9月1日，《中华公民共和国数据安全法》(以下简称《数据安全法》)正式施行，《数据安全法》以遵循整体国家安全观的意图为起点，以数据办理中最为重要的安全问题作为切入点，抓住了数据安全的首要矛盾和平衡点，是我国数据安全范畴的一部重要根底性法令。

　　坚持整体国家安全观，是习新时代我国特色社会主义思想的重要内容。党的十九大清晰把坚持整体国家安全观列入新时代坚持和展开我国特色社会主义根本战略，作出了完善国家安全原则系统、加强国家安全才能建造的整体布置。面对新形势新任务新应战，有必要全面遵循执行整体国家安全观，坚持清醒脑筋、增强忧患意识、强化底线思想、做到高枕无忧，切实做好国家安全作业，坚决保护国家主权、安全、展开利益。网络安全的中心是数据安全，在数据对各范畴的重要性日积月累的一起，数据危险与数据安全问题也益发杰出，给人类和社会带来了史无前例的应战。在此布景下，数据的保护与办理不只关乎数据自身作为重要出产要素的开发运用与安全问题，并且与国家主权、国家安全、社会秩序、公共利益等息息相关。因而，依照整体国家安全观的要求，拟定一部数据安全范畴的根底性法令十分必要。

　　《数据安全法》表现了整体国家安全观的立法方针，聚集数据安全范畴的杰出问题，树立了数据分类分级办理，树立了数据安全危险点评、监测预警、应急处置和数据安全检查等根本原则，并清晰了相关主体的数据安全保护职责，这是我国首部关于数据安全的专门法令。

　　当时，全球经贸买卖、技能交流、资源共享等跨国协作日益频繁，数据跨境活动已经是无法避免的现实。假如我国的数据安全法只适用于“在中华公民共和国境内展开数据活动”的地域空间，显然是不现实的。为此，《数据安全法》第二条第二款清晰规矩：“在中华公民共和国境外展开数据处理活动，损害中华公民共和国国家安全、公共利益或许公民、安排合法权益的，依法追查法令职责。”

　　该款中的“境外展开数据处理活动”的主体既包含坐落我国境外的数据处理者，也包含坐落我国境内的数据处理者，但其数据处理行为在境外，这两类数据处理者的行为只需损害了我国国家安全、公共利益以及公民和安排的合法数据权益，均由我国法令统辖，并追查法令职责。

　　《数据安全法》第五条清晰：“中心国家安全领导机构担任国家数据安全作业的决议计划和议事和谐，研讨拟定、辅导施行国家数据安全战略和有关严重方针政策，统筹和谐国家数据安全的严重事项和重要作业，树立国家数据安全作业和谐机制。”这表明，《数据安全法》施行“中心国安委”统筹和谐下的职业监管机制：榜首，中心国家安全领导机构担任国家数据安全作业的决议计划和议事和谐，研讨拟定、辅导施行国家数据安全战略和有关严重方针政策，统筹和谐国家数据安全的严重事项和重要作业；第二，各地区、各部分对本地区、本部分作业中搜集和发生的数据及数据安全担任；第三，工业、通讯、交通、金融、自然资源、卫生健康、教育、科技等主管部分承当本职业、本范畴数据安全监管职责；第四，公安机关、国家安全机关等依照本法和有关法令、行政法规的规矩，在各自职责规模内承当数据安全监管职责；第五，国家网信部分依照《数据安全法》和有关法令、行政法规的规矩，担任统筹和谐网络数据安全和相关监管作业。

　　《数据安全法》第七条规矩：“国家保护个人、安排与数据有关的权益，鼓舞数据依法合理有用运用，保证数据依法有序自在活动，促进以数据为要害要素的数字经济展开。”数据作为出产要素由商场点评奉献、按奉献决议酬劳，这是党的十九届四中全会初次提出的一项严重产权立异原则。现在，各类网络渠道，尤其是超级网络渠道经过自身营建的网络生态系统，将网络公共空间的数据当作一种私权，不利于数据要素商场的构建。因而，《数据安全法》清晰提出“国家保护个人、安排与数据有关的权益”，这儿的“权益”指公民和法人受法令保护的与数据有关的权力和利益，在个人和安排与数据有关的权益得到充沛保护的根底上，依法推进数据合理有用运用和依法有序活动。

　　《数据安全法》第二十一条规矩：“国家树立数据分类分级保护原则，依据数据在经济社会展开中的重要程度，以及一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用，对国家安全、公共利益或许个人、安排合法权益形成的损害程度，对数据施行分类分级保护。国家数据安全作业和谐机制统筹和谐有关部分拟定重要数据目录，加强对重要数据的保护。”

