2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议正式经过并发布《中华人民共和国数据安全法》（“《数据安全法》”），将于2021年9月1日起施行。作为数据范畴的根底性法令和国家安全范畴的一部重要法令，《数据安全法》会集、全面地表现了我国当时的数据安全监管思路。

　　跟着数字经济在全球规模内蓬勃开展，世界各国关于数据主权和安全维护的需求日益增长，数据安全的有用监管成为一项重要的议题。近几年来，许多国家及区域连续出台了数据维护和安全范畴的相关规矩法令，如欧盟《通用数据维护法令》（GDPR）、美国《加州顾客隐私法案》（CCPA）、新加坡《个人信息保密条款》（PDPA）和日本《个人信息维护法》（PIPA）等。在数据安全维护的国际布景和年代浪潮下，我国出台《数据安全法》，具有更为重要的含义。

　　本文聚集《数据安全法》正式发布文本，解读其间的首要亮点。相关企业应亲近重视这一立法开展，凭借数据安全范畴的年代好风，强化数据范畴的合规应对，保证事务的久远稳定开展。

　　《数据安全法》正式稿比较二审稿新增了由中心国家安全领导安排“统筹和谐国家数据安全的严重事项和重要作业，树立国家数据安全作业和谐机制”的表述，清晰由中心国家安全领导安排担任数据安全作业的决议计划和和谐、国家网信部分统筹网络数据安全监管作业，由工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部分承当本职业、本范畴的数据安全监管责任，由公安机关、国家安全机关等在各自责任规模内承当数据安全监管责任。[1]

　　现在，我国数据范畴监管作业由中心网络安全和信息化委员会与国家互联网信息办公室进行全面的统筹和谐，中心和当地商场监管部分、工信部分和公安部分，以及相应的职业主管部分分担不同范畴的数据安全。例如，商场监管部分从商场归纳监督办理视角进行法令，对个人信息维护和网络产品与服务等范畴进行监管；工信部分从工业和通讯业职业办理视角进行法令，关于信息的应急呼应准则、个人信息维护、网络产品与服务等范畴进行监管；公安部分从公共安全的视角，对个人信息维护、网络产品与服务、网络安全等级维护等范畴进行监管；各职业主管部分则从职业视角，对数据全范畴进行监管，包括数据跨境、要害信息根底设备、暗码产品等。整体而言，《数据安全法》的数据安全监管思路底子连续了我国此前数据监管和法令实践中的作业思路。

　　《数据安全法》第二十一条规矩，“国家树立数据分类分级维护准则，依据数据在经济社会开展中的重要程度，以及一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用，对国家安全、公共利益或许个人、安排合法权益形成的损害程度，对数据施行分类分级维护”，“国家数据安全作业和谐机制统筹和谐有关部分拟定重要数据目录，加强对重要数据的维护”。不同于此前《网络安全法》规矩由网络运营者依照网络安全等级维护准则要求自行采纳数据分类的方法[2]，《数据安全法》清晰了由国家树立数据分类分级准则、由主管部分拟定重要数据目录并加强维护，从而与《网络安全法》树立的网络安全等级维护准则相同，成为网络安全维护范畴的重要准则。

　　此外，《数据安全法》第二十一条相较二审稿还新增了“联系国家安全、国民经济命脉、重要民生、严重公共利益等数据归于国家中心数据，施行愈加严厉的办理准则”的条款，这一修正凸显了《数据安全法》以维护国家安全和网络空间主权为底子的基调。“国家中心数据”的内在与外延还有待数据安全监管实践的进一步探究，结合此前对《要害信息根底设备安全维护法令（征求意见稿）》中对“要害信息根底设备”的界说[3]，可知“国家安全、国计民生、公共利益”相同会是断定“国家中心数据”的重要因素。

　　《数据安全法》第二十七条相较二审稿新增了“运用互联网等信息网络展开数据处理活动，应当在网络安全等级维护准则的根底上，施行上述数据安全维护责任”的规矩。这一条款要求数据处理者“在网络安全等级维护准则的根底上”展开数据安全维护作业，一方面强化了网络安全等保准则在数据安全维护要求中的根底效果，另一方面也表现了数据安全维护准则与《网络安全法》的联接。

