数据法学教程 课件 - 第6-10章 数据安全保护-数据法律救济

第六章

数据安全保护

第六章数据安全保护第一节

数据安全的概念和重要性第二节

数据安全的保护措施和方法第三节

数据泄露的应对和处理第一节数据安全的概念和重要性

一、数据安全的概念数据安全，是指采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。（一）数据安全是国家安全在数据治理层面的具体表现（二）数据安全是维护人民群众合法权益的客观需要（三）数据安全有助于促进数字经济健康发展二、数据安全的重要意义第二节数据安全的保护措施和方法（一）数据安全保护的物理安全措施（二）数据安全保护的技术安全措施（三）数据安全保护的组织性措施一、数据安全的保护措施（一）数据收集（二）数据存储（三）数据使用与加工（四）数据传输（五）数据提供与公开（六）数据销毁二、数据安全保护的方法方法制度保障技术工具保障第三节数据泄露的应对和处理1.造成相关数据主体财产损失2.造成相关数据主体的人格利益损害3.造成相关数据主体的声誉毁损4.造成国家安全、社会公共安全损害等一、数据泄露及其危害

数据泄露是指数据处理者因违反安全措施导致他人未经授权取得或知悉数据内容的各种情况。其危害主要体现为：1.数据分类2.数据分级3.数据处理者的数据分类分级流程二、数据泄露的防范（一）数据分类分级保护（二）数据安全风险评估1.重要数据风险评估制度2.重要数据以外其他数据的安全风险评估评估主体为数据处理者；评估对象为重要数据；评估内容包括重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施；风险评估应当定期进行；报送对象为有关主管部门。1.匿名化2.去标识化（三）数据脱敏（四）数据加密和访问控制（一）风险处置义务1.风险补救2.安全事件处置三、数据泄露的处理1.触发条件（二）数据泄露通知义务个人信息泄露“已经发生或可能发生”除了个人信息以外的其他数据泄露“已经发生”2.通知主体和通知对象通知主体为数据处理者；通知对象包括两个(1)受数据泄露影响的相关利益主体，如个人或用户，通知方式为“告知”；

(2)负有监管和保护职责的有关主管部门，通知方式为“报告”。3.通知内容

主要包括数据泄露的相关情况，如所泄露的数据种类、泄露的可能原因以及下一步计划采取的措施等。根据《个人信息保护法》第57条，包括以下方面：（1）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（2）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（3）个人信息处理者的联系方式。处置行为能够有效避免数据信息泄露、篡改、丢失造成危害经过匿名化处理的个人信息4.例外第七章数据交易与利用第七章数据交易与利用第一节

数据交易的概念和类型

第二节数据交易的原则和规则

第三节数据的合理利用和限制

第一节

数据交易的概念和类型一、数据交易的市场结构及参与者（一）数据交易的市场结构1.原始数据资源化阶段：涉及价值链上的授权和采集环节，对应着一级市场，即数据授权市场。

2.数据资源要素化阶段：涉及价值链上的归集、存储、加工以及资源/要素交易环节，对应着二级市场，即数据交易市场。3.数据要素产品化阶段：涉及价值链上的生产以及产品/服务交易环节，对应着三级市场，即数据产品/服务市场。（二）数据交易的参与者1.数据所有者：是拥有数据并愿意将其数据货币化的人，例如拥有关于自己的社交、财务、位置、健康数据的个人，以及收集有关其用户数据的公司。2.数据消费者：是寻求外部数据以改进他们的决策、产品设计、服务和客户管理的人或组织，例如广告商、软件开发商、零售商、制造商、电信服务提供商。3.数据经纪人：是一个中介，从数据所有者那里获取数据，整合后开放数据，然后将数据出售给数据消费者，并从数据交易中获利。二、数据交易的类型（一）单边数据提供商模式（二）双边交易平台模式第二节

数据交易的原则和规则

一、数据交易的原则（一）数据交易的一般商事原则一般商事交易原则的内容主要包括数据自由流通原则和数据公平交易原则。（二）数据交易的特殊商事原则1.数据自由流通原则2.数据公平交易原则3.数据交易透明原则4.数据交易安全原则二、数据交易的规则（一）数据流通行为规范问题1.数据的可流通性问题数据提供人提供的数据必须是可以流通的数据。2.数据提供人的义务数据提供人除了确保数据的可流通外，还需要确保流通数据的安全，尽到安全保障义务。（二）数据流通行为监管1.数据流通的安全要求2.跨境数据流通监管3.数据交易市场监管4.打击非法数据流通行为第三节数据的合理利用和限制一、数据的合理利用（一）以国家安全为合理利用基本原则《数据安全法》维护国家主权、安全和发展利益，第21条明确规定了数据分类分级保护机制，这是我国数字治理的典型特征。（二）以明确数据权属为前提1.数据资源的有效开发和利用2.数据相关主体间的利益协调3.激励数据应用开发技术的需要二、数据利用的限制（一）商户数据的利用应以市场自治与竞争公平为限（二）个人数据利用应以追求实现治理公平为限（三）公开数据应以公平利用原则为限第八章

