此篇文章发布距今已超过366天,您需要注意文章的内容或图片是否可用!
11月23日,工信部官网发布信息,为贯彻落实《数据安全法》、《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展,工业和信息化部网络安全管理局研究起草了《工业和信息化领域数据安全行政处罚裁量指引(试行)》(以下简称:《裁量指引》),现向社会公开征求意见。《管子· 明法》曾说过,“有法度之制者,不可巧以诈伪,有权衡之称者,不可欺以轻重。” 《说文解字》曰,“规,有法度也。”可见,法和度是不可分离的,执法需要有力度,更需要遵循尺度。奇安信集团副总裁、数据安全首席科学家刘前伟认为,《裁量指引》征求意见稿的出台,一是为数据处理者明确了数据安全保护义务,并提供了安全合规建设的落地指引;二是细化处罚裁量基准和裁量尺度,使得监管部门执法有法可依、有章可循、有据有度。
《裁量指引》在内容上,指出了三大类数据安全行政处罚情形,数十小类细分情形。三大类情形包括不履行数据安全保护义务、向境外非法提供数据、不配合监管等。其中,不履行数据安全保护义务包含了20余种细分情形,向境外非法提供数据包括4种细分情形,不配合监管也包括4种细分情况,基本涵盖了数据安全违规违法的各种细分场景。
其次是明确和细化了处罚裁量基准,并统一了相关的裁量尺度。
《裁量指引》还明确了后果轻重情节的相关指标,包括数据指标、经济损失、影响范围等。例如“第十三条”指出,1000 万条以下一般数据被篡改、破坏、泄露或者非法获取、非法利用;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较短,或直接经济损失在1000 万元以内的,属于“后果较轻情节”。超过1000 万条一般数据被篡改、破坏、泄露或者非法获取、非法利用,或者涉及重要数据、核心数据的;对公民、法人和组织合法权益、社会公共利益造成损害的持续时间较长,或直接经济损失超过1000 万元且在5000 万元以内的;影响范围较大,涉及多个企业,或涉及跨地区的;其他对行业发展、社会稳定和国家安全造成较重后果的,属于“后果较重情节”。如果被篡改、破坏和泄露数据量超过1亿,经济损失超过5000万,就属于“后果严重情节”。同时,结合违法行为和造成危害后果的不同程度,以及对执法的配合程度,《裁量指引》设定了不予行政处罚、减轻行政处罚、从轻行政处罚和从重行政处罚四种不同情形,进一步明确了行政处罚裁量基准。过去几年,我国陆续出台了《网络安全法》、《数据安全法》、《个人信息保护法》(简称“三大上位法”)等法律法规,初步搭建起数字经济安全制度的基本框架体系。但细化到各个行业部门、细分领域,目前还存在缺乏落实法律规章所需要的配套细则、落地执行要求的现象。而《裁量指引》征求意见稿的发布,细化了行政处罚裁量基准和尺度,为数据合规与数据安全保护义务、数据安全监管的落地执行,明确了相关要求和落地指引,使得工业和信息化领域的数据安全行政处罚工作更加明确规范,势必将对数据安全合规的加速落地,起到实质性推动作用。
2023年以来,从国家网信办3月发布的《网信部门行政执法程序规定》,到7月央行发布的《中国人民银行业务领域数据安全管理办法(征求意见稿),再到还是近期工信部发布的《裁量指引》),都标志着数据安全监管的常态化时代已经来临。可以预见,随着法律体系细则的不断完善和补齐,数据安全合规也将加速全面性、实质性的落地。
面对不断趋严的监管形势,企业务必在网络安全、数据安全和个人信息保护等问题上做好安全合规工作,以避免重蹈滴滴、知网等被高额处罚等类似事件的覆辙。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com
还没有评论,来说两句吧...