　　网络安全等级维护准则的要求见于《网络安全法》第二十一条，清晰规矩国家施行网络安全等级维护准则，并对网络运营者提出了施行安全维护责任的具体要求，包括“采纳数据分类、重要数据备份和加密等方法”以“保证网络免受搅扰、损坏或许未经授权的拜访，避免网络数据走漏或许被盗取、篡改”。此外，《网络安全法》第五十九条[4]清晰了违背网络安全等级维护准则要求的法令责任，包括责令改正、正告、罚款等。此次《数据安全法》的规矩再次表现了等保准则是网络安全范畴的根底性准则之一，并与数据安全维护准则彼此联接。因而，相关企业应依照《网络安全法》及“等保2.0”系列规范[5]要求，活跃执行网络安全等级维护准则，赶快进行等级维护测评、整改和存案作业。

　　《数据安全法》第三十一条规矩，“要害信息根底设备的运营者在中华人民共和国境内运营中搜集和发生的重要数据的出境安全办理，适用《中华人民共和国网络安全法》的规矩；其他数据处理者在中华人民共和国境内运营中搜集和发生的重要数据的出境安全办理方法，由国家网信部分会同国务院有关部分拟定。”

　　一方面，这一条款清晰了要害信息根底设备的运营者在境内运营中搜集和发生的重要数据的出境安全办理应适用《网络安全法》第三十七条提出的“一般景象+破例规矩”，即要害信息根底设备的运营者因事务需求，确需向境外供给重要数据的，一般状况下应由国家网信部分会同国务院有关部分拟定的方法进行安全评价，法令、行政法规还有规矩的则从其规矩。另一方面，关于其他数据处理者在境内运营中搜集和发生的重要数据，现在可参阅的相关规矩是国家网信办于2017年发布的《个人信息和重要数据出境安全评价方法（征求意见稿）》，其间第九条规矩了六类重要数据出境时网络运营者应提交职业主管部分或监管部分进行安全评价的场景[6]。因为该方法并未正式出台和收效，且征求意见稿的发布时刻也较为久远，关于要害信息根底设备的运营者以外的其他数据处理者，数据出境安全办理的相关规矩仍不清晰，需等候正式的办理方法出台；但在此之前，企业相同需求亲近重视重要数据出境的合规责任。

　　《数据安全法》第三十六条规矩，“非经中华人民共和国主管机关同意，境内的安排、个人不得向外国司法或许法令安排供给存储于中华人民共和国境内的数据。”

　　这一条款拟定的布景是近年来数据统辖权抵触日益剧烈的国际环境。2018年3月，在微软爱尔兰数据案[7]后，美国国会经过《弄清海外合法运用数据法》（ClarifyingLawful Overseas Use of Data Act（CLOUD），简称“云法案”），其间第103(a)(1)条规矩“电子通讯服务供给商和长途核算服务供给商应当依据本章规矩，保存、备份或发表其具有、监管或操控的用户通讯数据、记载及其他信息，不管该等通讯数据、记载及其他信息贮存于美国境内或境外”[8]，从而为数据范畴的“长臂统辖”规矩供给了根底。该规矩与欧盟《通用数据维护法令》（General Data Protection Regulation，简称“GDPR”）的相关规矩存在抵触。随后，欧盟于2019年7月发布了《美国云法案关于欧盟个人信息维护法令结构以及欧盟—美国关于跨境电子取证协议商洽影响的开始法令评价》，清晰指出，依据GDPR规矩，云法案不能成为向美国传输欧盟境内的个人数据的合法根底。

　　在这一布景下，《数据安全法》的规矩再度清晰了我国对境内数据的统辖权，充分表现了我国维护数据主权和国家安全的决计。值得一提的是，《数据安全法》还特别清晰了未经主管机关同意向境外的司法或许法令安排供给数据的法令责任，包括对企业和直接担任的主管人员的罚款、以及责令企业暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照等。[9]这一清晰的法令责任方法，不只意味着第三十六条的规矩是企业应严厉施行的一项数据合规责任，也使得企业在对立境外法令或司法安排或许的数据调取要求时，具有了可征引的有力的法令规矩。

