今日咱们接着上星期触及网络安全查看的论题，偏重和咱们同享一下我自己学习《数据安全法》的领会。

　　2019年3月，美国参议院做出的《确认华为和中兴通讯等我国电信公司对美国及其盟国的国家安全构成严重威胁的抉择》，直指“鉴于《我国网络安全法》第28条要求网络运营商包含华为等公司，向参加国家安全作业的供应技能支撑和帮忙。

　　鉴于《我国国家情报法》第7条要求全部安排和公民，包含华为、中兴等公司，支撑、帮忙和合作国家情报作业”，抉择确认华为、中兴等我国电信公司对美国和美国盟国的国家安全构成严重威胁。在《我国私有和国有企业均在我国有用操控之下的声明》中，美国众议院责备我国《公安机关互联网安全监督查看规则》赋予了公安机关对企业服务器上存储的数据的查看和仿制权。《网络安全法》第22条、第23条，《暗码法》第31条赋予了我国监管安排获取企业加密密钥、源代码等信息的权利。

　　2018年美国发布了《弄清域外合法运用数据法》（The Clarifying Lawful Overseas Use of Data Act, CLOUD Act，以下简称“《云法案》”），经过长臂统辖准则建立了一个能够绕过数据所在国监管安排，而直接向企业获取数据的跨境数据调取机制。

　　《网络安全法》构建的网络安全等级维护准则、要害信息基础设施维护准则、数据本地化与跨境活动准则、个人信息维护准则等是当时数据安全办理的重要依据。但《网络安全法》的部分重要准则，如数据本地化与跨境活动配套准则迟迟未能出台。

　　《数据安全法》草案的立法阐明中指出：各类数据的具有主题多样，处理活动杂乱，安全危险大。所以有必要经过立法建立健全各项准则方法，切实加强数据安全维护，维护共识、安排的合法权益。

　　《数据安全法》的内容总共七章，触及微观和微观层面的数据安全，微观层面是国家的数据安全监管，微观又包含企业和政府的数据安全职责和职责。

　　规则了立法意图、法令的适用范围、要害概念的界说、办理系统、办理准则等内容。

　　标准的对象是：数据处理活动。可是鉴于数据触及不同主体的利益，根本价值有两个：维护数据安全和促进数据开发使用。

　　域外——在中华人民共和国境外展开数据处理活动，损害中华人民共和国国家安全、公共利益或许公民、安排合法权益的，依法追查法令职责

　　比方，美国亚马逊公司在我国展开网购事务，假定不是经过其我国公司，而是直接由美国公司来运营，那么在其我国事务运营过程中触及到的数据处理活动是不是受我国《数据安全法》的标准呢？

　　依据《数据安全法》第二条的规则，中华人民共和国境内展开数据处理活动及其安全监管均受其统辖。

　　那么美国亚马逊公司在我国的运营是否能够确认为“境内展开数据活动”呢？《数据安全法》对何为“境内展开数据活动”并没有界定。

　　《数据出境安全评价攻略（征求意见稿）》规则了一个“境内运营”的概念。即在中华人民共和国境内展开事务，供应产品或服务的活动，而不管运营者是否在境内注册。

　　上述攻略提出了几项参阅因素以帮忙判别，包含但不限于：运用中文；以人民币作为结算钱银；向我国境内配送物流等。

　　因而，美国亚马逊公司在我国的网上出售运营即使不以人民币付出，网站都是英文的，由于必定触及向我国境内配送物流，所以必定是能够界定为在我国境内运营的。

　　当然这一规则是否能够作为对“境内展开数据活动”的解说，仍需后续拟定相关的配套方针和方法中进跋涉一步清晰。

　　可是咱们这儿能够做一个初步判别：即使美国亚马逊公司的注册地、首要经营安排、存储服务器均不在国内，但仍然或许遭到《数据安全法》的束缚。

　　《数据安全法》对境内的规则是从行为而不是从主体规则的。比较之下，2018年3月，美国经过《弄清域外合法运用数据法》（The Clarifying Lawful Overseas Use of Data Act, CLOUD Act，以下简称“《云法案》”），只适用于在美国有实践存在（如办公室、人员等）的通讯服务供应商。

