《数据安全法》要点评析｜MHP君悦评论

2021年6月10日，《中华人民共和国数据安全法》（以下简称“《数据安全法》”）公布，将于2021年9月1日施行。这部法律对数据安全保护做出了较以往更为具体的规定，将成为我国数据安全保护领域的基础性法律。

一、保护对象的细化与保护范围的扩大

《数据安全法》第一条将“保障数据安全”作为立法目的之一，首次在法律层面将数据直接确认为保护对象。既往的法律法规，往往聚焦于信息载体。比如自《刑法》第285条以下“非法侵入计算机信息系统罪”等罪名，安排在扰乱公共秩序罪一节，着眼于保护“计算机信息系统”或“信息网络”等有形实体，通过约束个人对有形实体的行为达到维护社会秩序的目的。又如2017年施行的《网络安全法》，注重防范由基于网络实施的违法犯罪行为和其他信息攻击行为带来的安全风险。立法活动天然的滞后性使得法律往往首先注意到有形的载体，经过时间的洗练，方将目光转移到抽象而更具普遍性的概念上。

与此形成对照的是，《数据安全法》的保护范围相较以往有一定扩大。

一是对“数据”和“数据处理”进行了较宽泛的定义。

第三条将数据定义为“以电子或其它方式对信息的记录”，使得数据不局限于依附于电子系统存在的类型。现实中，数据可能通过纸质材料、实物介质等多种方式呈现，《数据安全法》将其此类数据也纳入了保护范围。对于“数据处理”，《数据安全法》定义为“数据的收集、存储、使用、加工、传输、提供、公开等”，这种宽松的定义也确保了《数据安全法》广泛的适用空间。

二是规定了域外管辖情形。

《数据安全法》第二条规定：（1）在中国境内开展数据处理活动需适用《数据安全法》；（2）在中国境外开展数据处理活动，损害中国国家安全、公共利益或公民、组织合法权益的，依《数据安全法》追究法律责任。本条没有对适用法律的主体设限，使该法可以适用于符合条件的个体行为。对境外符合条件的行为，“依法追究法律责任”仍是一个比较模糊的表达，没有直接规定适用《数据安全法》，但不排除监管机构在实际追究责任时参照该法的规定。

在实务中，对数据处理者义务的争议往往涉及对数据和数据处理活动本身的定义。《数据安全法》在这方面较宽的定义，使该法在数据保护领域具有广泛的适用前景。

二、分类分级保护制度

《数据安全法》第二十一条要求建立数据分类分级保护制度，并制定重要数据目录。

受保护的数据将分为国家核心数据、重要数据以及前述两种数据之外的普通数据。《数据安全法》将给予国家核心数据和重要数据特别保护。

重要数据的种类和范围将通过重要数据目录加以明确。国家数据安全工作协调机制负责统筹协调有关部门制定重要数据目录，而各地区、各部门则根据分类分级保护制度制定所管范围的重要数据具体目录。此前的《数据安全管理办法（征求意见稿）》对重要数据仅做了较为模糊的定性，在实践中不利于个人和企业统一认识，而此次规定的目录形式更符合政务公开和法律可预见性的要求。全国人大宪法和法律委员会在汇报中指出，根据一些常委委员和地方、部门、企业、专家的提出的意见，制定重要数据目录的权力做了分割，制定重要数据具体目录的权力下放至各地区、各部门。

国家核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等类型的数据。根据《国家安全法》第二十一条，对国家核心数据将实行更加严格的管理制度，未来料将出台更为具体的规定。

此前，各部门和地方已经陆续出台所管范围的数据安全规定。《数据安全法》公布后，各部门和地方料将逐步公布具体目录，此前发布的规定可能作为《数据安全法》的配套措施继续保持有效并被进一步完善。

部分部门已公布施行的数据管理规范性文件

三、职能安排与制度建设

《数据安全法》对有关部门在数据保护领域的职能做了指导性的规定。值得注意的是，国家数据安全工作协调机制将由中央国家安全领导机构负责建立，凸显了《数据安全法》对国家安全的重视。

除数据分类分级保护制度外，《数据安全法》还规定将建立一些数据安全保护相关的具体制度。

第二十二条规定建立集中统一的数据安全风险评估、报告、信息共享、监测预警机制，第二十三条规定建立数据安全应急处置机制，这两个机制都着眼于加强信息安全风险防范和数据安全事件的应急处置。

第二十四、二十五与二十六条则分别规定建立数据安全审查制度、受管制数据的出口管制制度和对等措施制度，着眼于加强对数据相关国家利益的保护。国家对影响或可能影响国家安全的数据处理活动进行国家安全审查；对于维护国家安全和利益、履行国际义务相关的受管制数据实施出口管制；对于其他国家或地区在数据和数据相关领域对中国的敌对性措施，中国可以采取对等措施。

