2021年9月1日，《数据安全法》正式实施，明晰了数据安全范畴内办理体系的顶层规划，通过规制数据处理活动、保证数据安全、保护个人和安排合法权益、保护国家主权和安全，引领和促进数据的开发运用，对数据活动处理者提出更高的数据合规要求。

　　在此，对《数据安全法》作出逐条详尽解读，精确体会法令的深入内在与效果，把握中心要害，方能合规运用数据，正确激起数据潜能，让数字经济展开与数据安全保证有的放矢。

　　《数据安全法》于2018年10月敞开研讨起草，从2020年6月初度审议到2021年6月三审通过仅短短一年，速度之快在我国的立法节奏中非常罕见，充分体现了《数据安全法》立法的紧迫性和社会各界的殷切期望。

　　从客观需求和必要性上来看，跟着数字经济年代降临，数据作为一种新的出产要素，也是企业、社会和国家安全的重要战略资源，有必要通过立法树立健全各项准则方法，切实加强数据安全保护，保护公民、安排的合法权益，才干促进数字经济健康展开。

　　从外部环境来看，美国、欧盟及全球多个国家、区域现已相继出台了数据安全保护的法令法令，数据主权联系到国家安全，《数据安全法》将成为国家大数据战略中至关重要的法治根底，我国健全数字规矩便是要保护数字安全以及参加全球数字规矩拟定和数字办理。

　　作为我国首部关于数据安全的专门法令，《数据安全法》将与《网络安全法》及《个人信息保护法》一同，全面构筑我国信息及数据安全范畴的法令结构。

　　《数据安全法》通过多轮审议和修正，终究发布版的辅导准则较之前版别产生了较大改变，即，法令并非单纯地着重保证数据安全，而是同步着重促进数据开发运用。法令条款的中心维度旨在鼓舞数据依法合理有用运用，保证数据依法有序自在活动，促进以数据为要害要素的数字经济展开。

　　第二章 数据安全与展开，用一整个章节的篇幅非常坚定地论述了国家大数据战略，在工业体系层面规划了一整套规划，工信部、科技部等相关部分将会主导推行大数据在各职业、各范畴的立异运用，国务院有关部分将会拟定、修订有关数据开发运用技能、产品和数据安全相关规范，逐步构成完好的工业支撑。

　　立法不是为了束缚数据的运用，‍‍而是为了束缚数据的乱用，这是数字年代下数据的一大特性，展开与安全偏重，敞开和同享是数据合理有用运用的条件，而数据安全又是敞开和同享的要害柱石。数据的运用和数据的安全在未来是平等的位置，这就意味着，安全厂商在供给相关安全产品及计划时需求摒弃传统的防护阻断思路，在数据的开发运用过程中嵌入安全特色而不影响其发挥价值；触及数据处理活动的企业安排在开发运用数据的一起，需求将安全性同步进行考虑，而不是作为外围的、过后的一种弥补手法。

　　在《数据安全法》中，「数据处理活动」作为一个中心词汇贯穿全文，许多条款并没有特别指明某项规矩针对的是数据的存储阶段、运用阶段或传输阶段，而是用“展开数据处理活动”进行归纳提炼。

　　本质上，数据处理活动包含了数据的搜集、供给、存储、运用、加工、传输、揭露等悉数阶段，因而，数据安全的合规建造将不再是一个单点的问题，需求重视到数据的整个生命周期。这指明晰数字年代下数据安全的另一大特性，安全保证才能需求掩盖数据处理活动的各个不同维度，假如只重视某一特定环节的安全，将会存在显着的短板。

　　针对数据安全的监管，未来将会构成职业 + 属地的横纵双向途径。职业监管层面，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部分承当本职业、本范畴数据安全监管职责，将依据《数据安全法》并结合本职业的事务特色、特定场景、数据处理过程中的中心和特性等，来细化出职业专属的监管法令，树立起本职业的数据安全防护及监管的有用‍‍战略。

　　现在，该趋势已在部分职业显着呈现，如我国银保监会于2021年1月印发《我国银保监会监管数据安全办理方法（试行）》，明晰监管数据安全办理实施归口办理，细化监管数据搜集、存储和加工处理的具体要求；工信部于2021年1月印发《工业互联网数据安全保护要求》，规矩工业互联网数据安全保护的规划及数据类型，工业互联网数据重要性分级与安全保护等级区分方法。

