逐条深入解读《数据安全法》

上海法治报 2022年01月05日

《中华人民共和国数据安全法理解适用与案例解读》张平 主编中国法制出版社

【编辑推荐】

作者资深:张平教授组织编写,深度参与《数据安全法》《个人信息保护法》《网络安全法》等立法咨询、论证工作。

帮助学习:在逐条深入解读《数据安全法》的同时,解读条文的立法背景与适用要点,帮助广大读者真正把握法律意涵与精神。

指导实务:法条解读与指导实务工作并重,分析典型案例中的法律适用问题,在系统梳理个人信息相关规则的基础上着重解决实务难点问题。

案例解读

银行因未履行数据安全保护义务被银保监会处罚

案情简介:

2021年1月19日,银行因数据安全、网络安全等方面存在漏洞而被中国银保监会处罚,罚款420万元人民币。

案例焦点:

根据银保监会开出的罚单显示,银行的违法违规事实主要包括六项,具体如下:(一)发生重要信息系统突发事件未报告;(二)制卡数据违规明文留存;(三)生产网络、分行无线互联网络保护不当;(四)数据安全管理较粗放,存在数据泄露风险;(五)网络信息系统存在较多漏洞;(六)互联网门户网站泄露敏感信息。

专家评析:

以上金融机构行政处罚案件,最为重要的处罚原因为数据安全管理不善:

有些金融机构未有效建立数据分类分级保护制度,金融数据作为事关公民生命财产安全的重要数据,一旦遭到篡改、破坏、泄露或者被非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,应与其他数据之间按照不同类别、不同级别采取不同的存储与保护措施,切实保障重要数据与核心数据的安全无风险;

有些金融机构未建立完善的风险评估、报告、信息共享、监测预警机制,未加强数据安全风险信息的获取、分析、研判、预警工作,一旦发生数据安全事件,不能及时启动应急预案和采取相应的应急处置措施和向社会发布与公众有关的警示信息,具有极大的安全隐患;有些金融机构未尽到主动报告义务,没有按照规定向有关主管部门报告;

有些金融机构则没有建立完善的内部防控管理机制,未定期开展培训以提高工作人员数据安全意识;

更有甚者出现了内部员工利用职权窃取、倒卖数据的严重现象,带来了极大的数据安全隐患。

随着数据安全法的出台和落地实施,以往我国不同主管部门仅在各自职权范围内和主管领域内建立数据安全制度、落实数据安全保护责任的“九龙治水”现象将有所改观,填补了监管空白。

【内容简介】

本书以数据安全法条文为据,逐章逐条作出解读:

【条文主旨】一句话说明法条的核心要义。

【条文理解】讲解立法目的,精准阐释法条原意。

【适用指南】着重解决实务问题,对法律的适用进行深入探讨。

【相关规定】帮助读者全面了解相关法律规定。

【案例评析】通过以案释法帮助读者进一步理解法律的适用要点。

本书为相关行业从业者,法律实务人士提供了兼具高度与深度的工作指引,是防范法律风险、执法办案的参考书,也可以帮助广大读者学习掌握数据安全法的相关知识,是一部适时的实用教材,可以指导读者有效维护自身的合法权益。

【作者简介】

张平,北京大学法学院教授,北京大学知识产权学院常务副院长,北京大学粤港澳大湾区知识产权发展研究院执行院长,北京大学人工智能研究院双聘教授,北京大学人工智能研究院学术委员会委员。

1991年在北京大学法学院任教至今,2004年被聘为北京大学法学院雅虎-方正讲席教授及北京大学互联网法律中心主任,2009年起兼任北京大学知识产权学院常务副院长。

重点研究领域:知识产权法、互联网法。

【内容摘录】

第十七条【数据标准体系建设】

国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

条文主旨:

本条是关于数据开发利用和数据安全相关的标准体系建设的规定。

条文理解:

标准是经济活动和社会发展的技术支撑,是国家治理体系和治理能力现代化的基础性制度。数据安全法通过统一立法的形式强调推进数据开发利用技术和数据安全标准体系建设,倡导确立共同遵循的准则,建立稳定的数据发展秩序。根据《中华人民共和国标准化法》的规定,标准(含标准样品),是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准的类型包括:国家标准、行业标准、地方标准和团体标准、企业标准。其中国家标准又分为强制性标准、推荐性标准,而行业标准、地方标准属于推荐性标准。推荐性国家标准、行业标准、地方标准、团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求。国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准。

《中华人民共和国标准化法》对各类标准进行了总体性规定:

(1)强制性标准:强制要求必须执行的标准,一般而言,对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求,应当制定强制性国家标准,强制性国家标准由国务院批准发布或者授权批准发布,强制性标准文本免费向社会公开,同时国家还建立了强制性标准实施情况统计分析报告制度和定期复审机制。

(2)推荐性标准:国家鼓励推荐采用的标准,对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求,可以制定推荐性国家标准,推荐性国家标准由国务院标准化行政主管部门制定。

(3)行业标准:对没有推荐性国家标准、需要在全国某个行业范围内统一的技术要求,则可以制定行业标准。行业标准由国务院有关行政主管部门制定,报国务院标准化行政主管部门备案。

(4)地方标准:为满足地方自然条件、风俗习惯等特殊技术要求,则可以制定地方标准。地方标准由省、自治区、直辖市人民政府标准化行政主管部门报国务院标准化行政主管部门备案,由国务院标准化行政主管部门通报国务院有关行政主管部门。

(5)团体标准:国家鼓励学会、协会、商会、联合会、产业技术联盟等社会团体协调相关市场主体共同制定满足市场和创新需要的团体标准,由本团体成员约定采用或者按照本团体的规定供社会自愿采用。

(6)企业标准:企业根据自身需求自行制定或者与其他企业联合制定的标准。

SourcePh" style="display:none">