数据安全法解读 奇安信集团 战略规划部 唐龙 电话/微信：18903065773 目 录 1 数据安全法产生背景 2 具体解读 1 数据安全法产生背景 数据安全法是什么 第一，该法是安全保障法。该法以公权介入数据安全保护，提供 认识数据安全问题、处理数据安全威胁和风险的法律路线。具体 来说，以其对数据、数据活动、数据安全的界定为出发点，厘清 不同面向的数据安全风险，构建数据安全保护管理全面、系统的 制度框架，以战略、制度、措施等来构建国家预防、控制和消除 数据安全威胁和风险的能力，确立国家行为的正当性，提升国家 整体数据安全保障能力。 第二，该法是基础性法律。基础性立法的功能更多注重的不是解 决问题，而是为问题的解决提供具体指导思路，问题的解决要依 靠相配套的法律法规。这也决定了其法律表述上的原则性和大量 宣示性条款。但与此同时，预设好相关接口、整体立法语言的表 述粒度均衡等也应特别注意。 2021年6月10日，十三届全国人大常委会第 二十九次会议通过了数据安全法。这部法律是 数据领域的基础性法律，也是国家安全领域的 一部重要法律，将于2021年9月1日起施行。 第三，该法是数据安全管理的法律。数据安全作为网络安全的重 要组成部分，诸多安全制度可被网络安全制度所涵盖。在数据安 全管理上，与《网络安全法》充分协调，避免制度设计交叉与重 复带来的立法资源浪费、监管重复与真空、产业负担是《数据安 全法》制定过程中需重点关注的问题。 立法背景-没有网络安全就没有国家安全 数据是国家基础性战略资源，数据资源是网络安全所保护的核心对象 《民法典》明确个人信息、数据、网络虚拟财产等属于合法权益。执法实践层面，围绕 个人信息非法采集和滥用、数据三性破坏等活动的数据安全专项治理行动空前有力。地 方层面围绕数据跨境、数据安全保障、数据开放、数据权等问题积极先试先行 2019年 2018年 2017年 2015年 2020年 国家互联网信息办公室相继发布《数据安全管理办法（征求意见稿）》 《个人信息出境安全评估办法（征求意见稿）》等多部《网络安全法》 体系的下位配套文件，大力推进国家层面的数据治理规则构建和具体 制度设计 《数据安全法》《个人信息保护法》纳入人大常委会立法规划。 《网络安全法》将数据安全纳入网络安全范畴，基于网络安全保障目的为个人信息保护与数据安全的 部分重要、核心制度奠定了基础 《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控” 立法背景 -数据安全问题本身复杂性凸显 个人 数据 企业 数据 国家 数据 数据共享交换问题 数据开放及跨境流动问题 数 据 交 易 问 题 个人数据隐私问题 新 技 术 环 境 下 的 数 据 保 护 5G 区块链 AI … 立法背景 -我国数据立法起步较晚 GDPR 欧盟数据 保护和成员国数 据通用保护法 PIPEDA个人信息保护及电子文档法案 FOIPPA个人信息隐私法案 PIPA保护知识产权法案 加拿大 网络安全法 欧盟 美国 数据安全法（草案） 印度 中国 日本 个人数据保护法 GLBA金融服务现代化法 HIPPA健康保险携带和责任法案 COPPA美国儿童网路隐私保护法 南非 DO NO CALL电信服务 澳洲 智利 电子通信与交易法 保护私人生活法 电子邮件垃圾邮件和隐私条例 计算机处理个人数据保护 指南 立法背景 -数据安全立法演变为国家利益斗争工具 例子：GDPR使用范围 1、本法规适用于在国际电联中设立控制器或处理器的活动中处理个人数据，无 论处理是否在联盟进行。 解释：本条例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理，不论其实 际数据处理行为是否在欧盟内进行 2、本法规适用于由国际电联未建立的控制器或处理器处理国际电联数据主体的 个人数据，其处理活动与以下方面有关： a 、无论是否需要支付数据主体，向国际电联的此类数据主体提供商品或服务; 解释：为欧盟内的数据主体提供商品或服务 b 、只要他们的行为发生在联盟内部，他们就会监控他们的行为。 解释：对发生在欧洲范围内的数据主体的活动进行监控 3、本法规适用于未在国际电联设立的管理人处理个人数据，但适用于根据国际 公法适用成员国法律的地方。 解释：只要是欧盟境内的人访问到的互联网，无论是美国的网站还是中国的APP，还是俄罗 斯的杀毒软件，他们的数据都受到GDPR的保护。这也是为什么，即使你的公司不在欧盟， 也不为欧盟的人提供服务，但仍然可能在完全不知道的情况下违反了GDPR法规 立法背景 -数字经济已经成为中国不可忽视的成分 中国是数字化经济的领跑者 数字经济总量 数字平台企业 2019为31万亿，全 球第二 企业占全球14%， 市值占世界22% 信息技术 数字化专利占全球 27% 全球70大数字平台市值 68% 22% ICT产业22.77万亿， 占GDP 25.3% AI专利数量 30% 30% 区块链专利 25.3% 49.7% ICT制造业附加值 19% 32% ICT货物贸易出口额 4% 38% 13 10 4 0 美国 中国 中国 ICT产业 30 14 数字化经济总量 美国 13% 38 20 领域 35% 