《数据安全法(草案)》的前后对比及逐条分析

来源:金诚同达

文章摘要
日前,第十三届全国人大常委会第二十八次会议对《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“二审稿”)进行了审议,相较于此前版本的《中华人民共和国数据安全法(草案)》(以下简称“一审稿”),

日前,第十三届全国人大常委会第二十八次会议对《中华人民共和国数据安全法(草案二次审议稿)》(以下简称“二审稿”)进行了审议,相较于此前版本的《中华人民共和国数据安全法(草案)》(以下简称“一审稿”),本次二审稿在体例上未作调整,仅就个别法条的内容和表述进行了修改。
针对本次修改的主要内容1,对比并简析如下:
第一条2

一审稿

二审稿

第一条 为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。

第一条为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。


简 析
1. 增加“规范数据处理活动”的立法目的,并且作为目的当中的第一项,明确不仅要保障数据安全、促进数据的开发利用,还要规范数据处理活动这一动态过程。可以说对于数据处理活动这一实际活动的规范,恰恰体现了二审稿更为务实和更具操作性的特点。
2. 将一审稿的原用词“公民”修改为“个人”,可以理解为对于非公民的个人(比如外国公民),也会成为“保护的对象”。
第二条

一审稿

二审稿

第二条 在中华人民共和国境内开展数据活动,适用本法。

中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。


简 析
1. 明确了《数据安全法》调整的行为包括“数据处理活动”,以及补充了对“安全监管”行为的规范;可以说二审稿体现了“数据处理”+“数据安全”一体两翼的立法思路和条文结构。
2. 将第二款的“中华人民共和国境外的组织、个人开展数据活动”修改为“在中华人民共和国境外开展数据处理活动”,可以认为是明确了“域外适用”的效果。这无疑扩大了追责的范围。无论主体是境内还是境外,无论处理活动的所在地是境内还是境外,只要效果上“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”的,就属于法律的适用对象。
第三条

一审稿

二审稿

第三条 本法所称数据,是指任何以电子或者非电子形式对信息的记录。

数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。

数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。

第三条本法所称数据,是指任何以电子或者非电子形式对信息的记录。

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及保障持续安全状态的能力。


简 析
1. 对定义进行完善,将“数据活动”调整为“数据处理”,与《个人信息保护法》等法律当中的概念相互适应。“处理”是一个基本的概括性描述,包括了收集、存储、使用、加工、传输、提供、公开等。一个是数据处理,一个是数据安全,再次体现了这两项主要的思路与结构。那么这部法律的名称是不是也应该从《数据安全法》调整为《数据处理与安全法》更好呢?这一点值得研究和探讨。
2. 并将定义中的“交易”调整为“传输”,更好地避免了误解,交易无疑需要传输,传输的范畴更大。需要注意的是,这一修改并不是否认了数据的可流通性(可交易性),但是不会过于强调其交易——也意味着即使进行交易也要依法进行,符合包括《数据安全法》及《个人信息保护法》等相关法律的规定。
第五条

一审稿

二审稿

第五条 国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。

第五条国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。


简 析
与前文相同,此处将“公民”修改为“个人”,也不再限于“中国公民”。另外,删除了“增进人民福祉”的表述。促进了数字经济发展自然会带来相应福利,增强人民福祉。这一修改不是否定以人民福祉为最终的目的导向,而是提出更为直接和紧密关联的目标。
第七条

一审稿

二审稿

第七条 各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。

工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

第七条各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。


简 析
第二款增加列举 “交通”行业,并将 “国防科技工业”调整为“科技”。交通行业作为国计民生重要行业,数据安全非常重要。交通行业中也可能存在“关键信息基础设施运营者”。特别是随着“物联网”及“智能汽车”时代的到来,汽车本身已经与“数据”密切相关。包括汽车整车生产商以及销售商、服务商在内的各类经营主体,均可能建立或运维包括大量数据的网络系统,这无疑将会是《数据安全法》的适用对象。汽车相关行业的企业及组织,应当对此予以充分的重视。
另外,将“国防科技工业”调整为“科技”,是范围的扩大,不仅仅是国防科工部门,科技部门本身也将会明确对本部门的数据安全工作进行管理。
第八条

一审稿

二审稿

第八条 开展数据活动,必须遵守法律、行政法规,尊重社会公德和伦理,遵守商业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。

第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。


简 析
规范用语的统一:将“必须”调整为“应当”、“行政法规”调整为“法规”、“公民”调整为“个人”。
第九条

一审稿

二审稿

第九条 国家建立健全数据安全协同治理体系,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

第九条国家建立健全数据安全协作机制,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。


简 析
明确制度名称,将“协同治理体系”调整为“协作机制”。治理体系过于抽象和宏观,“协作机制”则更为具象和明晰。
第十条

一审稿

二审稿

/

第十条相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。


简 析
新增内容。明确赋予行业组织相关职责,并强调通过行业协会等组织的凝聚力推动数据安全保护。这一规定无疑对相关行业组织的数据合规工作提出了明确要求和重大挑战,特别是一些掌握重要数据的行业,其行业组织需要建立相应规范,并将数据安全的指导工作纳入日常业务当中。
第十三条