　　《数据安全法》中的“数据分类分级”，选用了数据“重要程度﹢损害程度”的立法手法，对数据施行分类分级保护，特别是将“联系国家安全、国民经济命脉、重要民生、严重公共利益等数据”列为“国家中心数据”，施行愈加严厉的办理原则。《数据安全法》从国家层面提出了数据分类分级，是确认数据保护和运用之间平衡点的一个重要依据，为政务数据、企业数据、工业数据和个人数据的保护奠定了法令根底。

　　《数据安全法》没有给出“重要数据”的界说，而是经过“拟定重要数据目录”的方法确认“重要数据”。实践中，“重要数据”依照职业区分很难表现其“重要性”，因而一般不选用按职业区分的方法，而是从保护国家安全的高度，依照数据的重要程度进行分级，并经过国家拟定的“重要数据目录”清晰“重要数据”的称号和类别，“重要数据目录”应当当令进行更新。

　　“国家安全检查”是《国家安全法》最早树立的一项国家安全检查与监管原则。依据《国家安全法》第五十九条规矩：“国家树立国家安全检查和监管的原则和机制，对影响或许或许影响国家安全的外商投资、特定物项和要害技能、网络信息技能产品和服务、触及国家安全事项的建造项目，以及其他严重事项和活动，进行国家安全检查，有用防备和化解国家安全危险。”

　　数据安全检查原则与网络安全检查是依法树立的国家安全检查原则中两项重要的安全检查原则。《数据安全法》第二十四条规矩：“国家树立数据安全检查原则，对影响或许或许影响国家安全的数据处理活动进行国家安全检查。”《网络安全法》第三十五条规矩：“要害信息根底设施的运营者收购网络产品和服务，或许影响国家安全的，应当经过国家网信部分会同国务院有关部分安排的国家安全检查。”

　　《数据安全法》中的数据安全检查原则与《网络安全法》中的网络安全检查原则相得益彰，穿插适用，但两者在检查的详细目标上侧重点不同，前者的检查目标首要侧重于影响或许或许影响国家安全的数据处理活动，数据处理活动包含：数据的搜集、存储、运用、加工、传输、供给、揭露等；后者的检查目标首要针对要害信息根底设施运营者收购网络产品和服务，影响或或许影响国家安全的景象，这儿的“影响国家安全的景象”自身就涵盖了数据安全的内容。

　　《数据安全法》第二十三条清晰了“国家树立数据安全应急处置机制”，并要求“发生数据安全事情，有关主管部分应当依法发动应急预案，采纳相应的应急处置办法，避免损害扩展，消除安全隐患，并及时向社会发布与大众有关的警示信息”。该条有四层意思：一是要在国家层面构建数据安全应急处置机制；二是有关单位在发生数据安全事情时，应当依法当即发动应急预案，该条中的“有关单位”应当依照“谁主管谁担任、谁运转谁担任”的原则确认；三是采纳最有用的应急处置办法，避免损害扩展，要消除安全隐患，一起要安排研判，保存依据，并做好信息通报作业；四是及时向社会发布与大众有关的警示信息，着重“发布与大众有关的警示信息”，首要是为了让大众了解数据安全事情的本相，并及时采纳自我保护办法，避免其数据遭到损坏或在遭到损坏后避免丢失的扩展。数据安全事情应急预案应当依照紧迫程度、展开态势和或许形成的损害程度进行等级分类，一般分为四级：由高到低顺次用赤色、橙色、黄色和蓝色标明，别离对应或许发生的特别严重、严重、较大和一般网络安全突发事情。

　　数据合规，是指数据处理者及其作业人员的数据处理行为契合法令法规、监管规矩、职业原则和数据安全办理规章原则以及世界公约、规矩等要求。《数据安全法》第二十七条到第三十条清晰数据处理者应实行数据安全的四项重要合规职责。

　　一是展开数据处理活动应当依法合规。《数据安全法》第二十七条规矩：“展开数据处理活动应当依照法令、法规的规矩，树立健全全流程数据安全办理原则，安排展开数据安全教育训练，采纳相应的技能办法和其他必要办法，保证数据安全。运用互联网等信息网络展开数据处理活动，应当在网络安全等级保护原则的根底上，实行上述数据安全保护职责。重要数据的处理者应当清晰数据安全担任人和办理机构，执行数据安全保护职责。”该条规矩了五项重要职责：一是展开数据处理活动应当依照法令、法规的规矩；二是展开数据处理活动应当树立健全全流程数据安全办理原则，并安排展开数据安全教育训练；三是展开数据处理活动应当采纳相应的技能办法和其他必要办法，保证数据安全；四是运用互联网等信息网络展开数据处理活动，应当在网络安全等级保护原则的根底上，实行上述数据安全保护职责；五是重要数据的处理者应当建立专门的办理机构，并清晰数据安全担任人，这儿的“数据安全担任人”类似于GDPR的“数据安全保护官(DPO)”。

