的处罚规定
规定 | 草案一审稿 | 草案二审稿 |
增加未经批准擅自提供数据的处罚规定 | 未明确规定详细的处罚细节 | 未经主管机关批准向境外的司法或者执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。 |
当下,我国面临大量重要数据非法出境的威胁,同时,数据出境问题也缺乏充分的法律依据,为减少这类事件的发生,为有关组织及其个人拒绝外国不合理要求提供更为充分的法律依据,《数据安全法(草案)》有必要增加相关的规定。
我们认为,数据作为一种重要的战略资源和社会要素,数据的安全防护其实是和国家安全挂钩的,习近平总书记提出:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”数据安全法草案二审明确处罚依据,表明了国家对数据出境管控的高度重视,数据出境安全管理也将朝着“有法可依、违规必罚”的方向发展。
02个人信息保护法草案二审稿关键修改点
个人信息保护法草案二审稿(以下简称“草案二审稿”)直面个人信息保护领域的难点和痛点问题,以保护公民个人信息权益为核心,以严格规制个人信息处理活动为重点,进一步完善了相关的制度规范。
完善个人信息处理应遵循的原则
规定 | 草案一审稿 | 草案二审稿 |
完善个人信息处理应遵循的原则 | 规定了个人信息处理应遵循的原则。 | 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 |
草案二审稿中增加“不得通过‘胁迫’方式处理个人信息”等规定,是对当前现实问题和公众不满的有力回应,也体现出“以人为本”的立法思想。其中,“最小范围、采取对个人权益影响最小的方式”这一规定,对于相关企业来说,划出了用户信息收集行为的“高压线”,促使相关企业将保护用户信息作为自身责任,避免为了商业目的,牺牲用户权益和信息安全;对于产业发展来说,也是国家在“公民权益保护与数据合理有效利用之间寻求平衡”的一种体现,在保障个人信息权益的基础上,促进数字化建设的健康推进。
个人撤回同意权
规定 | 草案一审稿 | 草案二审稿 |
个人撤回同意权
| 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。 | 个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 |
个人隐私保护不容忽视,但个性化营销与尊重用户隐私并不矛盾。收集用户数据前,明确告知用户信息收集的类型与方式,获得用户授权,并让用户有权选择中止,充分尊重用户隐私的同时,为用户提供更好的营销体验、增强信任,才能实现商业利益、社会认同的双赢。由“有权撤回”变为“便捷的撤回同意”,是针对用户实际操作的进一步细化,有利于这一规定的落地与实现。“提供不针对其个人特征的选项,或者向个人提供拒绝的方式”这一规定,将自主选择的机会交到用户手里,带动“个性化营销”逐步向“人性化营销”转变。
平台不能证明无过错要担责
规定 | 草案一审稿 | 草案二审稿 |
举证责任 | 因个人信息处理活动侵害个人信息权益,个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。 | 个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。 |
草案二审稿在举证责任方面的调整,使得处理信息的平台方承担更多的举证责任,扭转公民在举证上处于劣势地位的状态,也将倒逼企业主动提升对于用户信息安全的防范意识和内部管理能力。企业将主动开展更细致的合规工作,并加大技术投入力度,积极开发或引入具有高可靠性的数据安全保护技术和体系,避免卷入侵权纠纷中。
死者个人信息权利
规定 | 草案一审稿 | 草案二审稿 |
死者个人信息权利 | 未明确提出 | 自然人死亡的,本章规定的个人在个人信息处理活动中的权利,由其近亲属行使。 |
增加死者个人信息保护的规定,与《民法典》有关规定相衔接,拓宽了个人信息保护的覆盖范围,使得个人信息保护的法律概念更加严密完整,不会再出现“死者是否具有个人信息权”概念争议与尴尬处境。
为超级平台增设外部独立机构
规定 | 草案一审稿 | 草案二审稿 |
强化超大型互联网平台的义务 | 未明确提出 | 提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务: |
这一规定对准超大互联网平台,强化其个人信息保护义务,加强社会监督,将产生积极的影响。该规定将掌握了大量公众个人信息的超大型互联网平台,视为个人信息保护领域的主要“义务主体”,驱动超大型互联网平台在追求利益的同时守住发展底线,重视公众的基本感受和诉求;强调数据治理的多方参与,构建针对平台治理和个人信息保护的外部独立监督机构,强化监管压力,提高业务流程的透明度,避免转嫁风险的可能。
《数据安全法》和《个人信息保护法》发布在即,相关涉及企业应在法案正式出台前,预先对自身情况进行核查,对潜在风险点进行整改,将数据安全建设和必要的隐私设计融入产品及运营流程,进一步提升公司在安全方面的管理。
近年来,针对数据安全和个人信息保护,炼石也展开了深度探索与实践;在数据安全方面,炼石自主研发CASB业务数据安全平台和高性能国密产品,开创性地实现免开发改造应用、敏捷实施细粒度数据保护,将数据安全嵌入到业务流程,筑牢防线;在个人信息保护方面,打造基于商用密码的个人信息保护方案,帮助企业应对合规挑战。未来,随着两部法案的出台,我国网络信息安全行业将在规范中不断健康前行,公众也可在安全可控的前提下享受技术赋予的便利,网络强国目标将加速实现。
密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护
一文读懂十大数据存储加密技术
炼石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发了CASB业务数据安全平台和高性能国密产品,开创性的实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教育医疗文旅、工业央企商业等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。
微信号:炼石网络CipherGateway