《數(shù)據(jù)安全法》司法解讀-文件數(shù)據(jù)銷毀

《數(shù)據(jù)安全法》自2021年9月1日開始實施，快4年時間了，數(shù)據(jù)安全事件每天都在發(fā)生，很多單位目前還是不能完全做到合法合規(guī)，也就意味著每天都在違法，而且違法成本非常高，最高可面臨1000萬元處罰，為了更好的了解這部法律，今天來深入解讀一遍這部法律，常識性易懂的內容不再贅述。

第一條　為了規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益，制定本法。

解讀：《數(shù)據(jù)安全法》出臺的主要背景是國家的戰(zhàn)略需要和滴滴赴美上市數(shù)據(jù)出境事件，海量數(shù)據(jù)泄露等事件的驅動。同時也是為了爭奪國際數(shù)據(jù)規(guī)則的話語權，歐盟早就出臺了GDPR（通用數(shù)據(jù)保護條例）、美國也通過了CLOUD法案，因此中國出臺的《數(shù)據(jù)安全法》也是確立了“數(shù)據(jù)主權”，和對歐美長臂管轄的一個反制。此外，《數(shù)據(jù)安全法》也是對《網(wǎng)絡安全法》進行了細化和補充。《數(shù)據(jù)安全法》與《網(wǎng)絡安全法》《個人信息保護法》《刑法》等構成“數(shù)據(jù)治理法律三角”，覆蓋網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護三大領域，形成立體化監(jiān)管框架。

第二條　在中華人民共和國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用本法。在中華人民共和國境外開展數(shù)據(jù)處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

解讀：不管是在中國境內還是境外，不管是中國企業(yè)還是外國人，外國公司開展數(shù)據(jù)處理活動，損害了中國的利益（國家安全、公共利益或者公民、組織合法權益），雖遠必誅。這也是中國的“長臂管轄”。比如：印度一公司在新加坡服務器上存儲中國公民的醫(yī)療數(shù)據(jù)，因管理不善導致數(shù)據(jù)泄露，中國可以依本法追究責任。

第三條　本法所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

解釋：注意這里的數(shù)據(jù)不光是電子方式記錄的數(shù)據(jù)，也包括紙質數(shù)據(jù)，比如：本上抄寫的記錄，檔案記錄等。簡單來說就是所有能保存信息的東西，不管是電子版還是紙質版，光盤，塑料袋等都是數(shù)據(jù)。數(shù)據(jù)處理，明確了從數(shù)據(jù)產生到消亡整個過程每一步都受法律監(jiān)管。

第四條　維護數(shù)據(jù)安全，應當堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

第五條　中央國家安全領導機構負責國家數(shù)據(jù)安全工作的決策和議事協(xié)調，研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策，統(tǒng)籌協(xié)調國家數(shù)據(jù)安全的重大事項和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調機制。

解讀：數(shù)據(jù)安全已經(jīng)上升到國家安全的層面，中央國家安全領導機構即：中央國家安全委員會（國安委）負責決策、協(xié)調、研究制定、指導戰(zhàn)略方針，統(tǒng)籌協(xié)調。網(wǎng)信辦、公安、國安、工信部等部門各司其職。

第六條　各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產生的數(shù)據(jù)及數(shù)據(jù)安全負責。

工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責。

公安機關、國家安全機關等依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內承擔數(shù)據(jù)安全監(jiān)管職責。

國家網(wǎng)信部門依照本法和有關法律、行政法規(guī)的規(guī)定，負責統(tǒng)籌協(xié)調網(wǎng)絡數(shù)據(jù)安全和相關監(jiān)管工作。

