数据安全与个人信息保护法 --中安威士专家团数据安全法解读系列之九

个人信息保护法

数据安全法

通过及施行时间

2021年8月20日通过，将于2021年11月1日起施行。

2021年6月10日通过，自2021年9月1日起施行。

法律地位

 高。全国人大常委会通过，个人信息保护的国家级基本法。是我国第一部全面规范个人信息保护方面问题的基础性法律。

 高。全国人大常委会通过，数据安全的国家级基本法。是我国第一部全面规范数据安全治理方面问题的基础性法律。

范围

小。聚焦个人信息。

大。关注个人信息和其他数据。

重要性

重要（不能被其他法律替代）。

重要。

侧重点

网络和数据中的个人信息。个人信息保护法保障国家安全、公共利益的个人权益，重点关注“个人信息的保护”，个人信息保护在数据安全法中处于从属地位。

数据以及数据所在的网络。确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度，以提升国家数据安全能力，有效应对数据这一非传统领域的国家安全挑战，切实维护国家主权、安全和发展利益。首次将数据作为“关键要素”写入法律，首次确认“数据权益”。

数据安全法未能从个人信息全维度（原则、出境、权利等）进行规范，难以系统性解决个人信息保护问题。

依赖关系

个人信息保护离不开和数据安全。个人信息保护做得到位包括个人用户鉴权信息保护等也能显著促进数据安全。

数据安全法补充和细化了网络安全法中关于数据安全的内容部分，尤其是数据安全技术部分也可用于个人信息。

定义

个人信息：“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

数据：“任何以电子或非电子形式对信息的记录”，内涵扩展极大。

跨境数据

个人信息不得随意出境：关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。出境需经监管部门安全审查和认证。

规定不得随意跨境传输：非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

敏感个人信息

和

核心数据

敏感个人信息：“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”

核心数据：关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

个人信息保护影响评估

和

数据安全评估

★《个人信息保护法》第五十一条 规定了应进行个人信息保护影响评估的五种情况：a.处理敏感个人信息；b.利用个人信息进行自动化决策；c.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；d.向境外提供个人信息；e.其他对个人权益有重大影响的个人信息处理活动。

数据安全评估：重要数据的处理者应当按照规定对其数据活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量，收集、存储、使用、加工、传输、提供等使用数据的情况，面临的数据安全风险及其应对措施等”

对数据安全能力的要求

个人信息保护法提出了对个人信息进行分级管理的如下要求：

★《个人信息保护法》第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取系列安全保障措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失...

★第五十四条规定了合规审计义务。

★第五十五条、第五十六条规定了个人信息处理者在特定情形下进行个人信息保护影响评估的义务。

★第五十七条规定了安全事件通知义务。

★第五十八条规定了重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特殊义务。

数据安全法提出了如下要求：

在网络安全等级保护制度的基础上，进一步建立健全全流程数据安全管理制度、采取各种数据安全技术措施进行数据安全保护、风险监测、预警处置等：  

★第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施等必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。  

★第二十九条开展数据处理活动应当加强风险监测...；发生数据安全事件时，应当立即采取处置措施...  

★第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

责任主体

个人信息处理者、关键信息基础设施运营者、国家机关，以及境外个人、组织和国家等。

★第九条个人信息处理者应当对其个人信息处理活动负责。

★第三十三条国家机关处理个人信息的活动，适用本法。

此外，在第四十条、第四十二条、第四十三条分别对关键信息基础设施运营者、境外组织和个人、任何国家和地区从事从事个人信息处理进行了具体规定。

重要数据的处理者、关键信息基础设施的运营者  

★第二十七条 重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

★第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；...

主管部门和执法机构

国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门。

★第六十条 履行个人信息保护职责的部门的职责如下：

国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。

国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。

国家网信办统筹、行业和区域主管部门监管、公安机关、国家安全机关执法，保密部门、军队部门。  

★第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。  

★工业、电信、交通、金融、卫生健康、教育、科技等主管部门承担本行业数据安全监管职责。  

★公安机关、国家安全机关在职责范围内承担数据安全监管职责。  

★国家网信部门负责统筹协调网络数据安全和相关监管工作。  

★第五十三条 开展涉及国家秘密的数据处理活动...  

★第五十四条 军事数据安全保护的办法，...  

处罚力度

迄今最大（五千万元或者营业额百分之五罚款、停业、禁止从业等） 

★第六十六条违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，...拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

大（一千万元罚款、停业、刑罚）  ★第四十五条 违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款。  ★第四十六条 违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，...情节严重的，处一百万元以上一千万元以下罚款，...对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。  

★第四十八条 违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。