金鹏研究 | 《数据安全法》要点梳理及企业合规建议

｜引言｜

2021年6月10日中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》（以下简称“《数据安全法》”），该法将自2021年9月1日起施行。这部法律是中国数据安全领域的基础性法律，也为我国数据安全保护提供了直接性的法律依据，与《网络安全法》及即将出台的《个人信息保护法》一同构成我国信息安全领域的基础性法律体系。

《数据安全法》确立了我国数据安全立法的基本结构，明确了国家自上而下的监管方向，也为企业进行数据处理过程中的合规建设提出了明确的参考及指引，本文旨在初步梳理《数据安全法》的要点，从而为企业应对《数据安全法》出台带来的合规义务提供分析及建议。

一

《数据安全法》要点梳理

1、《数据安全法》明确了域外管辖效力

数据具有高度流动性和全球性。为应对全球数据市场日益激烈的竞争，各国在关于数据保护领域的立法常选择扩张数据保护方面法规的管辖范围。欧盟“通用数据保护条例”（General Data Protection Regulation,以下简称“GDPR”）第三条规定：“本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内”，这一效果管辖的条款拓宽了数据保护规则的适用范围，也增加了GPDR规则在全球范围内的影响力。美国“澄清境外合法使用数据法案”（CLOUD ACT）生效，为美国执法机构获取储存于美国境外的数据提供了有限机制，一定程度上扩张了美国执法机构获取境外数据的能力。

为应对数据市场日益激烈的竞争趋势及维护我国数据利益，《数据安全法》第二条第二款规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”这一规定拓展了《数据安全法》的适用范围，赋予《数据安全法》一定的域外适用效力，与国际上大多数国家通过国内法相关规定扩张数据保护管辖范围的潮流相适应。本条体现了我国在数据市场竞争中的战略考量，有利于维护我国在国际数据市场中对数据主权的掌控力及数据利益。

2、《数据安全法》提升了罚则，提高企业违规成本

《数据安全法》第六章规定了各个主体违反数据保护义务所对应的责任。

（1）加重了开展数据处理活动的相关主体不履行数据安全保护义务的责任。开展数据处理活动的组织、个人，不履行数据安全保护义务的，拒不改正或者造成大量数据泄露等严重后果的，可被处以警告，以及最高额两百万的罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，直接负责的主管人员和其他直接责任人员可能被处以最高二十万元的罚款。

（2）大幅提高违规向境外执法机构、司法机构提供境内数据的处罚金额上限。企业如未经主管机关批准向外国司法或者执法机构提供数据的，可能被有关主管部门处以警告，或并处十万元以上一百万元以下罚款；造成严重后果的，可能被处以一百万元以上五百万元以下罚款，并可能被责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，直接负责的主管人员和其他直接责任人员可能被处以最高额五十万元罚款。

（3）强调对国家核心数据管理制度及重要数据跨境流动的管理，制定了更高的罚则上限。开展数据处理活动的组织、个人违反国家核心数据管理制度，危害国家主权、安全和发展利益的，可能被处以最高额一千万元的罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。向境外提供重要数据的，情节严重的，也可能被处以最高额一千万元的罚款，且直接负责的主管人员和其他直接责任人员面临的罚款金额上限也提高至一百万元。

行政处罚力度的加强及高额的罚款增加了企业的违规成本，《数据安全法》生效后，企业需要积极采取措施应对，加大投入以满足数据安全保护的合规要求。

3、《数据安全法》提出建立数据分类分级保护制度

《数据安全法》第二十一条明确了国家建立数据分类分级保护制度，“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”本条明确了国家建立数据分类分级保护制度，自上而下的数据分类制度也将成为我国数据安全的基本性制度。

因此，对于数据的分类标准，数据类别的界定、识别及具体的保护要求是企业寻求《数据安全法》合规所需要关注的重点问题。《数据安全法》赋予各地区、各部门、各行业领域细化本地区、本部门、本领域的重要数据具体目录的权利，保护重点数据。这使得各主体得以根据不同地区、不同行业的实际情况认定重要数据，制定差异化的数据管理规范，数据安全保护制度更具灵活性，也使得真正重要的数据得到有效保护，并促进其他一般类型数据的利用及流动。

