數據安全合規(guī)實務

第一章 數據安全合規(guī)的體系 / 001

第一節(jié) 我國數據安全立法體系 / 002

一、 法律法規(guī) / 003

二、 司法解釋 / 012

三、 行政法規(guī)與部門規(guī)章 / 014

四、 國家標準與行業(yè)標準 / 021

五、 我國數據安全立法匯總 / 023

第二節(jié) 我國數據安全監(jiān)管體系 / 027

一、 數據安全監(jiān)管體系概述 / 027

二、 重要監(jiān)管部門職能概述 / 029

三、 專項執(zhí)法活動 / 038

四、 行業(yè)自律與自我監(jiān)管 / 042

第三節(jié) 數據安全合規(guī)的基本原則 / 044

一、 合法性原則 / 044

二、 合理性原則 / 046

三、 平衡性原則 / 048

四、 公益性原則 / 050

第二章 數據安全合規(guī)基礎制度 / 053

第一節(jié) 數據分類分級保護制度 / 053

一、 數據分類分級保護制度概述 / 053

二、 《數據安全法》 關于數據分類分級保護制度的規(guī)定 / 054

三、 基于現行法的數據分類分級方案 / 055

第二節(jié) 國家數據安全機制 / 061

一、 國家數據安全風險評估、 監(jiān)測預警機制 / 062

二、 國家數據安全應急處置機制 / 064

三、 國家數據安全審查機制 / 067

第三節(jié) 數據出口管制制度 / 069

一、 數據出口管制制度概述 / 069

二、 數據出口管制與數據出境評估 / 072

三、 違反出口管制措施的處罰 / 073

第四節(jié) 數據領域對等反歧視措施 / 074

一、 數據領域對等反歧視措施設立背景 / 074

二、 數據領域的歧視措施與反歧視措施 / 075

第三章 數據安全負責人和管理機構 / 080

第一節(jié) 數據安全的組織設計 / 080

一、 域外數據安全組織設計 / 081

二、 國內法上的數據安全組織設計 / 082

第二節(jié) 數據安全負責人 / 083

一、 數據安全負責人的概念與特點 / 083

二、 數據安全負責人的背景審查、 任用 / 086

三、 數據安全負責人的職責 / 087

四、 相關制度的對比 / 089

第三節(jié) 數據安全管理機構 / 090

一、 決策層 / 091

二、 管理層 / 091

三、 執(zhí)行層 / 091

四、 監(jiān)督層 / 097

第四節(jié) 供應鏈上下游中數據安

全負責人的職責 / 098

一、 數據供應鏈安全概述 / 098

二、 供應鏈上下游數據安全負責人的職責 / 0100

第五節(jié) 外包方數據安全負責人的職責 / 0103

一、 數據外包服務中的安全隱患 / 0103

二、 數據外包服務的性質和法律后果 / 105

三、 外包方數據安全負責人的職責 / 107

第四章 數據資產管理與訪問控制 / 112

第一節(jié) 數據資產及其類型 / 112

一、 從發(fā)展史看數據資產的規(guī)范形成 / 112

二、 數據資產及其特征 / 114

三、 數據資產的類型 / 117

第二節(jié) 數據資產的權屬問題 / 120

一、 數據資產確權的意義 / 120

二、 我國數據資產確權的實踐方案 / 121

三、 數據權屬的理論探討 / 126

第三節(jié) 數據介質管理 / 130

一、 介質存儲期限 / 130

二、 介質存儲位置 / 131

三、 介質安全 / 133

第四節(jié) 數據訪問控制規(guī)則合規(guī) / 135

一、 總原則: 防治未經授權的訪問 / 136

二、 細化: 等級保護國家標準 / 137

三、 “互聯網 ”: 部門規(guī)章領域調控 / 140

四、 爬蟲程序規(guī)制 / 143

第五章 數據安全義務清單 / 147

第一節(jié) 數據安全保護義務履行方式 / 149

一、 數據安全管理制度 / 150

二、 數據安全管理規(guī)程 / 153

第二節(jié) 風險處置義務 / 155

一、 風險處置義務的內涵 / 155

二、 數據安全事件處置程序 / 160

三、 告知時限與頻次 / 160

第三節(jié) 風險評估義務 / 162

一、 數據安全風險評估義務概述 / 162

二、 風險評估的主體和其他參與者 / 165

三、 重要數據的風險評估過程 / 167

四、 含個人信息數據的風險評估過程 / 170

五、 風險評估報告 / 171

六、 風險評估與其他機制的銜接 / 175

第四節(jié) 數據中介義務 / 176

一、 要求數據提供方說明數據來源的義務 / 178

二、 審核交易雙方身份的義務 / 179

三、 留存審核、 交易記錄的義務 / 181

第五節(jié) 數據安全執(zhí)法協(xié)助義務 / 181

一、 信息收集存儲義務: 收集內容與存儲期限 / 182

二、 數據報送義務: 協(xié)助邊界 / 183

三、 網絡安全執(zhí)法協(xié)助義務與個人信息保護義務的協(xié)調問題 / 185

四、 數據處理者的執(zhí)法協(xié)助成本 / 186

第六章 數據出境的合規(guī)措施 / 190

第一節(jié) 數據出境合規(guī)概述 / 190

一、 數據出境涉及的法律問題 / 190

二、 數據跨境與情報監(jiān)控 / 194

第二節(jié) 數據出境合規(guī)中的主體 / 195

一、 數據出境規(guī)定的主體范圍 / 195

二、 數據接收方的資質標準和數據出境合規(guī)工具 / 197

第三節(jié) 數據出境合規(guī)中的數據類型 / 203

一、 限制出境的數據類型 / 203

二、 不得出境的數據 / 207

第四節(jié) 數據出境行為 / 207

一、 屬于數據出境的行為 / 208

二、 不屬于數據出境的行為 / 209第五節(jié) 數據出境安全評估 / 210

第七章 數據安全法律責任 / 215

第一節(jié) 數據安全責任概述 / 215

第二節(jié) 數據處理者的行政法律責任 / 216

一、 存在較大風險的法律責任 / 216

二、 不履行數據安全保護義務的法律責任 / 217

三、 違反數據出境管理規(guī)定的法律責任 / 219

四、 從事數據交易中介服務的機構未履行說明審核義務

的法律責任 / 219

五、 非法數據處理活動的法律責任 / 220

第三節(jié) 數據處理者的刑事法律責任 / 222

一、 為境外竊取、 刺探、 收買、 非法提供國家秘密、 情報罪 / 222

二、 侵犯公民個人信息罪 / 224

三、 破壞計算機信息系統(tǒng)罪 / 226

四、 拒不履行信息網絡安全管理義務罪 / 228

第四節(jié) 數據安全負責人的法律責任 / 229