解讀：第一款指的是誰收集和產生的數(shù)據(jù)，誰負責安全。第二款規(guī)定國家各部委對各自領域的數(shù)據(jù)安全負監(jiān)管職責，有行政處罰權力的部門，比如衛(wèi)健委、交通運輸部、工信部、銀保監(jiān)局該處罰處罰，甚至可以疊加處罰，公安機關具有監(jiān)督、檢查、指導、行政處罰和刑事追責，打擊犯罪，網(wǎng)信辦統(tǒng)籌協(xié)調各部門聯(lián)合執(zhí)法，同樣可以監(jiān)督、檢查、指導、行政處罰。

第七條　國家保護個人、組織與數(shù)據(jù)有關的權益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟發(fā)展。

第八條　開展數(shù)據(jù)處理活動，應當遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，履行數(shù)據(jù)安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

第九條　國家支持開展數(shù)據(jù)安全知識宣傳普及，提高全社會的數(shù)據(jù)安全保護意識和水平，推動有關部門、行業(yè)組織、科研機構、企業(yè)、個人等共同參與數(shù)據(jù)安全保護工作，形成全社會共同維護數(shù)據(jù)安全和促進發(fā)展的良好環(huán)境。

第十條　相關行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團體標準，加強行業(yè)自律，指導會員加強數(shù)據(jù)安全保護，提高數(shù)據(jù)安全保護水平，促進行業(yè)健康發(fā)展。

第十一條　國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領域的國際交流與合作，參與數(shù)據(jù)安全相關國際規(guī)則和標準的制定，促進數(shù)據(jù)跨境安全、自由流動。

第十二條　任何個人、組織都有權對違反本法規(guī)定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。有關主管部門應當對投訴、舉報人的相關信息予以保密，保護投訴、舉報人的合法權益。

第二章 數(shù)據(jù)安全與發(fā)展

第十三條　國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產業(yè)發(fā)展。

第十四條　國家實施大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)基礎設施建設，鼓勵和支持數(shù)據(jù)在各行業(yè)、各領域的創(chuàng)新應用。省級以上人民政府應當將數(shù)字經(jīng)濟發(fā)展納入本級國民經(jīng)濟和社會發(fā)展規(guī)劃，并根據(jù)需要制定數(shù)字經(jīng)濟發(fā)展規(guī)劃。

解讀：第一次提到數(shù)字經(jīng)濟，凡是直接或間接利用數(shù)據(jù)來引導資源發(fā)揮作用、推動生產力發(fā)展的經(jīng)濟形態(tài)都可以納入其范疇。比如：大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能、5G通信等新興技術。簡單的說：一切用數(shù)字技術優(yōu)化生產、服務、管理的方式，都是數(shù)字經(jīng)濟。

第十五條　國家支持開發(fā)利用數(shù)據(jù)提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

第十六條　國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領域的技術推廣和商業(yè)創(chuàng)新，培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產品、產業(yè)體系。

第十七條　國家推進數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據(jù)各自的職責，組織制定并適時修訂有關數(shù)據(jù)開發(fā)利用技術、產品和數(shù)據(jù)安全相關標準。國家支持企業(yè)、社會團體和教育、科研機構等參與標準制定。

第十八條　國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構依法開展服務活動。

國家支持有關部門、行業(yè)組織、企業(yè)、教育和科研機構、有關專業(yè)機構等在數(shù)據(jù)安全風險評估、防范、處置等方面開展協(xié)作。

第十九條　國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場。

第二十條　國家支持教育、科研機構和企業(yè)等開展數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全相關教育和培訓，采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術和數(shù)據(jù)安全專業(yè)人才，促進人才交流。

