现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
数据合规
核心法条
- 《数据安全法》第 3 条:数据的定义——任何以电子或者其他方式对信息的记录;数据安全的定义 [现行有效]
- 《网络安全法》第 21 条:网络安全等级保护制度 [现行有效]
- 《网络安全法》第 37 条:关键信息基础设施运营者在境内收集和产生的个人信息和重要数据的本地化存储 [现行有效]
- 《数据安全法》第 21 条:数据分类分级保护制度——根据数据在经济社会发展中的重要程度实行分类分级保护 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、数据合规的法律框架
1.1 数据安全法律体系
中国数据安全领域形成了以三部核心法律为支柱的法律框架:
| 法律 | 核心目标 |
|---|---|
| 《网络安全法》(2017) | 网络空间主权与网络安全 |
| 《数据安全法》(2021) | 数据安全与开发利用 |
| 《个人信息保护法》(2021) | 个人信息权益保护 |
1.2 数据分级分类
《数据安全法》第 21 条:国家建立数据分类分级保护制度,将数据分为一般数据、重要数据和核心数据。
| 等级 | 说明 |
|---|---|
| 一般数据 | 不属于重要数据和核心数据 |
| 重要数据 | 对国家安全、公共利益有影响的重要数据 |
| 核心数据 | 关系国家安全、国民经济命脉、重要民生、重大公共利益的数据 |
二、数据处理的合规要求
2.1 数据收集
- 合法正当原则:数据收集应当遵循合法、正当、必要的原则
- 最小必要:仅收集与处理目的直接相关的数据
- 公开透明:公开收集、使用规则,明示收集、使用目的、方式和范围
- 同意要求:收集个人信息须取得个人同意(法律另有规定的除外)
2.2 数据存储
- 安全保护义务:采取技术措施和其他必要措施,确保数据安全
- 本地化存储:关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当在境内存储
- 留存日志:网络日志至少留存六个月
2.3 数据使用
- 目的限制:数据处理应当在收集时约定的目的范围内进行
- 禁止非法交易:任何组织、个人不得非法买卖、提供或者公开他人数据
- 算法合规:利用数据进行自动化决策的,应当保证决策的透明度和结果公平公正
2.4 数据提供与共享
- 数据提供方评估:向其他数据处理者提供数据前,应当进行风险评估
- 协议要求:明确双方数据保护义务、违约责任等
- 同意要求:涉及个人信息时须取得单独同意
三、数据出境合规
3.1 出境条件
数据出境须满足以下条件之一:
1. 通过国家网信部门组织的安全评估
2. 经专业机构进行数据保护认证
3. 按照国家网信部门制定的标准合同
3.2 重要数据出境
重要数据出境应当通过国家网信部门组织的安全评估。
四、违法后果
| 违法类型 | 法律后果 |
|---|---|
| 违反网络安全等级保护制度 | 责令改正,给予警告;拒不改正的,处一万元以上十万元以下罚款 |
| 非法收集、使用个人信息 | 责令改正、没收违法所得、责令暂停相关业务;最高可处 5000 万元或上年度营业额 5% 罚款 |
| 非法向境外提供重要数据 | 责令改正,给予警告,可并处十万元以上一百万元以下罚款 |
知识库原始资料索引
法条
法律服务产品
- 深圳律师法律服务产品清单(第二版):数据安全合规
- 京师律师法律服务产品汇编:数据安全与电子数据取证