数据安全法(草案)（数据安全法草案说明）

数据安全法（草案）

简介

《数据安全法（草案）》是中国首部专门针对数据安全的综合性法律，旨在加强数据保护，维护公民个人信息安全和国家数据安全。

第一章 总则

明确数据安全的法律地位和重要性

规定数据处理活动的基本原则和要求

界定相关概念，如个人信息、敏感个人信息、大数据等

第二章 数据处理

规范数据收集、存储、使用、传输、加工等活动

明确数据主体（个人、组织）的权利和义务

规定数据处理者的责任和合规要求

第三章 数据安全

提出数据安全保护等级制度

要求采取技术、管理、组织等措施保障数据安全

规定数据泄露和安全事件的报告和处置程序

第四章 数据跨境传输

规范涉及国家安全和个人信息的敏感个人信息跨境传输

要求跨境数据传输符合法律法规要求

建立数据安全审查机制

第五章 数据处理活动监督

设立数据安全监管机构

规定监管机构的职责和权限

提出对数据处理活动进行监督检查的措施

第六章 法律责任

明确数据处理者违反法律法规的法律责任

规定行政处罚、罚款、刑事责任等处罚措施

第七章 附则

规定法律的适用范围和效力

明确与其他法律法规的关系

提出法律的实施和后续工作安排

详细说明

数据分类和等级保护制度

《草案》将数据分为三级：

一般数据：

不涉及个人隐私或国家安全的数据

重要数据：

涉及个人隐私或国家安全的敏感数据

核心数据：

对国家安全至关重要且涉及国家核心利益的数据根据数据的重要性程度，对数据进行分类并实行不同等级的保护措施。

数据处理者的合规要求

数据处理者在收集、存储、使用、传输和处理数据时，必须遵守以下要求：

合法、正当、目的明确

采取必要的安全措施保障数据安全

征得个人信息主体的同意（对于敏感个人信息）

记录和留存数据处理活动

定期进行安全评估和风险管理

数据泄露和安全事件处置

如果发生数据泄露或安全事件，数据处理者必须采取以下措施：

立即向监管机构报告

采取措施控制和减轻损失

通知受影响的个人

配合监管机构的调查和处置

跨境数据传输审查

涉及国家安全或个人信息的敏感信息跨境传输，必须经过数据安全审查机构的审查批准。

监督和执法

《草案》设立数据安全监管机构，负责对数据处理活动进行监督检查，并对违法行为进行处罚。