第三章 數(shù)據(jù)安全制度

第二十一條　國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。

關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴格的管理制度。

各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。

解讀：重點來了，國家建立數(shù)據(jù)分類分級保護制度，也就是國家強制要求數(shù)據(jù)分類分級。《網(wǎng)絡安全法》第二十一條，也明確規(guī)定要采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；這里也是對數(shù)據(jù)分類、分級的一個細化。如何分類分級？有點類似網(wǎng)絡安全等級保護的規(guī)定，根據(jù)數(shù)據(jù)的重要程度以及數(shù)據(jù)一旦被破壞、利用、泄露、篡改以后，對國家安全、公共利益、個人和組織的合法權益造成的損害程度，進行分類分級保護。這里面還定義了國家核心數(shù)據(jù)。《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》核心數(shù)據(jù)定義：對領域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數(shù)據(jù)。注：核心數(shù)據(jù)主要包括關系國家安全重點領域的數(shù)據(jù)，關系國民經(jīng)濟命脈、重要民生、重大公共利益的數(shù)據(jù)，經(jīng)國家有關部門評估確定的其他數(shù)據(jù)。國家數(shù)據(jù)安全工作協(xié)調機制指的是由中央國家安全委員會牽頭建立的高層級跨部門協(xié)調機構，成員是國務院各部委和技術支持機構。由國安委協(xié)調各部門制定重要數(shù)據(jù)目錄，加強重要數(shù)據(jù)的保護。重要數(shù)據(jù)的定義在《網(wǎng)絡數(shù)據(jù)安全管理條例》有解釋：是指特定領域、特定群體、特定區(qū)域或者達到一定精度和規(guī)模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。剩下的數(shù)據(jù)就是一般數(shù)據(jù)。具體數(shù)據(jù)如何分類分級，參照《數(shù)據(jù)安全技術數(shù)據(jù)分類分級規(guī)則》GB/T 43697-2024，各行業(yè)組織按照標準去分類分級。

第二十二條　國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。

第二十三條　國家建立數(shù)據(jù)安全應急處置機制。發(fā)生數(shù)據(jù)安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關的警示信息。

第二十四條　國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。

解讀：國家安全審查指的是依照《網(wǎng)絡安全審查辦法》，網(wǎng)絡安全審查辦公室設在國家互聯(lián)網(wǎng)信息辦公室，也就是網(wǎng)信辦，一個機構兩個牌子，具體工作委托中國網(wǎng)絡安全審查技術與認證中心承擔。中國網(wǎng)絡安全審查技術與認證中心在網(wǎng)絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查等任務。中國網(wǎng)絡安全審查技術與認證中心設立網(wǎng)絡安全審查咨詢窗口。比如：赴美上市的網(wǎng)絡運營者必須經(jīng)過國家安全審查通過后，方可進行。

第二十五條　國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。

解釋：依照《中華人民共和國出口管制法》，管制物項數(shù)據(jù)可參考《禁止出口限制出口技術目錄》，里面明確了各行各業(yè)的禁止出口和限制出口的技術資料。還有例如《導彈及相關物項和技術出口管制清單》，《生物兩用品及相關設備和技術出口管制清單》，《商用密碼出口管制清單》等。

第二十六條　任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。

解讀：這是一個防御性條款，在遭到他國不公待遇時，依照本條款可依法采取反制措施。比如：國外強制中國企業(yè)提供數(shù)據(jù)，單方面限制中國企業(yè)招投標，禁止向中國出口先進技術等，可以觸發(fā)本條款。