　　《数据安全法》树立专章“政务数据安全与敞开”，初次对政务数据的安全监管思路做出了整体规矩。其间，第三十七条对政务数据质量提出科学性、准确性和时效性要求；第三十八条对政务数据的搜集和运用作出合规性规矩；第三十九条对树立政务数据安全办理准则作出着重；第四十条提出对政务数据加工、存储等外包服务要拟定严厉的批阅流程；第四十一条和第四十二条提出政务数据敞开的规范性要求。

　　可是，《数据安全法》关于“政务数据”的内在与外延并未做出清晰的规矩，只是在相关条文表述大将“国家机关”作为责任主体，并且在第四十三条中规矩了“法令、法规授权的具有办理公共事务功用的安排为施行法定责任展开数据处理活动，适用本章规矩。”依据北京、上海、浙江等地公共数据办理相关方针的规矩，公共数据通常是指是指各级行政机关以及具有公共办理和服务功用的事业单位在依法施行公共办理和服务责任过程中，发生、处理的各类数据。[10]实践中，各类与政府进行协作展开数据渠道建造并对相关数据进行商业化开发的企业，在运营过程中很或许触及政务数据或公共数据的处理活动，应当特别重视《数据安全法》清晰提出的关于政务数据的合规要求。

　　《数据安全法》第五十一条规矩，“盗取或许以其他不合法方法获取数据，展开数据处理活动扫除、约束竞赛，或许损害个人、安排合法权益的，依照有关法令、行政法规的规矩处分。”这一规矩将数据处理活动与《反不正当竞赛法》、《反独占法》等法令法规的规矩相结合，表现了我国对数据安全的归纳监管思路。

　　例如，《反独占法》清晰制止运营者在其运营活动中扫除、约束商场竞赛。国务院反独占委员会此前发布的《关于渠道经济范畴的反独占攻略》（“《攻略》”）中，清晰提及了运营者运用数据或算法扫除、约束竞赛的多种行为形式。例如：

　　运营者经过数据、算法、渠道规矩或许其他方法实质上达到和谐一致的行为（即独占协议）；

　　运营者经过渠道规矩、数据、算法、技能等方面的实践设置约束或许妨碍的方法限制买卖（即乱用商场分配位置限制买卖）；

　　依据大数据和算法，依据买卖相对人的付出才能、消费偏好、运用习气等，施行差异易价格或许其他买卖条件（即乱用商场分配位置施行差别待遇）；

　　此外，渠道运营者把握的数据状况关于确定运营者商场分配位置具有重要含义，《攻略》清晰提及，判别相关渠道是否构成其他运营者进入相关商场的“必需设备”时，需求归纳考虑该渠道占有数据的状况和其他状况。

　　从这一条款的规矩也可看出，企业要从《数据安全法》、《反独占法》、《反不正当竞赛法》以及《刑法》等多维度对数据合规作业进行布置，尤其是要保证与数据财物相关的商业形式合规性。

　　跟着《数据安全法》的落地与收效，我国数据安全监管范畴的法令准则更为完善。《数据安全法》在短期内或许为企业添加一部分数据合规本钱，但久远而言，关于企业加强数据合规办理，在国际竞赛中增强本身竞赛力将具有活跃影响。在簇新的数据监管年代，乘年代之风，企业应亲近重视最新立法开展和配套规矩，不断探究合规办理与事务开展相平衡的最佳实践。

　　[1]《数据安全法》第五条：“中心国家安全领导安排担任国家数据安全作业的决议计划和议事和谐，研讨拟定、辅导施行国家数据安全战略和有关严重方针方针，统筹和谐国家数据安全的严重事项和重要作业，树立国家数据安全作业和谐机制。”第六条：“各区域、各部分对本区域、本部分作业中搜集和发生的数据及数据安全担任。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部分承当本职业、本范畴数据安全监管责任。公安机关、国家安全机关等依照本法和有关法令、行政法规的规矩，在各自责任规模内承当数据安全监管责任。国家网信部分依照本法和有关法令、行政法规的规矩，担任统筹和谐网络数据安全和相关监管作业。”