数据跨境流动

第八章

数据跨境流动第一节数据跨境流动的概念和特点第二节数据跨境流动法律规制第三节数据跨境流动规制路径的完善第一节数据跨境流动的概念和特点

一、数据跨境流动的概念从国际组织及其他国家对数据跨境流动的管理规定与制度来看，数据跨境流动一般界定为跨越国界对存储在计算机中机器可读的数据进行处理、存储和检索。一般有两类理解：

一是数据跨越国界(流出和流入)的传输与处理；

二是数据虽然没有跨越国家，但能够被第三国的主体访问。二、数据跨境流动的特点复杂性：不同国家和地区对数据保护和隐私的法律法规存在显著差异，这使得数据跨境流动需要遵循多种法律框架和合规要求。全球性：在国际关系层面，数据跨境流动的治理成为各国博弈的新领域。在经济发展层面，数据跨境流动为企业提供了更广阔的市场和更多的商业机会。动态性：数据跨境流动的动态性反映在其法律和监管环境的不断变化上。第二节数据跨境流动法律规制

一、规范数据跨境流动的意义（一）维护国家安全（二）保护个人隐私（三）促进经济发展二、数据跨境流动规制面临的困境（一）数据跨境流动规制的“碎片化”趋势（二）数据自由流动与数据安全间存在矛盾（三）数据跨境流动治理合作难以达成三、全球数据跨境流动规制现状（一）欧盟以维护个人基本权利为重点以制定一体化数据治理制度框架为手段（二）美国以维护数字竞争优势和强化“长臂管辖”为主旨,构建数据跨境监管框架在有限例外的原则下促进数据高效自由地流动（三）日本和韩国日本在数据出境监管方面坚持数据主体同意原则,对数据出境的限制条件较少，

只对涉及国家安全的敏感或关键数据进行监管。

韩国已具备成熟的数据保护法律体系,主要包括

《个人信息保护法》《信用信息使用和保护法》《信息通信网络的促进利用与信息保护法》,称为“数据三法”。（四）中国建立起以《数据安全法》《网络安全法》《个人信息保护法》为核心的法律体系，形成了较为系统的数据出境管理机制。第三节数据跨境流动规制路径的完善

一、应对数据跨境流动风险的策略（一）法律应对策略1.法律框架的完善2.监管机制的强化3.国际合作的推进（二）技术应对策略1.数据加密2.数据脱敏3.区块链技术4.人工智能技术5.跨境数据传输协议二、数据跨境流动规制之协调性重塑（一）提高数据跨境流动规则的兼容性（二）完善相关法律法规,平衡自由流动与数据安全诉求（三）完善数据要素基础制度,打破数据流动壁垒第九章

数据法律责任

第九章

数据法律责任第一节数据法律责任的概念和特点第二节数据法律责任的构成要件和归责原则第三节数据法律责任的形式和承担方式第一节数据法律责任的概念和特点

一、数据法律责任的概念：指由于责任主体违反法定或约定的义务，或者因为法律的特殊规定，而必须承担的具有直接强制性的特定义务。按照承担责任的主体的不同，可以把数据法律责任分为自然人责任、法人责任与国家责任。按照法律责任性质的不同，可以把数据法律责任分为民事责任、行政责任、刑事责任三种。二、数据法律责任的特点（一）数据法律责任设置的法定性

（二）数据法律责任承担的国家强制性（三）数据法律责任追究的跨国性第二节数据法律责任的构成要件和归责原则

一、数据法律责任的构成要件（一）民事数据侵权行为的法律责任1.存在民事数据侵害行为2.损害后果的发生3.民事数据侵权行为与损害后果之间具有因果关系4.存在主观过错（二）行政数据侵害行为的法律责任1.存在行政数据侵害行为2.行政数据侵害行为的主体是行政机关及其工作人员3.行政数据侵害行为是相关数据法律规范或行政法律规范明确规定要承担责任的行为4.行为人具有行政法律责任能力（三）数据犯罪的刑事责任1.犯罪主体方面：实施侵害数据权的行为，依法应当承担刑事责任的自然人或单位2.犯罪主观方面：包括故意和过失3.犯罪客体方面：由刑法保护而被犯罪侵犯的数据关系。数据犯罪对象为数据和数据系统4.犯罪客观方面：数据犯罪活动的客观外在表现形式，包括危害行为和危害结果（四）侵害数据主权的国际法责任《国家对国际不法行为的责任条款草案》第2条规定了国际不法行为的构成要件，具体包括：1.必须是国家数据行为。国家数据行为是一种由国家发起、国家主导的数据行为。2.必须是违法数据行为。违法数据行为是指责任国违反国际法上的义务实施的数据行为。(一)民事数据侵权行为的法律责任的归责原则民事数据侵权行为属于一般侵权行为，因此应该适用过错责任原则(包含过错推定责任原则)，民事数据侵权行为也适用过错推定责任原则。民事数据侵权行为法律责任也存在免责事由，包括：(1)在自然人或者其监护人同意的范围内合理实施的行为；(2)合理处理该自然入自行公开的或者其他已经合法公开的信息，但是该自然人明确拍绝成者处理该信息侵害其重大利益的除外；(3)为维护公共利益或者自然人合法权益,合理实施的其他行为。（二）行政数据侵权赔偿责任的归责原则行政责任之归责原则概括为过错责任原则、违法责任原则和危险归责原则三大原则（三）数据犯罪刑事责任的归责原则数据犯罪主观方面包括罪过（犯罪故意和犯罪过失）、犯罪目的和犯罪动机等因素。但是刑事责任的追究应考虑主体的刑事责任能力，即行为人承担刑事责任所必须具备的刑法意义上辨认和控制自己行为的能力。第三节数据法律责任的形式和承担方式