一审稿

二审稿

第十二条 国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

第十三条国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。


简 析
增加“统筹发展和安全”的表述,体现了对二者的立法权衡,不能只顾安全,不顾发展,但也不能只为发展,忽视安全。这二者的协调统一实际上也是《数据安全法》立法中的重大挑战,更会成为今后实务操作中的永恒课题。
第十四条

一审稿

二审稿

第十三条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,促进数字经济发展。省级以上人民政府应当制定数字经济发展规划,并纳入本级国民经济和社会发展规划。

第十四条国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。

县级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。


简 析
将制定数字经济发展规划的政府级别由“省级以上”调整为“县级以上”,降低了级别即扩大了范围。同时,赋予县级以上政府对数字经济发展规划的制定自主权,由原“应当制定”改为“根据需要制定”。今后各地的数字经济发展规划也会成为一个重要看点。
第十五条

一审稿

二审稿

第十四条 国家加强数据开发利用技术基础研究,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系。

第十五条国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系。


简 析
将“数据开发利用技术基础研究”调整为“数据开发利用和数据安全技术研究”,体现了对数据安全研究的重视,逻辑也更为周延。
第十六条

一审稿

二审稿

第十五条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。

第十六条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。


简 析
将“研究机构、高等学校、相关行业组织”调整归纳为“社会团体和教育、科研机构”。表述简洁明了,值得肯定。
第十九条

一审稿

二审稿

第十八条 国家支持高等学校、中等职业学校和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。

第十九条国家支持高等学校、中等职业学校、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。


简 析
增加 “科研机构”作为支持开展教育培训的主体。这无疑是符合国情实际的。
第二十条

一审稿

二审稿

第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。

各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

第二十条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。


简 析
明确“建立数据分类分级保护制度”以及“确定重要数据目录”,从制度上保护数据安全。近年来,数据泄露事件频发,对于企业来说,不仅可能造成财产损失,还会因数据管理不善而丧失企业信誉;对于个人来说,数据的泄露也可能会影响正常生活,造成巨大损失及压力,乃至形成恶劣的社会影响。“数据分类分级保护”及“数据目录”作为实打实的制度基础,将为数据保护提供明确依据。“数据分类分级保护”将会于“网络安全等级保护”有机结合,增加实务上的可操作性。
第二十五条

一审稿

二审稿

第二十四条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。

第二十五条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。


简 析
明确中国有权对任何的歧视性措施采取“对等”措施。“反制措施”的规定,体现出我国遵守平等互利的国际交往准则,但也不会放弃合理的“自保措施”。这也从间接角度,体现出了国际间“数据竞争”、“数字经济竞争”日趋激烈。
第二十六条

一审稿

二审稿

第二十五条 开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。

第二十六条开展数据处理活动应当依照法律、法规的规定,在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。


简 析
1. 删除“国家标准的强制性要求”作为开展数据处理活动的法律依据。但并不是说“国家标准的强制性要求”不用遵守了,仅仅是立法技术上的调整。“国家标准的强制性要求”无疑需要遵守。
2. 强调开展数据处理活动应当以《网络安全法》中规定的“网络安全等级保护制度”为基础。这即增加了《数据安全法》的实操性,也便于企业开展相应的应对活动。
3. 将“设立数据安全负责人和管理机构”改为“明确数据安全负责人和管理机构”,进一步强调将制度落到实地。
第二十八条

一审稿

二审稿

第二十七条 开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。

第二十八条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。


简 析
当发生数据安全事件时,新增“立即采取处置措施”的法定义务,防止损害进一步扩大。需要注意的是,有关处置措施,应列入数据合规的管理事项当中,避免网络运营者自身承担进一步损失。
第二十九条

一审稿

二审稿

第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。

第二十九条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。


简 析
1. 将“本组织掌握的重要数据”调整为“处理的重要数据”,扩大了这一情境之下的重要数据的范围,即不以带有主观色彩的掌握与否为判断标准,而是以更为客观的是否处理作为标准。需要注意的是,处理是非常大的概念,所有的数据活动均在处理的范畴之内。
2. 将“收集、存储、加工、使用数据”归纳统一为“开展数据处理活动”,与二审稿第三条中对“数据处理”的定义相呼应,避免赘述。
第三十条

一审稿

二审稿

/

第三十条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。


简 析
新增内容。区分“关键信息基础设施的运营者”与“其他数据处理者”,明确二者在境内运营中收集和产生的重要数据的出境安全管理,适用不同的法律/法规。这也使广大非“关键信息基础设施的运营者”的一般性的“网络运营者”暂时吃了一颗定心丸。当然,继续关注下一步“重要数据”本身的定义与筛选,以及“重要数据的出境安全管理办法”(也已在立法过程当中),无疑是非常重要的。
第三十一条