　　二是数据处理应当为民造福并契合社会道德道德。当时，数据处理者在数据处理活动中很多运用智能技能和算法技能，特别是数据处理者开发的智能技能与算法的交融，其本质是树立在大数据根底上的自我学习、判别和决议计划的算法。算法的中心是根据网络的编程技能，现在根据智能技能的算法决议计划具有典型的“黑箱”特色，很多违反社会公德和道德，最典型的便是大数据杀熟机制。针对数据处理者违反法令和违反社会公德乱用大数据新技能的景象，《数据安全法》第二十八条提出了展开数据处理活动以及研讨开发数据新技能的三项合规职责。一是数据处理者研讨开发数据技能，必定要利于促进经济社会展开；二是数据处理者研讨开发数据新技能，要以增进公民福祉为意图；三是数据处理者研讨开发数据新技能应当契合社会公德和道德。国家应当强化数据处理者和数据新技能开发者的科技道德办理主体职责，特别是对从事生命科学、医学健康、人工智能等触及数据道德灵敏范畴的数据处理者，应建立专门的数据安全道德(检查)委员会，并为其独立展开作业供给必要的条件保证。

　　三是数据处理活动应当加强危险监测。《数据安全法》第二十九条规矩：“展开数据处理活动应当加强危险监测，发现数据安全缺点、缝隙等危险时，应当当即采纳补救办法；发生数据安全事情时，应当当即采纳处置办法，依照规矩及时奉告用户并向有关主管部分陈述。”数据安全危险监测与点评是参照数据安全危险点评规范和办理规范，对数据财物价值、潜在要挟、薄弱环节、已采纳的防护办法等进行监测，剖析和判别数据安全事情发生的概率以及或许形成的丢失，并采纳有针对性的处置办法和提出数据安全危险管控办法。《数据安全法》第二十九条对数据安全的危险监测与数据安全事情的处置作出两项清晰要求，一是展开数据处理活动应当加强危险监测，发现数据安全缺点、缝隙等危险时，应当当即采纳补救办法；二是发生数据安全事情时，应当当即采纳处置办法，依照规矩及时奉告用户并向有关主管部分陈述。

　　四是重要数据处理者应当定时展开数据危险点评。《数据安全法》第三十条规矩：“重要数据的处理者应当依照规矩对其数据处理活动定时展开危险点评，并向有关主管部分报送危险点评陈述。危险点评陈述应当包含处理的重要数据的品种、数量，展开数据处理活动的状况，面对的数据安全危险及其应对办法等。”该条款有三项内容，一是重要数据的处理者应当依照规矩对其数据处理活动定时展开危险点评；二是数据危险点评陈述应当向有关主管部分报送；三是危险点评陈述应当包含处理的重要数据的品种、数量，展开数据处理活动的状况，面对的数据安全危险及其应对办法等。

　　《数据安全法》第三十一条规矩：“要害信息根底设施的运营者在中华公民共和国境内运营中搜集和发生的重要数据的出境安全办理，适用《中华公民共和国网络安全法》的规矩；其他数据处理者在中华公民共和国境内运营中搜集和发生的重要数据的出境安全办理办法，由国家网信部分会同国务院有关部分拟定。”本条规矩了重要数据出境安全办理的规矩，首要触及两方面内容，一是要害信息根底设施的运营者在中华公民共和国境内运营中搜集和发生的重要数据的出境安全办理，适用《中华公民共和国网络安全法》的规矩；二是除要害信息根底设施的运营者处理的重要数据外，其他数据处理者在中华公民共和国境内运营中搜集和发生的重要数据的出境安全办理办法，由国家网信部分会同国务院有关部分拟定。关于“重要数据”的规模，首要指与国家安全、经济展开，以及社会公共利益密切相关的数据，详细规模应参照国家“重要数据目录”和国家重要数据辨认的相关规范。

　　《数据安全法》第三十四条规矩：“法令、行政法规规矩供给数据处理相关服务应当获得行政答应的，服务供给者应当依法获得答应。”答应含有答应、答应或授权的意思，数据处理相关服务的行政答应，其根本性质是行政机关对特定的数据处理服务活动进行事前操控的一种办理行为。

　　数据处理相关服务的行政答应一般应具有以下特征：一是从事数据处理相关服务的行政答应是一种由行政相对人请求的行政行为，没有行政相对人的请求，行政机关不能自动予以答应。二是数据处理服务行政答应的设定意味着法令的一般制止，行政答应的内容是国家一般制止的活动，为习惯社会生活和出产的需求，对契合必定条件者免除制止，答应其从事某项特定的活动。数据处理服务自身触及保护国家主权、安全和展开利益，应该是国家一般制止的行为，但国家为了促进数据开发运用，在保证数据安全的前提下，对契合条件的安排和个人答应其施行数据处理服务行为。三是数据处理服务行政答应是一种授益性行政行为，即赋予相对人某种权力和资历的授益性行政行为，是答应相对人从事数据处理服务这项特定活动的行为。