第三十五条规定了境外司法或执法机构调取境内数据，需要获得主管机关批准，填补了以往境外机构在境内自行取证方面规定的空白。

以往在数据安全领域的相关制度尚不完善，不能充分应对各种数据安全风险。以涉及人类遗传信息研究为例，相关备案审批流程不够高效，特别是对数据出境的管理尺度比较宽松，即使被发现违规，受到的处罚也普遍轻微，行业内企业无视规定、使用虚假名义将人类遗传信息出境的情形近年来仍持续发生，可见此前管理措施的威慑和引导效果不甚理想。新增的规定强化了在数据安全领域维护国家安全的法律基础。其中第二十四条规定安全审查决定为最终决定，可能意味着安全审查制度不适用司法救济，值得相关个人和企业的关注。

与分类分级保护制度一样，《数据安全法》只对上述制度做了宣示性规定，具体安排还有待配套的法律法规加以明确。

四、数据安全发展方向

《数据安全法》还提出，国家将在以下方向推进数据安全建设：

■  实施大数据战略，推进数据基础设施建设；

■  公共服务智能化的同时确保对老年人、残疾人的包容性；

■  数据安全与商业创新相结合；

■  数据安全标准化体系建设；

■  数据安全检测评估认证服务的发展；

■  建立健全数据交易管理制度；

■  支持数据安全相关教育、培训和人才交流。

虽然《数据安全法》没有作出详细说明，但可以料想政府可能加大在上述领域的投资，这些领域也将成为信息安全产业企业潜在的未来增长点。

五、义务与法律责任

《数据安全法》对相关主体较为具体地规定了相关义务和违法责任，其中值得相关个人和企业关注的是开展数据处理活动应当遵守的义务、重要数据处理者应当遵守的义务、数据交易中介服务机构应当遵守的义务。

开展数据处理活动，应当建立数据安全管理制度，开展数据安全教育培训，采取相应技术和其他措施；涉及互联网的，应当符合网络安全等级保护制度的要求。应当加强风险监测，发生意外时及时采取补救、处置措施，及时告知用户、报告主管部门。不得以窃取或其他非法方式获取数据。国家机关因维护国家安全或侦查犯罪需要调取数据的，应当予以配合。境外司法或者执法机构要求调取境内数据的,未经批准,不得提供。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。应当定期开展风险评估，向主管部门报送风险评估报告，内容包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险和应对措施。对于关键基础设施的运营者在境内收集和产生的重要数据，其处境适用《网络安全法》的现有规定；其他重要数据的出境则适用未来由网信部门会同国务院有关部门制定的管理办法。

数据交易中介服务机构应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

与上述义务相关的违法责任包括：

可以看出，《数据安全法》立图对各种数据保护义务规定全面而有层次的处分措施，且处罚力度相较于二次审议稿有了一定提高；不过，相比于境外数据保护法律，《数据安全法》规定的打击力度相对有限。举例而言，欧盟《一般数据保护条例》（GDPR）除授予监管机构吊销、暂停或拒绝发放有关证照的广泛权力外，第83条规定了几乎任何违法行为都可以处最高2000万欧元或全球收入的4%的罚款，即使是较轻的违法也可以处最高1000万欧元或全球收入2%的罚款。在这方面，《数据安全法》的规定与信息产业迅猛发展的现实情况形成了对比，体现出与《民法典》相似的风貌。

六、信息领域的主权

《数据安全法》的一个特点是没有对个人与数据相关的权利做具体规定。个人信息保护的相关问题主要由《个人信息保护法》（尚未公布施行）规定，使得《数据安全法》几乎完全基于维护国家安全的出发点，这在数据保护领域较为特殊。由于《与贸易有关的知识产权协定》（TRPIS）第10条将数据收集纳入了知识产权保护的范畴，信息系统用户个人的权利需要清晰的边界。通常，信息系统的用户直接生产信息，这些用户个人对信息拥有最为直接的权利；可以想象，数据库制作者权利的增加，势必导致与数据生产者个人权利的冲突。所以，数据保护法律一般从这个角度出发，对信息系统的运营者和信息系统用户个人的权利进行划分，比如欧盟《一般数据保护条例》就对个人的数据权利做了详细规定。

相比之下，《数据安全法》主要从国家安全角度出发，其关于国家安全审查、出口管制和对等措施的规定，有较明显的行政授权性质，是世界范围内较早对国家在信息领域的主权做出法律规范的尝试。世界范围内行政权力的强化趋势，以及后起国家与既有强权在新兴领域的争夺，共同推动了主权实施范围的扩大。尽管欧盟在数据保护领域的积极立法上有着制衡美国发达信息产业的考虑，但仍然遵循既往侵权法的话语体系。《数据安全法》将国家安全作为数据保护的主要目标，是否会引起境外立法的效仿，值得关注。

七、对企业的影响

《数据安全法》和后续相关配套法律法规的公布施行，将给企业在数据安全领域的合规提出更高的要求。目前相关配套法律法规尚不完善，例如重要数据目录尚未制定公布，对开展数据处理活动的企业的审查标准也不清晰。但根据《数据安全法》，企业可以提前做好数据收集、使用、出入境等方面的规划，建立覆盖人员、技术、信息系统的数据安全保护制度，为相关制度的落地做好准备。