一、数据法律责任的形式民事责任行政责任刑事责任国际法责任（一）民事责任：数据民事责任是数据法律关系主体违反相关义务依法应承担的赔偿等民事法律后果。1.数据民事责任是违反民事义务的法律后果。2.数据民事责任具有补偿性。3.数据民事责任具有强制性。4.数据民事责任承担方式以财产责任为主。（二）行政责任：数据行政责任，是由于行政数据侵害行为而应承担的法律后果。1.数据行政法律责任主体的特定性2.数据行政法律责任后果的唯一性3.数据行政法律责任追究机关的多样化（三）刑事责任：数据刑事责任是指行为人因实施刑法所规定的数据犯罪行为而应当承担的法律责任。1.数据刑事责任具有强制性2.数据刑事责任具有严厉性3.数据刑事责任具有专属性（四）国际法责任1.数据国际法律责任的主体与国际法主体相同2.数据国际法律责任的根据是国际数据侵权行为3.数据国际责任的性质具有特殊性二、数据法律责任的承担方式（一）民事数据侵权法律责任的承担方式（二）行政数据侵权法律责任的承担方式（三）数据犯罪的刑事责任的承担方式（四）侵害数据主权的国际法责任的承担方式（一）民事数据侵权法律责任的承担方式（1）停止侵害；（2）排除妨碍；（3）消除危险；（4）返还财产；（5）恢复原状；（6）赔偿损失；（7）赔礼道歉；（8）消除影响、恢复名誉。（二）行政数据侵权法律责任的承担方式（1）责令作出检查、通报批评；（2）赔礼道歉、承认错误；（3）恢复名誉、消除影响；（4）返还权益；（5）恢复原状；（6）停止违法行为；（7）责令履行职责；（8）撤销违法的行政行为；（9）纠正不当的行政行为；（10）赔偿损失。（三）数据犯罪的刑事责任的承担方式1.主刑。主刑是对行为人适用的主要刑罚，只能独立适用，不能附加适用，对犯罪分子只能判一种主刑。主刑分为管制、拘役、有期徒刑、无期徒刑和死刑。2.附加刑。附加刑是既可以独立适用又可以附加适用的刑罚。附加刑分为罚金、剥夺政治权利、没收财产。对在我国境内犯罪的外国人，可以独立或者附加适用驱逐出境。（四）侵害数据主权的国际法责任的承担方式1.停止侵害2.正式道歉3.恢复原状4.赔偿损失第十章

数据法律救济

第十章

数据法律救济第一节数据法律救济的概念和内容第二节数据法律救济的程序和规则第三节数据法律救济中行政救济与司法救济的效果的意义第一节数据法律救济的概念和内容

一、数据法律救济的概念与内涵（一）数据法律救济的概念数据法律救济是指在数据权利受到侵害或数据相关法律义务未被履行时，受害主体通过法律途径寻求权利恢复、损害赔偿、行为纠正或其他合法利益保护的制度性安排。（二）数据法律救济概念界定的必要性若缺乏对数据法律救济的清晰界定，理论研究将难以形成统一的分析框架；若概念模糊，司法机关在适用法律、认定权利和裁量救济措施时将面临较大不确定性，容易导致裁判标准不一，

损害司法公信力和权利救济的实效性。只有在概念明确的基础上，才能科学设计救济手段，

确保数据主体、数据控制者及相关利益方的合法权益得到有效保护。（三）数据法律救济概念的演变一方面，救济方式从单一的司法救济扩展到行政、技术和行业自律等多元化路径，强调预防性和系统性保护。

另一方面，数据法律救济更加关注对数据主体权利的整体维护，包括知情权、同意权、访问权和删除权等，推动了救济机制的创新与完善。二、数据法律救济的法理依据（一）数据权利理论数据权利的保护机制需兼顾数据流通与利用的效率以及权利主体的合法权益。（二）侵权责任理论数据侵权行为的构成要件主要包括违法行为、损害结果、因果关系和主观过错。三、数据法律救济的四种实现方式（一）行政救济：通过行政手段保护数据主体的合法权益（二）司法救济：通过司法程序保障数据主体的合法权益（三）社会救济：主要通过公众参与、非政府组织的介入以及媒体监督等方式实现（四）技术救济：主要通过技术手段来预防、控制和纠正数据隐私权的侵害，从而实现对数据主体的保护第二节数据法律救济的程序和规则一、行政救济的具体程