主体的安全保护义务与责任做出明确规定。
遭上门调查近来各类公司数据泄漏、滥用等消息亦是层出不穷。
对于上述乱象,此次《草案》均做出了相关规范在多位数据行业从业者看来,随着数据安全法的面世,当前行业发展将迎来更好的规范和机遇数据服务须持牌或备案
据悉,《草案》的主要内容包括:确立数据分级分类管理以及风险评估、监测预警和应急处置等安全管理基本制度;明确开展数据活动的组织、个人承担数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,规定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。
其中,《草案》明确提出,任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据在未取得许可或者备案,擅自从事专门提供在线数据处理等服务的经营者,由有关主管部门责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
《草案》除要求提供在线数据处理服务的服务者要依法取得经营业务许可或者备案外,还对从事数据有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以同时由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
回顾去年,从9月份开始,浙江、上海地区的多家大数据服务公司曝出接连被查的消息,不少机构的负责人被带走调查行业一时风声鹤唳一些大数据服务公司紧急关停业务据了解,多家大数据公司被查均是因为数据等方面业务违规。
有业内人士透露,警方主要扣下了某公司负责爬虫业务的有关工作人员,目前其他部门的人已经释放所谓"爬虫"就是采用编程技术,自动化搜集网页上的信息或数据,然后把搜集到的数据按照业务需求存储到自身数据库里爬虫技术一度是第三方大数据风控服务商的拳头产品,也是金融公司进行大数据风控必不可少的武器。
不过,网络爬虫也存在着诸多争议,比如,是否经过用户授权,是否存在过度爬取信息,爬取到的信息用途不明等有大数据公司从业者表示,利用爬虫技术违规收集个人信息只是第一步,随着大数据行业的竞争越发激烈,行业中数据窃取、滥用、倒卖,黑市横行。
信息泄露的用户轻则被XX骚扰,重则遭遇诈骗,套路贷、暴力催收上述从业者认为,随着大数据蕴含的巨大商业价值得到各方共识,一些不法分子针对数据进行处理、挖掘、使用与交易,形成了成熟的非法商业链条此次《草案》的规范主体包括了组织和个人,条款的设置参考了被称为史上最严的欧盟的数据安全法规(GDPR),这对于数据的合理规范使用、数据安全和保护都有促进作用。
划定了明确的"红线"和惩处标准,获得牌照和资质的数据公司来经营数据的流通和商业使用,此前大数据被滥用、泄露、失窃等乱象也会随之得到整治强调重要数据处理者责任值得注意的是,此次《草案》明确了开展数据活动的组织与个人有数据安全保护的义务和责任。
第四十二条规定指出,开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款。
另对于违反《草案》规定,给他人造成损害的,依法承担民事责任;构成违反治安管理处罚的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
近年来,境内外数据泄露事件频发,给公民的合法权益、企业商业利益均造成了严重损害,甚至对国家数据安全带来了挑战就在今年4月中旬,疑似国内多家银行等金融机构的226万张银行卡客户数据在境外黑客论坛上被出售,其中包括客户手机号、姓名、身份证号和联系地址等信息。
上述消息引发社会广泛关注业内律师表示,我国目前法律法规中,仅刑法对买卖、交易个人信息出台了相关法规,涉及数据泄露问题的法规仍存在空白此次《草案》对这一领域的完善是一大进步那么新规出台后,金融机构应如何按要求规范应用数据?对此,行业人士建议,可以根据《草案》的第四章,建立相关数据使用规章制度。
例如,首先,内部加强数据使用安全培训,落实责任《草案》第二十五条规定,开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任其次,在使用过程中加强风险监测,定期评估《草案》第二十七条、二十八条明确,开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
此外,还是数据的适度采集、依法使用内部生成、外部提供的数据必须在用户合法授权的情况下采集而来,不得未经许可滥用数据《草案》第二十九条规定,法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。
实际上,《草案》第十四条也指出,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系"这说明合规前提下,监管对于数据行业是鼓励的,实际上,国内数据行业刚开始发展,各个新型的科技行业都需要数据为基础,从银行方面来说,底层数据仓库,数据中台,上层的风控反欺诈,精准营销,还有可视化等等,都需要数据的支持。
安全法(草案)》可以看作是总则,还有很多配套细则,"相关法规是一系列的,有的已经推出,有的还在审议。
"其建议个人一方面注意保护自己的信息,一方面也要及时了解新发布的法规,保障个人信息数据得到有效保护和