　　[2]《网络安全法》第二十一条：“国家施行网络安全等级维护准则。网络运营者应当依照网络安全等级维护准则的要求，施行下列安全维护责任，保证网络免受搅扰、损坏或许未经授权的拜访，避免网络数据走漏或许被盗取、篡改：（一）……（四）采纳数据分类、重要数据备份和加密等方法；（五）法令、行政法规规矩的其他责任。”

　　[3]《要害信息根底设备安全维护法令（征求意见稿）》（2017）第十八条规矩：“下列单位运转、办理的网络设备和信息系统，一旦遭到损坏、损失功用或许数据走漏，或许严重损害国家安全、国计民生、公共利益的，应当归入要害信息根底设备维护规模：（一）政府机关和动力、金融、交通、水利、卫生医疗、教育、社保、环境维护、公用事业等职业范畴的单位；（二）电信网、播送电视网、互联网等信息网络，以及供给云核算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型配备、化工、食品药品等职业范畴科研生产单位；（四）播送电台、电视台、通讯社等新闻单位；（五）其他重点单位。”

　　[4]《网络安全法》第五十九条：“网络运营者不施行本法第二十一条、第二十五条规矩的网络安全维护责任的，由有关主管部分责令改正，给予正告；拒不改正或许导致损害网络安全等结果的，处一万元以上十万元以下罚款，对直接担任的主管人员处五千元以上五万元以下罚款。”

　　[6]《个人信息和重要数据出境安全评价方法（征求意见稿）》第九条：“出境数据存在以下状况之一的，网络运营者应报请职业主管或监管部分安排安全评价：（一）含有或累计含有50万人以上的个人信息；（二）数据量超越1000GB；（三）包括、化学生物、国防军工、人口健康等范畴数据，大型工程活动、海洋环境以及灵敏地理信息数据等；（四）包括要害信息根底设备的系统漏洞、安全防护等网络安全信息；（五）要害信息根底设备运营者向境外供给个人信息和重要数据；（六）其他或许影响国家安全和社会公共利益，职业主管或监管部分以为应该评价。职业主管或监管部分不清晰的，由国家网信部分安排评价。”

　　[7]2013年12月，美国缉毒局（DEA）在查询一同案子时发现若干电子邮件或许是案子依据，向区域法院请求搜寻令，要求微软公司向法令部分提交某邮箱用户的悉数电子邮件及其他信息。但微软发现该等数据只存储在爱尔兰都柏林的数据中心。微软坚持“数据存储地规范”，以为数据存储在爱尔兰，搜寻令只适用于美国境内，不能掩盖爱尔兰；而政府和区域法院坚持“数据操控者规范”，以为微软有才能在美国境内操作并向政府发表数据，搜寻令适用于美国境外，微软应合作美国政府取得该数据。此案先后上诉至美国联邦第二巡回上诉法院和联邦最高法院，引发广泛重视。

　　[9]《数据安全法》第四十八条：“违背本法第三十六条规矩，未经主管机关同意向外国司法或许法令安排供给数据的，由有关主管部分给予正告，能够并处十万元以上一百万元以下罚款，对直接担任的主管人员和其他直接责任人员能够处一万元以上十万元以下罚款；形成严重结果的，处一百万元以上五百万元以下罚款，并能够责令暂停相关事务、停业整顿、撤消相关事务许可证或许撤消营业执照，对直接担任的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。”

　　[10]《浙江省公共数据和电子政务办理方法》第二条规矩，“本方法所称公共数据是指各级行政机关以及具有公共办理和服务功用的事业单位（以下总称公共办理和服务安排），在依法施行责任过程中取得的各类数据资源。”《深圳经济特区数据法令》（征求意见稿二审稿）第三十一条规矩，“本法令所称公共数据，是指公共办理和服务安排在依法施行公共办理和服务责任过程中，发生、处理的各类数据。