2019福布斯全球数字经济100强 40 中美数字化经济差距正在减小 日本 韩国 2 数据安全法详细解读 法律结构 总则 • 明确法律范围、定义和归口部门 数据安全与发展 • 说明国家数字产业发展和数据安全的关系 数据安全制度 • 说明国家如何保障数据安全 数据安全保护义务 • 说明个人和部门应该如何支撑数据安全保护 政务数据安全开放 • 明确对政务数据收集,使用,存储,处理,维护等的具体要求 法律责任 • 说明违反以上准则的后果 附则 • 说明该法的不适应情况和执行时间 总则 第一条 本条旨在说明数据安全法的保护目标： ◆ 规范数据处理活动：不同的行业对于数据的生命周期有不同 的定义，在金融行业，金融数据生命周期为采集、传输、存 第一条 为了规范数据处理活动，保障数据安 储、使用、删除、销毁六个阶段。 全，促进数据开发利用，保护个人、组织的合 法权益，维护国家主权、安全和发展利益，制 定本法。 ◆ 数据开发利用活动应建立在遵循国家相关立法基础之上开展 相关工作，从而保护个人、组织、国家利益和权益。 总则 第二条 本条旨在说明数据安全法的适用范围： ◆ 中华人民共和国境内开展数据处理活动及其安全监管， 同时 也明确域外损害我国国家安全、公共利益或公民、组织合法 第二条 在中华人民共和国境内开展数据处理 权益同样适用于本法。 活动及其安全监管，适用本法。在中华人民共 和国境外开展数据处理活动，损害中华人民共 ◆ 另外，和GDPR一样，对于境外的数据处理活动，只要是和 和国国家安全、公共利益或者公民、组织合法 国家安全、公共利益或公民、组织合法权益有关系的数据， 权益的，依法追究法律责任。 就有无限延伸权利。 总则 第三条 本条旨在说明数据和数据安全的定义： 第三条 本法所称数据，是指任何以电子或者 ◆ 数据的表现形式为电子（通过电子设备表达的文字、符号、 其他方式对信息的记录。 数值、图像）、非电子（如记录在纸、触觉、嗅觉、听觉、 数据处理，包括数据的收集、存储、使用、 视觉所识别到能够表示事物形态的内容）； 加工、传输、提供、公开等。 ◆ 数据处理活动中缺少了对数据删除和销毁阶段的控制活动； 数据安全，是指通过采取必要措施，确保数据 ◆ 数据安全的目的是数据处于有效保护和合法利用的状态（确 处于有效保护和合法利用的状态，以及具备保 保数据的保密性、可靠性）、数据具备具备保障持续安全状 障持续安全状态的能力 态的能力（可用性和连续性）。数据和安全是两块不同的内 容，数据安全主要指的还是对业务有影响的数据和个人隐私 数据的相关保护。 总则 第四条 本条旨在说明数据安全法的定位： 第四条 维护数据安全，应当坚持总体国家安 ◆ 本法将数据安全工作建立在国家整体安全层面， 《网络安全 全观，建立健全数据安全治理体系，提高数据 法》 作为我国网络安全工作的基本法，《数据安全法》 作为 安全保障能力。 数据领域的基本法，两个法律都是基本法，不存在谁大谁小， 《数据安全法》与《网络安全法》 相辅相成， 实现最终数据 安全保障能力。 总则 第五条 本条旨在说明国家层面上数据安全的责任人： ◆ 中央国家安全领导机构指的是中央国家安全委员会，全称为 第五条 中央国家安全领导机构负责国家数据 “中国共产党中央国家安全委员会” ， 是中国共产党中央委 安全工作的决策和议事协调，研究制定、指导 员会下属机构。经由中国共产党第十八届中央委员会第三次 实施国家数据安全战略和有关重大方针政策， 全体会议后，于 2013 年 11 月 12 日成立。 统筹协调国家数据安全的重大事项和重要工作， 建立国家数据安全工作协调机制。 ◆ 中央国家安全委员会由中共中央总书记习近平任主席， 中央 国家安全委员会作为中共中央关于国家安全工作的决策和议 事协调机构， 向中央政治局、 中央政治局常务委员会负责， 统筹协调涉及国家安全的重大事项和重要工作。 依据《中华 人民共和国国家安全法》第二十条规定， 是数据安全最终的 责任机构。该机构在国家层面建立协调机制，统筹有关国家 数据安全的指导工作以及战略制定和政策研究。 总则 第六条 本条旨在说明各个层面数据安全的监管职责： 第六条 各地区、各部门对本地区、本部门工 作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健 康、教育、科技等主管部门承担本行业、本领 域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法 律、行政法规的规定，在各自职责范围内承担 数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规 的规定，负责统筹协调网络数据安全和相 关监管工作。 ◆ 谁生产，谁负责；谁收集，谁负责；谁主管、谁负责； ◆ 公安和国家机关是特殊部门，自行管理相关数据； ◆ 网信部门是数据的统筹协调接口和监管人，负责对数据进行 统一管理、对数据使用情况进行监管、定义相关数据安全事 件的责任人、责任大小。 总则 第七条 本条旨在说明个人、组织如何合理使用数据： 第七条 国家保护个人、组织与数据有关的权 ◆ 本条对公民、法人和其他组织对数据的所有权关系及相关权 益，鼓励数据依法合理有效利