　　属地监管层面，最近几年，在全球规划内，数据的寄存、开发运用呈现显着的属地化特征，数据出境成为一个高度灵敏的论题，国家一向积极参加数据安全相关世界规矩和规范的拟定，促进数据跨境安全、自在活动。

　　关于企业来讲，需求分外留意数据因形状和身份产生改变而面对的不同层级的监管要求。寄存于数据库、服务器、终端等不同域的数据或许是一张图片、一个文档、一个字节省等等，形状千变万化；一起，同一份数据关于不同主体来说，身份也会随时产生转化，比方关于企业而言的用户信息，关于客户而言或许归于个人信息，关于国家而言或许归于要害根底设施信息，企业需求一起统筹不同维度的数据保护和监管要求，这也成为企业数据安全建造中的一个巨大应战。

　　关于安全厂商来讲，数字年代的数据安全防护计划不能停步于处理某一环节、单个域内的安全问题，需求供给的是面对数据在不同形状、不同特色状况下，能一起处理不同层级的合规要求和实在的数据处理过程中存在的安全隐患的计划。

　　该章节明晰了数据安全保护的各项根本准则，如数据分类分级保护准则、数据安全应急处置机制、数据安全检查准则。这些准则将一起构建企业实行数据安全保护职责和国家单位进行监管的依据。

　　在海量数据面前，天公地道地对悉数数据实施平等等级的防护既不实际也非常低效，高价值的数据明显需求更严厉的保护机制。假如没有实时的数据分类和管控，企业或许轻视或高估数据集的价值，导致不精确的危险评价。因而，对数据的分类分级仍是后续悉数防护方法的根底。

　　顶层机制的树立意味着从企业到职业、从当地到国家将会树立一致的数据安全大渠道，猜测揣度数据安全态势感知类产品或计划在未来将会迎来较大的展开空间。

　　国家将依法对影响或或许影响国家安全的数据处理活动进行国家安全检查，除掉存储、运用、揭露等，跨境传输也是一种数据处理活动。面对世界上一些越来越越界的束缚乃至制裁，咱们需求有对等的反制方法，上述规矩即供给了法令依据，让咱们在未来的贸易战中有法可依地进行自保。

　　该章节首要面向商业数据，以及和个人信息的交融，是触及数据处理活动的运营主体最需求关怀的部分，明晰规矩了企业在面对法令监管时需求做什么。

　　针对“在网络安全等级保护准则的根底上，实行上述数据安全保护职责”，企业普遍存在疑问，等级保护和数据安全应该是怎样的联系？自等保2.0实施以来，该规范成为了网络安全职业最重要的驱动力，需求明晰的是，等级保护是安全保证的底线，满意等保合规要求仅仅只是及格，需求在此根底之上树立健全全流程数据安全办理准则，安排展开数据安全教育训练，采纳相应的技能方法和其他必要方法保证数据安全。

　　实行数据安全保护职责制，关于企业来说将会在架构上进行调整，树立首席数据官或数据安全办理部分的人物，来担任背负主体职责。

　　“契合社会公德和道德”的论述比较抽象，这是大陆法系的法令条文的一个特征，高度归纳但具有终究解说权。当呈现依据法令条款不易判别的事情时，将会依据社会公德和道德来进行束缚，信任《数据安全法》未来将会和《个人信息保护法》以及其他相关法令条文构成有用的相关和互动。

　　该条规矩是悉数企业有必要要做的事，在技能层面来讲，即在数据的全生命周期内都有必要加强危险监测，发现问题当即弥补，而且需求奉告用户和主管部分。这意味着，企业只需展开数据处理活动企就有必要同步实施实质性的安全保证动作，两步“奉告”也进一步说明晰，数据安全事情很难彻底根绝，它在或多或少地继续产生着，可是，一旦产生事端，企业有必要得知道产生了事端，对事情有必定的判别和掌控，能最大程度及时抢救。

　　该条规矩存在较大的解说空间，“重要数据的处理者”——需求明晰什么是重要数据，“定时展开危险评价”——需求明晰时刻周期。从陈述应当包含的内容看，“重要数据的品种、数量”即为数据分类分级的成果和规划，这也便是前文所述进行数据安全建造的根底；“展开数据处理活动的状况”即为需求把握数据全流程的流通轨道，并判别面对的潜在危险；“应对方法”即为不能只监控不处理，需求有相应的技能手法去缓解危险的产生和事端的结果。关于企业来说，危险评价陈述需求报送给所属职业的主管部分，因而需求自研或凭借第三方计划树立一套数据财物发现及危险剖析、全流程数据活动办理与危险感知以及防护的体系。

