千呼万唤始出来：《数据安全法》亮点及重要制度解读

数字经济时代，“数据”已经成为一种重要的生产要素，被视为21世纪的“石油”。但在重要性不断提升的同时，数据保护问题也愈发突出，成为各国网络治理的热点和难点。另一方面，由于数据已经成为国家基础性战略资源，全球围绕数据资源及新兴数字市场也正展开一场激烈博弈。在此背景下，数据治理不仅关乎数据本身的开发利用和安全问题，而且与国家主权、社会秩序和公共利益休戚相关。

2020年5月25日，全国人大常委会工作报告在“下一步主要工作安排”中明确指出，围绕国家安全和社会治理，制定生物安全法、个人信息保护法、数据安全法。自此，数据安全方面的立法进程备受全社会关注。

2020年6月28日，第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法（草案）》进行了审议，并公开向社会征求意见。在汲取了社会各界及专家的意见后，2021年4月29日，第十三届全国人大常委会第二十八次会议对进一步修改后《数据安全法（草案）》进行二次审议。2021年6月10 日，第十三届全国人大常委会第二十九次会议表决正式通过《中华人民共和国数据安全法》（以下简称“《数据安全法》”）。

《数据安全法》的出台，不仅夯实了以《国家安全法》为代表的国家安全法律体系，而且将与现行的《网络安全法》及不久后即将通过的的《个人信息保护法》共同构成我国信息领域的基础性法律。

本文将针对《数据安全法》的亮点和重要制度进行解读分析，以期更好地为企业提供实务指引。

一、在立法理念上，强调国家总体安全观，坚持“安全风险防范与数字经济发展并重”的数据安全立法模式

将数据安全上升到国家安全的高度，早在2015年施行的《国家安全法》就已确定。该法第二十五条明确提出，“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。《数据安全法》呼应了《国家安全法》这一要求。

《数据安全法》在第一条开宗明义列明：“为规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”在第四条进一步规定：“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”。可见，维护国家安全和保护利用数据是该法两大目标。

对于企业而言，应认识到，违反《数据安全法》的要求，除了可能遭受该法本身规定的处罚外，还可能因触犯其他涉及国家安全方面法律遭受更严厉的制裁。

二、在立法技术上，既追求数据安全，同时关注数据发展

纵观整部法律，《数据安全法》在立足安全保障法的基本定位、聚焦数据安全制度的构建的同时，提出了诸多促进数字经济发展的措施。比如：

《数据安全法》第十四条规定：“省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。”第十六条规定：“国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。”第十九条规定“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。”

三、对全国数据安全工作作出统筹安排

由于目前国家层面数据保护制度尚不健全，各行业和地方纷纷自行开展数据安全保护的探索和实践。因此，各界此前一直期待《数据安全法》能对全国数据安全工作的作出统筹安排，而正式通过的《数据安全法》也回应了社会期待。具体来说，包括以下三个层次：

第一，明确国家数据安全领导机构，建立国家数据安全工作协调机制。根据《数据安全法》第五条规定，国家数据安全工作的决策和议事协调将由中央国家安全领导机构负责，且该机构将建立一个全国统一的数据安全工作协调机制。

第二，将重要数据目录纳入中央事权。针对各地对数据分类分级标准不统一、重要数据目录不一致的情况，《数据安全法》第二十一条明确，将由“国家建立数据分类分级保护制度”、“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”。这一做法将有效避免因各地数据分类分级不一致而导致数据陷入流动困境的情况。

第三，提出国家核心数据概念，对此进行更加严格保护。相较一审稿和二审稿，正式通过的《数据安全法》在第二十一条将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为“国家核心数据”，并要求对此进行更加严格保护。这是我国首次通过立法明确国家核心数据概念，是我国数据分级分类保护制度的一大进步。

四、在适用范围和规制主体上实现全覆盖，并明确了域外管辖效力

第一，与即将出台的《个人信息保护法》将侧重对个人信息进行保护相对比，《数据安全法》在其适用范围上作出极大扩张。《数据安全法》第二条规定，该法适用范围为在中华人民共和国境内开展的数据处理活动。而第三条规定“本法所称数据，是指任何以电子或者其他方式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。”根据该规定，不论呈现形式（电子形式/其他形式）、收集方式（线上/线下）、数据内容（重要数据/敏感数据/个人数据/其他数据），凡对信息的记录均是数据，而凡对数据的处理活动均适用本法。

第二，《数据安全法》也未对规制主体进行限制。《网络安全法》和《数据安全管理办法（征求意见稿）》都将规制主体限制为网络运营者。这一范围虽然已经十分广泛，但《数据安全法》则更进一步，不对规制主体作出具体限定，以求最大限度地保障数据安全。

第三，《数据安全法》明确了域外管辖效力。《数据安全法》第二条第二款规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”这一规定实质赋予了中国司法机构域外管辖权。事实上，随着数据竞争的日益激烈，各国都在试图扩大数据方面的管辖权。比如，美国的《澄清域外合法使用数据法》（CLOUD Act），就允许执法部门可依据搜查令直接调取境外数据；而根据欧盟《通用数据保护条例》（GDPR），只要与欧盟、欧盟居民、向欧盟输出产品服务或监控欧盟个人等因素相关，也都大概率落入GDPR管辖范围。中国赋予《数据安全法》域外效力，实际也是因应全球数据竞争的现实。