　　朋友们或许会想：依据咱们《数据安全法》对境内的规则，咱们如同比美国管得更宽嘛。

　　工作并没有这么简略，为什么呢？由于美国的云法案规则了域外统辖。便是咱们刚开始说的长臂统辖。从美国司法部对外发布的白皮书对《云法案》适用范围作出的官方解说中能够看出，《云法案》绝不只是适用于在美国注册建立的公司，境外的公司只需在经营活动中与美国有满足的联络（contacts），就或许触发美国法令的统辖权。

　　不管通讯、记载或其他信息是否存储在美国境内，通讯服务供应者均应当依照美国的法令流程的要求，保存、备份、发表通讯内容、记载或其他信息，只需上述信息为该供应者所具有（possess）、监护（custody）或操控（control）。假如亚马逊公司收到美政府的数据调取令，即使数据刚好存储在我国境内，只需数据为该公司所操控、监护，亚马逊都应当将数据从我国取回，并供应给美国政府。

　　比方，政府为法令需求，能够调取美国通讯服务供应商（包含在美国有实践存在的外国服务供应商）存储在全球的数据。尽管其云法案的统辖是从“主体”视点约束的，可是凭借着长臂统辖，美国实践大将美国企业打形成自己在网络空间中的疆域延伸。

　　相同，欧盟的法令手伸得也很长。欧洲数据维护委员会发布的GDPR地域适用攻略中规则：契合“经营安排”标准或“方针指向”标准其间之一的数据处理者和操控者，均需求恪守GDPR的规则。只需向欧盟居民供应产品或服务（不管是否产生付出行为）、对欧盟居民进行监控、数据处理活动由建立在欧盟境内的经营安排进行，都遭到GDPR统辖；即使安排不在欧盟境内，只需与欧盟有紧密联络的景象均遭到GDPR约束。

　　全球各国政府跨法域调取数据的状况也越来越常见，依据苹果公司2020年的透明度陈述，仅2020年上半年，苹果公司就收到来自超越50个国家及区域的法令安排，合计28,276个数据调取恳求。

　　依据《数据安全法》第二条的规则，法令对域外也适用。那么谁的法令手更长呢？美国和欧盟的法令在域外统辖上都是“行为论”，《数据安全法》现行规则则是以“结果论”为标准。即假如数据活动形成了对我国国家、社会、公民利益损害的，相关安排和个人应被追查法令职责，确认了我国掌握主动权，以国家利益为主导监管各类数据活动的鲜明立场。可是《数据安全法》未规则我国法令安排能对境外安排或个人调取信息或要求帮忙合作的权限。比较美国《云法案》（即只需在经营活动中与美国有满足的联络（contacts）便可触发美国法令的统辖权）与GDPR（即向欧盟数据主体供应产品或服务或监控欧盟数据主体），我国对《数据安全法》统辖权的手臂伸得并不是那么长。咱们之前讲过触及个人信息维护的主题，《数据安全法》的中心概念不是个人信息，而是数据。

　　那么，什么是“数据”呢？《数据安全法》第三条对触及数据的一些要害概念进行了界说。数据是指任何故电子或许其他方法对信息的记载。

　　我国的相关法令运用了个人信息，数据不同的概念。《网络安全法》从要害信息基础设施相关的数据、重要数据、个人信息三个类别对网络运营者进行规制；《个人信息维护法》维护个人信息。《数据安全法》则不管信息的呈现方法（电子/其他方法）、不管搜集方法（经过网络/非经过网络）、不管数据的内容（可辨认身份的个人信息/与国家安全、经济发展以及社会公共利益密切相关的重要数据/其他数据），数据泛指全部对信息的记载。因而，区别“数据”与“信息”的概念也是《数据安全法》的一个亮点。它凸显了数据作为一种资源的性质，一起它上面有不同主体的合法权益，或许是个人的，触及隐私权和个人信息运用的答应权；也或许是安排开发的，一起，全体上数据是国家基础性战略资源，因而关乎国家安全。

　　关于这一国家基础性战略资源，该怎样对其安全进行办理呢？《数据安全法》规则了一个数据安全办理系统，中心决议计划和谐，施行归口办理，各职业、各当地、公安、网信依据其职业、当地的特色拟定详细的数据安全办理规则。比方，金融、医疗等职业的特色都不相同，应别离拟定数据安全办理的规则。

　　展开数据处理活动，应当恪守法令、法规，尊重社会公德和道德，恪守商业道德和职业道德，诚笃守信，实施数据安全维护职责，承当社会职责，不得损害国家安全、公共利益，不得损害个人、安排的合法权益。