第四章 數(shù)據(jù)安全保護義務

第二十七條　開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務。

重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。

解讀：核心要點，27，29，30，31，33，35，36條，后面都有對應的本法的罰則。27條要點有五個，第一，明確要求建立健全全流程數(shù)據(jù)安全管理制度，對于一個數(shù)據(jù)處理者(是指在數(shù)據(jù)處理活動中自主決定處理目的、處理方式的組織、個人)必須要有相應的數(shù)據(jù)安全管理制度,而且是全流程的制度，也就是說從數(shù)據(jù)的產生到消亡，整個生命周期的所有的環(huán)節(jié)（采集、傳輸、存儲、使用、加工、共享、銷毀）的管理，在制度里要有體現(xiàn)。制度里應包括管理規(guī)則（分類分級管理，核心數(shù)據(jù)，重要數(shù)據(jù)，一般數(shù)據(jù)實行差異化管理，權限管理，操作日志留存），技術措施，責任體系。比如：設立數(shù)據(jù)安全管理機構、委員會、小組、明確數(shù)據(jù)安全責任人。制定配套的文件，本單位的《數(shù)據(jù)分類分級指南》，《數(shù)據(jù)安全事件的應急預案》，《數(shù)據(jù)安全應急演練》，《數(shù)據(jù)安全風險評估制度》等。第二，組織開展數(shù)據(jù)安全教育培訓，不開展教育培訓，沒有培訓記錄就面臨處罰。第三，采取相應的技術措施保障數(shù)據(jù)安全，比如：數(shù)據(jù)加密存儲和加密協(xié)議傳輸，數(shù)據(jù)要自動備份，冗余存儲和異地災備。根據(jù)數(shù)據(jù)分類分級的結果，進行訪問控制，限定不同權限的人只能看到必要數(shù)據(jù)，多因子認證方式訪問，要部署網(wǎng)絡安全監(jiān)測設備，比如防火墻，IDS，IPS，數(shù)據(jù)庫審計，專用日志服務器。定期進行風險評估、等保測評、滲透測試等。第四，利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動，應當在網(wǎng)絡安全等級保護制度的基礎上，履行上述數(shù)據(jù)安全保護義務。也就是說不管是內網(wǎng)，還是互聯(lián)網(wǎng)開展數(shù)據(jù)處理，都要按照等保的要求去做，在等保的基礎上，對數(shù)據(jù)分類分級保護。這里風險評估對于重要數(shù)據(jù)處理者強制要求開展的，等保測評對于等保二級系統(tǒng)沒有明確要求開展測評，說的是定期測評，三級系統(tǒng)是要求一年開展一次測評。滲透測試，也沒有明確要求必須開展，有條件的單位可以開展。風險評估可以是自己單位開展，也可以聘請外部機構協(xié)助開展風險評估。風險評估和等保測評是兩個概念。風險評估是通過識別資產、威脅、脆弱性等要素，評估潛在的風險發(fā)生的可能性和影響，最終確定風險等級并提出改進措施，可參考（ISO 27001），《網(wǎng)絡數(shù)據(jù)安全管理條例》第三十三條，也對風險評估報告內容進行了定義。等保測評是驗證系統(tǒng)是否符合國家規(guī)定的標準，驗證合規(guī)性，是否達標，可參考（GB/T 22239、GB/T 28448），等保測評必須是有資質的公安部授權的機構。第五，重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。這里指的是本單位的數(shù)據(jù)要進行分類分級認定以后，對被認定為重要數(shù)據(jù)的單位，必須有明確的數(shù)據(jù)安全負責人和專門的數(shù)據(jù)安全管理機構（委員會、辦公室、小組等），二者缺一不可。

違反本條款，對應罰則第四十五條，可以限期整改，警告，同時給與5到50萬罰款，主管人員和直接責任人員1到10萬罰款。拒不改正或造成大量數(shù)據(jù)泄露，可處50到200萬罰款，主管人員和直接責任人員5到20萬罰款。

第二十八條　開展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術，應當有利于促進經(jīng)濟社會發(fā)展，增進人民福祉，符合社會公德和倫理。

第二十九條　開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。

解讀：這一條明確要求開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，明顯是帶有主動性的強制要求。如何加強風險監(jiān)測？可以從管理、技術、流程三個維度去加強監(jiān)測。管理方面，建立風險評估制度和分類分級規(guī)范，定期開展風險評估。技術方面，部署流量監(jiān)測設備，IPS,IDS，日志審計設備。流程方面，數(shù)據(jù)處理（收集、存儲、使用、加工、傳輸、提供、公開，銷毀）全生命周期的全流程的監(jiān)測，應急響應和整改。同時要求，一旦發(fā)生數(shù)據(jù)安全事件，要立即采取措施并報告。27條和29條相比，27條強調的是事前預防，29條強調的是事中監(jiān)測和事后處理。27條是基石，29是動態(tài)風險監(jiān)測。