　　要害信息根底设施数据的出境适用《网络安全法》的规矩，其他数据的出境在《数据安全法》实施曾经还处于真空地带，这也成为了部分中概股强行闯关赴美上市的原因之一。2021年7月10日，国家互联网信息办公室发布关于《网络安全检查方法（修订草案征求意见稿）》揭露征求意见的告诉，其间规矩，把握超越100万用户个人信息的运营者赴国外上市，有必要向网络安全检查办公室申报网络安全检查。以此来保证要害信息根底设施供应链安全和数据安全。

　　搜集数据有必要合法、合理，不得盗取或以其他不合法方法获取数据。这样的表述看似抽象，其实全面束缚了悉数的保密手法，无论是黑客侵略、商业间谍保密、内部职工顺走、第三方供货商走漏……只需没有通过运营主体的赞同，悉数的方法和手法都是“不合法”、“不合理”的。

　　跟着大数据技能的老练和展开，大数据在商业上的运用越来越广泛，有关大数据的交互、整合、交流、买卖的比如也日益增多，大数据买卖所、三方服务组织也随之应运而生。未来，数据买卖作业将会在阳光下进行，条款和束缚愈加明晰。

　　放眼世界，美国FBI曾因数据安全隐患和侦办违法给微软、facebook等企业下发调令调取数据，这样的法令行为是一把双刃剑。在国内，关于企业来说，这样的规矩将对头部的渠道型厂商构成强有力的束缚，避免手握很多公民隐私数据和国家要害信息根底设施数据的巨子跑偏。

　　这儿着重，向外国供给数据，有必要要通过我国主管机关的同意。夹在跨境中心的企业往往处于两难地步，即针对一些要害灵敏数据，外国司法或法令组织要求有必要提交，但我国检查必定无法通过，这时企业该何去何从？立法即为了明晰，在触及国家安全的层面，不能畏缩和退让。

　　与企业相同，国家机关展开数据处理活动，相同需求依法实行、照章办事，有职责保护好经手的数据安全，这是对国家权力的一种束缚。

　　国家机关首要本身需求树立健全数据安全办理准则，实行数据安全保护职责；一起，还需求在各行各业下大力推进，让准则更广泛地落地。既有实行职责，还有监管职责。

　　国家机关的电子政务体系建造和保护，需求走规范的招投标流程；第三方供货商在实行项目的一起，需求同步实行数据安全保护职责，即第四章中悉数面向企业的规矩，都有必要悉数实行。

　　更重要的是，第三方供货商“不得私行留存、运用、走漏或许向他们供给政务数据”。树立和保护电子政务体系其实就意味着第三方供货商能够获取政务数据的控制权，可是法令的束缚需求他们能够自证的确没有留存和运用，需求在一个相对安全的环境和危险可控的流程中来建造和保护体系，才干够有用地区分和辨别数据安全保护职责的实行状况。

　　《数据安全法》通过几轮的审议，处分力度在全体上有所提高，不同层级的处分额度，依据形成安全事端结果的严峻程度而定。

　　被主管部分发现存在安全危险的，首要进行约谈，及时进行整改。不实行数据安全保护职责、不奉告安全事端、不定时展开危险评价并上报的企业（不必定产生了安全事端），处5万元-50万元罚款。拒不改正或许形成很多数据走漏等严峻结果的，处50万元-200万元罚款。损害国家主权、安全和展开利益的，处200万元-1000万元罚款。大众或许忧虑，假如某个违法行为能够为企业带来超越罚款额度的收益，那么企业或许就会逼上梁山，法令一起规矩了形成严峻结果者能够责令暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照，依法追究刑事职责，这将是企业无法接受的重罚。

　　违规向境外供给数据的处分力度全体上更上一个台阶，处10万元-100万元罚款，情节严峻者处100万元-1000万元罚款，并能够责令暂停相关事务、停业整顿、撤消相关事务许可证

　　或许撤消营业执照。在逆全球化的趋势下，各国都意识到数据包含的价值，它能够挖掘出一个人的悉数，也能够挖掘出一个国家经济运转的实在状况，因而，数据的属地统辖现已跟国家安全深度绑定，立法既是对企业的束缚，也是对企业的保护，更是对国家安全的有力保护。