汇业评论 | 《数据安全法》来了，企业应当关注的十大要点问题

《中华人民共和国数据安全法》（以下称《数据安全法》）历经三审三读，于2021年6月10日经第十三届全国人民代表大会常务委员会第二十九次会议通过。在二审稿基础上删除了1条，增加了3条，正式公布的文本共7章55条，将于2021年9月1日起正式实施。为了帮助企业更好地做好实施前的应对准备工作，汇业网数团队通过本文对《数据安全法》进行梳理解读，供企业参阅。

一、    对二审稿的重要修改

1. 建立数据安全工作协调机制。在二审稿明确中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策的基础上，进一步规定了其统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制的职责，细化了协调机制的具体运行机制。

2. 新增核心数据管理制度。在二审稿对数据分类分级保护制度的基础上，新增了“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度”，形成了三层逐级递进的数据保护与管理制度，即：一般数据分类分级保护、重要数据重点保护、国家核心数据更为严格管理。同时，明确了国家数据安全工作协调机制统筹协调有关部门制定重要数据目录的规定，以加快推进各地区、各部门重要数据目录的制定。

3. 明确了智能化水平的提升与老年人、残疾人日常生活需求的平衡。新增规定明确在支持利用数据提升公共服务的智能化水平的同时，要避免给老年人、残疾人生活造成障碍。

4. 强化了政务数据安全。一是要求国家机关对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密；二是要求受托处理政务数据的，应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

5. 加大了对违法行为的处罚力度。一是新增了对违反国家核心数据管理制度处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；二是单独增设对违反数据出境的处罚，最高一千万元罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，并对相关责任人员处一百万元以下罚款；三是将擅自向境外执法/司法机构提供数据的处罚提高至最高五百万元，对个人的处罚最高至五十万元。

6. 明确在统计、档案工作中开展数据处理活动，还应当遵守统计法、档案法及其配套规则规定。

7. 此外，相较于二审稿，正式公布版本还优化了数据定义增加了个人和组织的数据权益、聚焦数据领域的反垄断和反不正当竞争。

一、    企业应当关注的十大要点问题

1. 数据分类分级保护。企业应当根据所属行业、地区有关数据分类分级管理的规定以及国家标准的要求，对本企业的数据开展分类分级保护策略，制定并落实相关制度；根据行业主管部门和所属地区制定的重要数据目录，识别本单位的重要数据，并对重要数据保护开展重点保护；对于国家核心数据，应当按照国家核心数据管理规定落实相关义务和措施。

2. 数据监测与应急处置。企业应当建立对本单位数据的风险监测机制，建立应急处置制度和预案，可以与网络安全应急处置和预案融合，发现数据安全风险和事件时，应当立即按照预案采取补救措施，履行报告和通知义务。

3. 国家安全审查。国家对影响或者可能影响国家安全的数据处理活动进行国家安全审查，后续国家有关部门会参照《网络安全审查办法》等规定制定相应的落地细则。企业应当关注相关落地细则，对符合条件的数据进行处理，申报或者应对国家安全审查。

4. 出口管制。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。根据《出口管制法》，两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项属于管制物项。国家实施统一的管制清单，企业应当保持对国家管制清单的关注，对属于管制清单内物项相关的数据，履行相关出口管制申报等相关义务。

5. 数据安全管理制度。企业应当建立全生命周期的数据安全管理制度，开展安全培训，采取相关技术措施和必要措施。对承载数据活动的网络和信息系统开展网络安全等级保护评测、整改提升、定级、备案等。

6. 重要数据管理。经过识别，处理重要数据的企业，应当开展定期风险评估，并向有关主管部门报送风险评估报告。

7. 数据出境。企业数据处理活动中存在数据出境情况的，应当按照以下情况处理：（1）CIIO应当将在中国境内收集和产生的重要数据于境内存储，确有必要向境外提供的应当经过安全评估，同时，CIIO还应当执行本行业关于数据出境的特殊规定；（2）其他企业应当根据行业主管部门或者国家网信部门会同有关部门制定的规定执行。

8. 执法配合。（1）对与公安机关与国家安全机关在维护国家安全、侦查犯罪中需要向企业调取数据的，应当核验其批准手续，对于持有合法的批准手续或者法律文书的，应当予以配合；此外，对于前述执法机关因反恐怖工作、反间谍等特殊领域执法需要调取数据的，也可以参照前述规定操作；（2）对于境外执法、司法机构提供数据的需求，企业应当层报主管机关，根据主管机关的要求和指示处理。

9. 行政许可。企业应当审查开展数据处理活动是否需要相关资质，尤其是大数据、人工智能、物联网等在境内开展经营性在线数据处理业务的，应当持牌经营，申请诸如IDC、ICP等许可。

10. 数据交易。从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。数据交易各方应当配合中介机构。

此外，企业开展数据处理活动以及研究开发数据新技术，尤其是人工智能领域，应当建立伦理审查机制；企业在开展数据处理活动时，还应当关注地方性法规的相关规定。

距离《数据安全法》正式实施仅有三个月不到的时间，且该法由于涉及面广、领域复杂、原则性较强，诸多规定需要配套细化操作细则，但是针对已经确立的相关制度，企业应当及早开展相关准备工作，避免准备工作不充分，应对不及时，影响正常运营。

点击下方“阅读原文”，详见《数据安全法（2021）》与一审稿、二审稿对比表