罰則：同樣是第四十五條。

第三十條　重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應對措施等。

解讀：本條強調的是重要數(shù)據(jù)處理者，首先要認定是重要數(shù)據(jù)，重要數(shù)據(jù)處理者強制要求定期開展風險評估，并向各自行業(yè)領域的主管部門報送風險評估報告。并強調了風險評估報告的內容。

罰則：第四十五條。

第三十一條　關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關部門制定。

解讀：根據(jù)《網(wǎng)絡安全法》第三十七條規(guī)定，關基產生的數(shù)據(jù)應當在境內存儲，確實需要出境的，應當經(jīng)過網(wǎng)信辦會同國務院有關部門評估。其他數(shù)據(jù)處理者參照《數(shù)據(jù)出境安全評估辦法》2022年9月1日起已經(jīng)正式實施。

罰則：第四十六條。限期整改、警告，可以并處10到100萬，主管人員和直接責任人員1到10萬罰款；情節(jié)嚴重的，100到1000萬罰款，主管人員10到100萬罰款。

第三十二條　任何組織、個人收集數(shù)據(jù)，應當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應當在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數(shù)據(jù)。

解讀：本條在數(shù)據(jù)安全法中沒有明確對應的罰則，但是如果竊取或者非法方式獲取數(shù)據(jù)，也會觸發(fā)本法第四十五條，未履行數(shù)據(jù)安全保護義務。同時也可能觸犯《刑法》侵犯公民個人信息罪，《網(wǎng)絡數(shù)據(jù)安全管理條例》第五十七條，《個人信息保護法》第六十六條。

第三十三條　從事數(shù)據(jù)交易中介服務的機構提供服務，應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。

解讀：雖然法律規(guī)定禁止非法買賣數(shù)據(jù)，但是合法合規(guī)的數(shù)據(jù)是沒問題的，比如經(jīng)過脫敏處理后的數(shù)據(jù)。本條款說的是數(shù)據(jù)交易中介，比如數(shù)據(jù)交易所，必須審核交易雙方的身份，和數(shù)據(jù)來源，還要留存審核和交易記錄。

罰則：第四十七條，限期整改，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上一百萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第三十四條　法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。

第三十五條　公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數(shù)據(jù)，應當按照國家有關規(guī)定，經(jīng)過嚴格的批準手續(xù)，依法進行，有關組織、個人應當予以配合。

解讀：本條規(guī)定，公安、國安等需要調取數(shù)據(jù)的，組織和個人必須配合。罰則：第四十八條，拒不配合的，限期整改，給予警告，并處5到50萬罰款，主管人員和直接責任人員1到10萬罰款。

第三十六條　中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據(jù)。

解讀：外國司法機構來中國調取數(shù)據(jù)，沒有主管部門批準，個人組織不允許提供數(shù)據(jù)。比如國外安全機關想調取阿里云的某網(wǎng)站注冊者信息，未經(jīng)批準，阿里云不準提供。不光是中國企業(yè)，只要是境內的組織，不管你是外企還是合資企業(yè)，未經(jīng)批準都不可以提供數(shù)據(jù)。比如特斯拉、蘋果等公司在中國境內產生的數(shù)據(jù)，未經(jīng)允許都不允許出境。

罰則：第四十八條，給與警告，并處10到100萬罰款，主管人員和直接責任人員，1到10萬罰款，造成嚴重后果的，100到500萬罰款，主管人員和直接責任人員5到50萬罰款。

第五章 政務數(shù)據(jù)安全與開放

第三十七條　國家大力推進電子政務建設，提高政務數(shù)據(jù)的科學性、準確性、時效性，提升運用數(shù)據(jù)服務經(jīng)濟社會發(fā)展的能力。