4、《数据安全法》加强行业自律，明确行业自律监管

《数据安全法》第九条体现了国家支持行业组织等主体共同参与数据安全保护工作的基本态度。根据《数据安全法》第十条，相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。本条规定表明《数据安全法》要求加强行业自律，采用了国家的立法模式与行业的自律规范相结合的综合立法模式，明确了行业监管的相关规定。

此外，《数据安全法》强调与行业组织在数据安全风险评估、防范、处置等方面开展协作（第十八条），各地区、各部门应当根据行业、领域制定重要数据具体目录（第二十一条）。因此，企业应当做好加入行业自律组织的准备，加强对数据交易商业化运营，数据经济价值变现模式的合规性及对企业、行业相关数据安全义务的重视，持续关注本行业自律组织出台的规范，关注本行业在数据保护方面的重点数据名录等规范，切实配合行业协会等组织的自律性监管。

5、《数据安全法》加强跨境数据流动的监管

数据自身具有高度流动性，数据的收集、处理、分析、应用都具有高度全球化的特征，跨境数据流动促进数据经济价值变现的同时也对国家数据安全造成冲击。跨境数据流动关系到各国数据主权、数据利益及数据安全等重要问题，因此一直是国家立法所关注的重点。

《数据安全法》第十一条明确国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。由此可知，国家对于数据跨境流动采用“促进数据跨境安全、自由流动”的基本态度，即国家重点监管重要数据、核心数据的跨境流动，促进数据跨境安全，另一方面鼓励一般数据的跨境流动，促进数据自由流动，推动大数据经济价值变现。

《数据安全法》用多个条文进一步明确了对跨境数据流动的监管要求，具体条文梳理如下：

上述规定展现了我国对于数据出口采取严格限制的态度，以应对境外司法或执行机构不当获取中国境内数据的风险，体现了国家维护中国在数据市场中数据主权及数据利益的战略考量。

因此，需要进行数据跨境流动的企业，应当针对自身数据的不同类型，遵守《数据安全法》所明确的合规义务。从事数据业务的供应商或者数据交易平台的中介平台、服务提供商等应当按照《数据安全法》的相关要求，尽早梳理企业内部既有数据活动的合规性，统筹做好相应合规安排，避免因数据跨境流动违反相关监管规定，影响正常业务开展。

二

企业合规义务及初步应对措施建议

1、《数据安全法》明确企业数据安全保护义务

《数据安全法》第四章规定了相关主体在开展数据处理活动时所应当遵守的数据安全保护义务，这是企业最直观的数据安全保护领域的合规义务。

（1）建构企业内部数据安全保护合规机制。根据《数据安全法》第二十七条，企业开展数据处理活动时，应当建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

（2）加强数据处理活动风险监测及预警，并制定应急响应机制及补救措施。根据《数据安全法》第二十九条，数据处理者在开展数据处理活动时，应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

（3）数据收集的目的限制原则，采取合法正当的方式获取数据。根据《数据安全法》第三十二条强调了数据收集的基本原则，即“合法、正当的方式”，并规定应当在法律、行政法规规定的目的和范围内收集、使用数据。

（4）配合公安、国安机关调取数据的要求。根据《数据安全法》第三十五条，公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

（5）从事数据交易的中介机构的特别数据保护义务。《数据安全法》第三十三条规定：“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。”因此，从事数据交易平台的中介服务商或数据供应商等在数据处理过程中，应当特别关注数据交易中介机构的特别数据保护义务，制定内部相应的审核流程及备案存档制度以应对合规要求。

2、《数据安全法》强调重要数据的安全保护义务

《数据安全法》强调对重要数据的保护，对于关系到国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据实行更加严格的管理制度。《数据安全法》规定的重要数据处理者的数据安全保护义务如下：

（1）定期开展风险评估。数据处理者在处理重要数据时应当定期开展风险评估，并向有关主管部门报送风险评估报告，报告内容包含重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

（2）明确数据安全负责人和管理机构。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

（3）重要信息出境的特别注意义务。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。而本次《数据安全法》终稿对于其他数据处理者在处理重要数据时，也新增了“相关出境安全管理办法将由国家网信部门会同国务院有关部门制定”的相关规定，这一规定拓展了重要数据出境的特别注意义务的适用主体范围，不再局限于“关键信息基础设施运营者”，也包含其他关键信息处理者。《数据安全法》的管理制度在生效后也将转化为企业所必须遵守的合规义务。