　　接下来咱们看看关于数据安全，国家层面要做哪些事？第二章规则了国家层面数据安全办理的内容

　　这一章对咱们有什么含义呢？这些都是国家要大力发展的方面。比方，具有数据技能的企业能够经过立异供应数据安全检测评价、认证服务。

　　(2) 集中统一的数据安全机制（安全危险评价、陈述机制，数据安全同享机制、数据安全检测预警机制）

　　对数据进行分类分级的首要标准为“数据在经济社会发展中的重要程度、以及一旦遭到篡改、损坏或许不合法获取、不合法使用，对国家安全、公共利益或许个人、安排合法权益形成的损害程度”。

　　《数据安全法》第21条规则了“重要数据”和“中心数据”的概念。可是，详细哪些是重要数据，要由归口部分发布目录来确认。联系国家安全、国民经济命脉、重要民生、严重公共利益等数据归于国家中心数据，国家实施愈加严厉的办理准则。

　　《数据安全法》第26条规则了反制方法，可依据实践状况对外国或许区域在与数据和数据开发使用技能等有关的出资、买卖等方面对我国采纳歧视性的制止、约束或许其他相似方法采纳“对等方法”。

　　刚刚咱们讲到美国和欧盟的长臂统辖，美国企业不管在境内外获取的数据内容，只需美国政府经过恰当的法令程序，就能够及时调取。《数据安全法》第36条的规则便是对此的回应。36条规则非经中华人民共和国主管机关同意，境内的安排、个人不得向外国司法或许法令安排供应存储于中华人民共和国境内的数据。即企业在面对境外监管安排的直接法令时，不能直接供应境外监管安排要求的数据，而是需求先行上报给我国主管机关，取得同意后刚才可供应。

　　例如，假如我国企业虽未在欧盟设有实体，但直接向欧盟境内的数据主体供应产品，依据咱们上面提到过的域外统辖，会遭到欧盟GDPR的标准。在此状况下，如欧盟的数据维护安排依据其职权对企业进行调查，要求企业供应存储于我国境内的相关数据时，我国企业在向我国主管机关报批获准后方可供应。《数据安全法》的第36条无疑显示出对部分国家域外长臂统辖法令进行有礼有节的回应情绪。当然，详细向哪个机关报批，该实施什么样的程序，还需求相关部分规章或许国家标准进一步细化规则。

　　讲完微观的准则之后，咱们来看看《数据安全法》对咱们企业处理数据的活动有什么规则，也便是咱们进行合规办理的依据。《数据安全法》第四章准则性规则了企业在数据处理过程中的多项安全维护职责，第六章则规则了违背相关职责的法令职责。安全维护职责是从事数据处理的企业数据合规的重要依据。

　　总的来说，企业的数据安全维护职责包含：展开安全训练、完善准则建造、危险评价监测、陈述安全事情、执行数据分类分级等。

　　从合规的视点来说，《数据安全法》区别了一般企业的合规职责以及处理重要数据的企业的额定职责。

　　企业到底有什么数据安全合规职责？该怎么做来实施这些职责，假如不实施会承当什么职责？关于这三个方面，我依据《数据安全法》的规则做了一个表格。

　　表格比较长，咱们能够渐渐看。从合规的视点来说，《数据安全法》区别了一般企业的合规职责以及处理重要数据的企业的额定职责。这个表中赤色的部分是触及重要数据的企业职责

　　比方合法收集数据，全流程数据安全办理准则，呈现安全事情之后的陈述职责，重要数据的危险评价和陈述职责，重要数据的境况安全办理职责等。

　　数据处理的全流程一般都会触及其他买卖同伴，比方企业出产外包，收购服务，托付加工，托付开发等都或许会将数据传输给其他买卖同伴，主张企业应当在自己对外的出售合同、服务收购合同、外包合平等各种或许触及传输个人信息与重要数据的事务合同中参加数据安全合规条款，要求合同相对方许诺恪守《数据安全法》规则的职责。

　　最好约好因对手的差错导致本方承当被处分或承当法令职责的，应当补偿本方因而遭受的丢失等。

　　关于数据安全办理的实践，信通院刚刚发布了一个攻略，包含一些闻名互联网大厂的做法，供咱们参阅.

　　《数据安全法》的信息量很大，我自己也是在学习，整理其与其他法令的联系。现学现卖，欢迎批评指正