第三十八條　國家機關為履行法定職責的需要收集、使用數(shù)據(jù)，應當在其履行法定職責的范圍內依照法律、行政法規(guī)規(guī)定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據(jù)應當依法予以保密，不得泄露或者非法向他人提供。

第三十九條　國家機關應當依照法律、行政法規(guī)的規(guī)定，建立健全數(shù)據(jù)安全管理制度，落實數(shù)據(jù)安全保護責任，保障政務數(shù)據(jù)安全。

第四十條　國家機關委托他人建設、維護電子政務系統(tǒng)，存儲、加工政務數(shù)據(jù)，應當經(jīng)過嚴格的批準程序，并應當監(jiān)督受托方履行相應的數(shù)據(jù)安全保護義務。受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數(shù)據(jù)。

第四十一條　國家機關應當遵循公正、公平、便民的原則，按照規(guī)定及時、準確地公開政務數(shù)據(jù)。依法不予公開的除外。

第四十二條　國家制定政務數(shù)據(jù)開放目錄，構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺，推動政務數(shù)據(jù)開放利用。

第四十三條　法律、法規(guī)授權的具有管理公共事務職能的組織為履行法定職責開展數(shù)據(jù)處理活動，適用本章規(guī)定。

第六章 法律責任

第四十四條　有關主管部門在履行數(shù)據(jù)安全監(jiān)管職責中，發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風險的，可以按照規(guī)定的權限和程序對有關組織、個人進行約談，并要求有關組織、個人采取措施進行整改，消除隱患。

第四十五條　開展數(shù)據(jù)處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

違反國家核心數(shù)據(jù)管理制度，危害國家主權、安全和發(fā)展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，并根據(jù)情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；構成犯罪的，依法追究刑事責任。

第四十六條　違反本法第三十一條規(guī)定，向境外提供重要數(shù)據(jù)的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

第四十七條　從事數(shù)據(jù)交易中介服務的機構未履行本法第三十三條規(guī)定的義務的，由有關主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上一百萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第四十八條　違反本法第三十五條規(guī)定，拒不配合數(shù)據(jù)調取的，由有關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

違反本法第三十六條規(guī)定，未經(jīng)主管機關批準向外國司法或者執(zhí)法機構提供數(shù)據(jù)的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。

第四十九條　國家機關不履行本法規(guī)定的數(shù)據(jù)安全保護義務的，對直接負責的主管人員和其他直接責任人員依法給予處分。

解讀：國家機關未履行數(shù)據(jù)安全保護義務，比如政府部門未做好數(shù)據(jù)安全防護，導致數(shù)據(jù)泄露，不會被罰款，因為國家機關經(jīng)費來源于財政撥款，罰款等于國家罰國家，沒有意義。雖然不能罰款，但是可以對主管人員和直接責任人員進行處分，依照《公務員法》《監(jiān)察法》對公職人員給與處分，警告、記過、降職、撤職、開除。

第五十條　履行數(shù)據(jù)安全監(jiān)管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的，依法給予處分。

第五十一條　竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)處理活動排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規(guī)的規(guī)定處罰。

第五十二條　違反本法規(guī)定，給他人造成損害的，依法承擔民事責任。

違反本法規(guī)定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第七章 附則

第五十三條　開展涉及國家秘密的數(shù)據(jù)處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

在統(tǒng)計、檔案工作中開展數(shù)據(jù)處理活動，開展涉及個人信息的數(shù)據(jù)處理活動，還應當遵守有關法律、行政法規(guī)的規(guī)定。

第五十四條　軍事數(shù)據(jù)安全保護的辦法，由中央軍事委員會依據(jù)本法另行制定。

第五十五條　本法自2021年9月1日起施行。

解讀：處理國家秘密或者軍事數(shù)據(jù)的分別適用《中華人民共和國保守國家秘密法》，和軍委特殊制定的辦法，不適用本法。

文件硬盤數(shù)據(jù)銷毀