（4）国家核心数据采取严格的管理制度。国家核心数据包括“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”，本次《数据安全法》并未针对国家核心数据的保护制定具体的管理义务，但已明确表明对这类数据将采取更加严格的管理制度。可以预见，未来国家将制定其他具体规范，进一步加强对于国家核心数据的管理。

3、企业数据安全合规初步应对措施建议

（1）持续关注重点数据目录，识别、界定并对数据进行分类。数据分类管理促进一般性数据的流通及利用，也加强对重要数据及核心数据的监管。针对这一管理方向，为促进数据流通及数据经济利用，企业应当持续关注国家各地区、各行业对“重要数据”的识别与界定，主动了解重要数据目录，并根据针对不同的数据分类实行不同程度的保护，加强对重要数据、国家核心数据的严格管理。因此，企业应当持续关注并跟进《数据安全法》生效后出台的相关配套法规、行业规范、以及重要数据目录等更新情况。

（2）根据数据分级的规定调整企业内部数据分类。企业应当在了解本地区、本行业相关的数据分类标准的基础上，同步开展企业内部评定，根据国家标准对于企业日常生产经营中涉及的数据进行内部分类分级，建立配套的数据分类分级制度，亦或是按照重要数据分类标准等相关规定对企业自身原有的数据分类分级制度进行更新，完成制度衔接。

（3）加强重点数据的保护。根据《数据安全法》的规定，进行数据分类的标准主要包括“数据在经济社会发展中的重要程度”以及该数据一旦遭到不当利用“对国家安全、公共利益或者个人、组织合法权益造成的危害程度”等。对于重要数据，企业应当试行相较于其他类型数据更高标准的保护措施。企业可采取设立数据安全保护内部机构，明确数据安全负责人，对重要数据采用加密或备份等保护手段，并针对重要数据的使用状况定期开展风险评估并报送风险评估报告，从而满足《数据安全法》的合规义务，避免潜在的行政处罚。

三

小结

作为我国数据安全领域的基础性法律，《数据安全法》的出台对于我国数据开发利用、数据安全领域的商业创新以及发展数据经济等方面的合规指引都具有重要意义。

随着数据技术的推广及商业创新，《数据安全法》的规定对于企业在经营过程中开展数据处理活动也可能产生重要影响，随着违规成本的增加，《数据安全法》的相关规定会直接影响各类企事业单位未来的经营模式及数据保护义务。

《数据安全法》将于2021年9月1日施行，我们建议企业应当结合《数据安全法》的具体规定，尽快梳理评估企业内部既有的数据安全保护制度的合规性，并进行相应的合规建设及制度安排。但具体情况下，企业的业务是否受到《数据安全法》的影响，影响的强度、具体的风险评估以及应对措施等，还需要综合评估企业自身情况作出具体合规安排，相关企业尽快寻求专家意见。

以上图片来源于网络

作者介绍

赵琦娴

律师

18520523332

zqx@kingpound.com

广州金鹏律师事务所

中国广州仲裁委员会仲裁员

广州互联网法院特邀调解员

入选“广东省涉外律师领军人才库”

 赵琦娴律师擅长办理与公司有关纠纷、合同类纠纷、新型担保类纠纷等争议解决。

刘雨祺

liuyuqi@kingpound.com

18819442592

刘雨祺毕业于中国人民大学，获法律硕士学位。

主要从事诉讼仲裁、合同纠纷、投融资争议解决、公司法律事务等。

▪ 往期推荐 ▪

全国优秀律师事务所

金鹏律师事务所成立于1993年，是广州第一家市属合伙制律师事务所，目前已发展成为华南地区最具规模的综合大型律师事务所之一，曾获全国优秀律师事务所、司法部律师行业创先争优活动示范点、广东省文明律师事务所、广州市十佳律师事务所等50多项荣誉称号。

深耕粤港澳

服务大湾区，沿着“一带一路”拓展

国内办公室

境外办公室

忠信勤勉      厚德重法