一审稿

二审稿

第二十九条 任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。

第三十一条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。


简 析
删除“不得超过必要的限度”的表述,但不是可以“无限制收集和使用”,而是要“依法”,特别要注意的就是《个人信息保护法》。在《个人信息保护法》中会依然强调必要和最小限度原则。
第三十三条

一审稿

二审稿

第三十一条 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。

第三十三条法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。


简 析
1. 二审稿中的规制主体不再限于“专门提供在线数据处理等服务的经营者”,而针对的是“提供数据处理相关服务”这一行为,实际上扩大了规制范围;
2. 删除“备案”,应当依法取得许可;但要注意,不是所有的数据处理服务都要许可,而是“法律、行政法规规定提供数据处理相关服务应当取得行政许可的”,服务提供者应当依法取得许可。这一规定本身可以说成为了一条宣示性的规定。
3. 法律依据方面,不再规定由国务院电信主管部门会同有关部门制定,而是基于现行法律、行政法规,可以认为排除了部门规章,但是实际上法律、行政法规中也可能存在对于部门规章的授权性规定。
第三十五条

一审稿

二审稿

第三十三条 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。

第三十五条中华人民共和国境外的司法或者执法机构要求调取存储于中华人民共和国境内的数据的,非经中华人民共和国主管机关批准,不得提供;中华人民共和国缔结或者参加的国际条约、协定有规定的,可以按照其规定执行。


简 析
1. 增加“司法机构”作为要求调取境内数据的主体,更为完善;
2. 由“获得批准方可提供”的表述改为“非经批准不得提供”。这一规定对今后有关跨国争议解决案件的应对(包括争议解决机构的选择等)可能产生的多角度(利、弊)影响,值得进一步关注和及时总结。
3. 将“依照其规定”调整为“可以按照其规定执行”,有选择权。
第三十九条

一审稿

二审稿

第三十七条 国家机关委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。

第三十九条国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督受托方、数据接收方履行相应的数据安全保护义务。


简 析
1. 增加“建设、维护电子政务系统”,完善了国家机关数据相关委托活动的批准范围;
2. 增加“受托方”作为监督对象,区分“数据接收方”与“受托方”。国家机关相关的政务数据今后也将面临严格监管,从事相关服务的企业需要及时跟进应对措施。
第四十四条

一审稿

二审稿

第四十二条 开展数据活动的组织、个人不履行本法第二十五条、第二十七条、第二十八条、第二十九条规定的数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十四条开展数据处理活动的组织、个人不履行本法第二十六条、第二十八条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。


简 析
整体上调高了处罚金额,并增加“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的处罚方式。本次修订不仅从金额,更是注意到从责任承担形式方面提高违法成本,实际上,对于企业来说,有时吊销相关业务许可证或吊销营业执照的处罚所带来的后果无疑比罚款更为严重。
第四十五条

一审稿

二审稿

第四十三条 数据交易中介机构未履行本法第三十条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十五条从事数据交易中介服务的机构未履行本法第三十二条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。


简 析
1. 将“数据交易中介机构”改为“从事数据交易中介服务的机构”,不再定性何种机构,而是由行为界定主体,实际上扩大了规制范围;
2. 增加“违法所得不足十万元”作为处十万元以上一百万元以下罚款的情形之一,对于违法所得不足十万元的,实际上加重了罚款力度;
3. 增加“责令暂停相关业务、停业整顿”,完善处罚形式。
第四十六条

一审稿

二审稿

第四十四条 未取得许可或者备案,擅自从事本法第三十一条规定业务的,由有关主管部门责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十六条违反本法第三十四条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款。违反本法第三十五条规定,未经主管机关批准向境外的司法或者执法机构提供数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。


简 析
1. 对于上述一审稿第四十四条中规定的“(专门提供在线数据处理等服务的经营者)未取得许可或者备案”的处罚,本次修订予以删除处理。其中依据的一审稿第三十一条,也在本次修订中作了修改;
2. 新增对于违反《数据安全法》相关规定,拒不配合数据调取、未经批准向境外司法或者执法机构提供数据的法律责任。
第四十九条

一审稿

二审稿

第四十七条 通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。

第四十九条开展数据处理活动危害国家安全、公共利益,排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。


简 析
1. 将“通过数据活动”的表述改为“开展数据处理活动”,由手段变为行为过程;
2. 增加“排除、限制竞争”的处罚情形,规制数据垄断行为。也呼应了最近的反垄断法执法热点。
第五十二条

一审稿

二审稿

/

第五十二条军事数据安全保护的办法,由中央军事委员会依据本法另行制定。


简 析
新增内容。明确军事数据安全保护的特殊性,其办法依《数据安全法》另行制定。
作者特别感谢同事于喻在本文写作中的贡献。
注释:
[1] 对于仅文字表达上的修改,未予列举。
[2] 此小标题所述条数,均为二审稿中对应的条数

技术驱动法律,专业成就未来