五、加强对数据出境管理

《数据安全法》对于数据出境加强了管理，这具体体现在该法第三十一条和第三十六条方面。

1.《数据安全法》第三十一条根据主体不同，对其掌握的重要数据出境作出了不同规定。具体而言：

对于“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据”，其出境安全管理适用《中华人民共和国网络安全法》的规定。不过，需要指出的是，目前《网络安全法》第三十七条仅规定，“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”，但事实上，该办法并未出台。

而对于“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据”，其出境安全管理办法则由国家网信部门会同国务院有关部门制定。事实上，该办法同样没有出台。

2．《数据安全法》第三十六条加强了对向境外司法或执法机构提供数据的监管，以便封堵境外机构的长臂管辖。

该条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

正式通过的《数据安全法》保留了二审稿对一审稿的修改，在“境外执法机构”的基础上增加了“境外司法机构”，这无疑扩大了向境外提供数据的监管适用情形。2019年3月18日，美国法院要求三家中资银行遵守大陪审团的传票，就美国执法机构对一家香港公司发洗钱调查涉嫌违反美国制裁朝鲜相关法令的调查提供银行记录。而《数据安全法》通过后，如再面对这一情况，中资企业必须事先经过主管机关批准。

六、建立政府强制、平台自治、行业自律的合作治理模式

由于数据流动性强、参与主体众多、监管边界不易确定，仅靠政府单方力量，难以构建适应数据时代的安全体系。鉴于此，《数据安全法》第九条明确提出，要“推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作”，勾勒了一套政府强制、平台自治、行业自律的合作治理模式。

在政府层面，《数据安全法》赋予其多项强制性权力，包括但不限于：建立分类分级标准和重要数据目录（第二十一条），采取应急处置措施应对数据安全事件（第二十三条），对数据进行安全审查（第二十四条）和出口管制（第二十五条），采取对等措施应对其他国家或地区在数据开发利用方面的歧视性措施（第二十六条）。

在企业层面，《数据安全法》要求企业承担自我规制的义务，如：重要数据的处理者应当明确数据安全负责人和管理机构（第二十七条）；开展数据处理活动应当加强风险监测，发生数据安全事件时应当立即报告（第二十九条）；重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告（第三十条）,企业应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据(第三十二条)……

在行业层面，《数据安全法》第十条要求：“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。”

七、对违法的处理力度显著加大

《数据安全法》第六章对开展数据活动的组织、个人、数据交易中介机构、国家机关、监管工作人员等主体违反法律规定、不履行义务应承担的法律责任作出了明确。《数据安全法》对违法的处理力度显著加大，具体表现在：

第一，处罚额度较高。针对不同情况，《数据安全法》对处罚额度作出了不同规定。对于违反国家核心数据管理制度或违法向境外提供重要数据且情节严重的，最高可以处罚1000万。

第二，处罚对象较广。《数据安全法》的处罚对象既包括开展数据活动的组织、个人，也包括数据交易中介机构、国家机关、国家工作人员，还包括其他直接责任人员。

第三，责任形式大幅加重。除了对企业罚款之外，《数据安全法》还规定政府有权“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”。如果说罚款对于数据时代的互联网巨头来说九牛一毛，那停业整顿、吊销营业执照对其而言可谓“达摩克利斯之剑”。

八、明确政务数据的安全要求

政务数据的利用与开放是加快政府数字化转型，推进电子政务建设的重要步骤。《数据安全法》在第五章专列一章对国家机关在收集、使用数据的行为进行规制。

《数据安全法》第三十八条规定，国家机关应在履行法定职责范围内收集、使用数据，且收集、使用行为应当合法，同时对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息应予保密。

此外，《数据安全法》还对受国家机关委托建设、维护电子系统的企业作出要求。该法第四十条规定，企业接受委托前，应接受国家机关的严格审批，接受委托后“应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。”

不足之处在于，《数据安全法》并未对政务数据作出定义，对于国家机关审批程序也未作出细致规定。

【结语】

数据安全问题是各国共同面临的难题。除中国外，目前尚无其他国家或地区颁布统一的《数据安全法》，这意味着中国在数据安全立法方面无法直接从其他国家获得既定的、成熟的经验借鉴，更多的需要结合中国实际情况，进行理论创新和制度建设。

尽管中国目前出台了这样一部《数据安全法》，为数据治理打下了坚实的法律基础，但一些较为显著的问题仍然存在，比如：数据权属仍不明晰、配套制度仍然缺失、相关立法协调仍待强化。因此，《数据安全法》绝不是中国数据安全治理的终结，而只可能是开端。

我们将继续关注中国数据安全法律的发展，也期待在不远的将来，中国在数据治理方面能够更加完善，为全世界提供一份值得参考的中国经验。

文字 | 方圆律师

图片 | Unsplash

本文系作者原创，转载请联系后台

欢迎关注周泰，欢迎点“赞”和“在看”