清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

问:数据交易行为合法吗?

答:数据安全法规范的对象是数据活动。什么是数据活动,是否包括数据交易?《数据安全法(草案)》第三条规定,“数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。”因此可以看出,数据安全法支持包括数据交易在内的数据活动,希望促进数据开发利用、让数据发挥更大价值。

这一点也可以从相应其他规定获得印证。数据安全法主要宗旨保障数据安全的同时,促进数据开发利用,并保护在这个过程中的相关合法权益。《数据安全法(草案)》第一条规定,“为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”第五条规定,“国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。”第十七条规定,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场

问:“数据”是什么?

答:《数据安全法(草案)》第三条规定,“本法所称数据,是指任何以电子或者非电子形式对信息的记录。”而《网络安全法》第七十六条规定,网络数据“是指通过网络收集、存储、传输、处理和产生的各种电子数据。”可以认为,《数据安全法(草案)》中的“数据”涵盖了《网络安全法》中的“网络数据”。因此《数据安全法(草案)》中的包括数据交易在内的数据活动有关规范应该是适用于包括网络数据交易在内的有关活动。

《网络安全法》第七十六条规定的个人信息,“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”与《数据安全法(草案)》的有关数据规定内在是一致的。

另外根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

问:数据交易主体有什么要求?

答:《数据安全法(草案)》第二十五条规定,“开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。”第二十六条规定,“开展数据活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。”

开展数据活动应当加强风险监测。《数据安全法(草案)》第二十七条规定,“开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。”

对相关专业机构也有特殊要求。《数据安全法(草案)》第三十条规定,“从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”第三十一条规定,“专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部 门会同有关部门制定。”

问:收集、处理数据信息需要注意什么?

答:《数据安全法(草案)》第二十九条规定,“任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。”

《民法典》第一千零三十五条规定,“收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,不得过度收集、处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但法律、行政法规另有规定的除外;(二)公开收集、处理信息的规则;(三)明示收集、处理信息的目的、方式、范围;(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的使用、加工、传输、提供、公开等。”

《网络安全法》第四十条规定,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”第二十二条第三款规定,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”第四十三条规定,“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

问:向他人提供数据需要注意什么?

答:《数据安全法(草案)》相对而言规定得比较原则,但也很明确。第五条强调“鼓励数据依法合理有效利用,保障数据依法有序自由流动”的同时,第二十五条要求“开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”。

《网络安全法》第四十二条规定,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

《民法典》第一千零三十八条规定,“信息收集者、控制者不得泄露、篡改其收集、存储的个人信息;未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或可能个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关部门报告。”

对于国家机关及其工作人员对外提供数据我国几乎所有相关法律都进行了规定。《数据安全法(草案)》第三十七条规定,“国家机关委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。”《民法典》第一千零三十九条规定,“国家机关及其工作人员对于履职过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或向他人非法提供。”《网络安全法》第四十五条规定,“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”

问:非法获取、出售公民个人信息会有什么后果?

答:《数据安全法(草案)》第八条要求“开展数据活动,必须遵守法律、行政法规,尊重社会公德和伦理,遵守商业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害公民、组织的合法权益”。

《网络安全法》第四十四条规定,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”

我国《刑法》第二百五十三条之一规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

(十)其他情节严重的情形。

实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(二)造成重大经济损失或者恶劣社会影响的;

(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

(四)其他情节特别严重的情形。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条规定,为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)利用非法购买、收受的公民个人信息获利五万元以上的;

(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

(三)其他情节严重的情形。

实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

问:有关机构需要调取数据,应如何处理?

答:因国家安全需求或侦查犯罪需要,依程序办理,其他人应予配合。《数据安全法(草案)》第三十二条规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

境外执法机构要求调取数据,相关主体应当报告,批准后才能实施。《数据安全法(草案)》第三十三条规定,境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。