2021年6月10日，备受关注的《中华人民共和国数据安全法》（下称“《数据安全法》”）在第十三届全国人民代表大会常务委员会（下称“本届人大常委会”）第二十九次会议通过并发布，将于今年9月1日起正式施行。

《数据安全法》在2018年9月7日本届人大常委会公布的立法规划中被列入第一类项目，即条件比较成熟、任期内拟提请审议的法律草案。此后，先后于2020年7月、2021年4月公布草案和草案二次审议稿，并公开征求意见。《数据安全法》是数据领域的基础性法律，也是国家安全领域的一部重要法律[1]。时间和篇幅有限，本文将以《数据安全法》中企业合规的相关问题为重点进行简要评析和解读。

《数据安全法》是一部什么法律

《数据安全法》是关于数据安全的基础性法律。《数据安全法》与2017年6月正式施行的《中华人民共和国网络安全法》（下称“《网络安全法》”）和正在立法审议中的《中华人民共和国个人信息保护法》（下称“《个人信息保护法》”）既有联系又有区别，互为保障也互相促进。《网络安全法》是我国第一部关于网络安全领域的基础性法律，确立了网络运行安全和网络信息安全的两大安全主线。《数据安全法》是对信息安全基本制度等的进一步确立和落实。《个人信息保护法》则是对于数据中重点内容之一的个人信息进行规范的基本法律。《网络安全法》《数据安全法》《个人信息保护法》将共同构成我国网络安全和数据保护领域基础性顶层立法的三驾马车。

《数据安全法》共七章，55条。包括数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放以及相关法律责任等内容，涉及与数据的收集、存储、使用、加工、传输、提供、公开等数据全生命周期处理活动相关的数据安全基本方针、原则和制度要求。《数据安全法》不仅适用于境内的数据处理活动及安全监管，同时对于境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的行为也可适用[2]。

《数据安全法》的核心在于保障数据安全，目的在于促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益[3]。《数据安全法》明确了数据安全的目标或者法律价值在于数据的有效保护和合法利用[4]。为了与相关法律相衔接和呼应，并突出上述目标和价值，《数据安全法》中明确强调了“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”

《数据安全法》中的数据安全制度

为了落实数据安全的要求，《数据安全法》中明确了国家将建立以下数据安全制度。包括数据分类分级保护制度（第二十一条）、数据安全风险评估、报告、信息共享、监测预警机制（第二十二条）、数据安全应急处置机制（第二十三条）、数据安全审查制度（第二十四条）、数据的出口管制制度（第二十五条）、对境外歧视措施的对等措施（第二十六条）。

数据分类分级保护制度是数据安全制度中的核心，与自《网络安全法》开始的分类分级管理的总体要求和思路一以贯之，也将是网络安全和数据保护领域具体工作实施和监管的重点领域。根据数据的重要程度以及遭受损害时的危害程度，对数据进行分类分级，并针对性采取保护措施，是数据安全保护的基本要求。

其余各项数据安全制度同样体现了与其他法律法规的衔接和联系，具体制度的落实有待于相关配套法规的出台和落实，同样需要给予密切的关注。

《数据安全法》中的数据安全保护义务

《数据安全法》在第四章第二十七条到第三十六条规定了数据安全保护义务，其中既有原则性的规定也有相对具体的要求。

主要包括：

建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施；

重要数据处理者需要明确数据安全负责人和管理机构及其职责；

开展数据处理和研发新技术需要符合社会经济发展和人民福祉的要求及社会公德和伦理；

加强风险监测，采取必要补救措施，发生数据安全事件时的对应和报告；

重要数据处理者的风险评估和报告义务；

重要数据的出境安全管理义务；

数据收集应当采取合法、正当的方式，并在合法的目的和范围内收集、使用数据；

数据交易中介服务机构需要确认数据来源、审核交易双方身份、并留存审核、交易记录；

公安机关、国家安全机关应当合法调取证据，有关组织、个人应当予以配合；

依法处理外国司法或者执法机构提供数据的要求。

在《数据安全法》第六章的法律责任的规定中，对于违反数据安全保护义务的行为，根据情节确立了从责令改正、给予警告、对单位和直接负责的主管人员和其他直接责任人员进行罚款、直到责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等法律责任。企业有必要对于数据安全义务给予充分的重视。

特别提示

1、《数据安全法》在《网络安全法》等相关法律法规强调的重要数据之外，特别追加了国家核心数据的概念，即关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据，要求实行更加严格的管理制度[5]，并在法律责任中对于违反国家核心数据管理制度追加规定了明确且严厉的法律责任[6]。《数据安全法》中明确了由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，由各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录的规定，相关企业特别是工业、电信、交通、金融、自然资源、卫生健康、教育、科技等行业、领域的重点企业，有必要密切关注重点数据目录的推出，对于重要数据特别是国家核心数据及时采取对应的保护管理措施。

2、《数据安全法》第二十七条规定，利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。这是对于《网络安全法》确立国家实施网络安全等级保护制度的确认和强调，与前述数据分类分级管理制度相辅相成。我们预计《网络安全等级保护条例》等配套法规有可能加速出台，落实网络安全等级保护的相关监管要求也会进一步强化。

3、《数据安全法》第三十一条规定，关键信息基础设施运营者在境内收集和产生的重要数据的出境安全管理适用《网络安全法》的规定，其他数据处理者重要数据的出境安全管理由国家网信部门会同国务院有关部门制定。由此，我们理解与《网络安全法》施行后，发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》等将数据出境安全评估的对象由关键信息基础设施运营者扩大到所有网络运营者相区别，对于关键信息基础设施运营者和一般数据处理者的数据出境管理将采取不同的管理方式。对于关键信息基础设施运营者的认定、重要数据的范围以及出境安全评估办法的明确，预计《关键信息基础设施安全保护条例》《重要数据出境安全管理办法》等配套法规也会陆续出台。

结语

数据已经成为重要的生产要素，数字经济必将蓬勃发展。《数据安全法》是时代的产物，同时必将促进数字经济的健康发展，推动数据要素市场建设的进程。企业必须在切实履行数据安全保护义务的基础上才能实现数据资产的合法有效利用。这既是合规的基本要求，也是企业发展的动力。率先实现数据的合规、有效利用，必将成为企业的核心竞争力之一。

同时，我们期待另一只靴子--《个人信息保护法》的落地和配套法规的进一步明确和落实。

注释：

[1] 《数据安全法：护航数据安全　助力数字经济发展》http://www.gov.cn/xinwen/2021-06/10/content_5616847.htm

[2] 《数据安全法》第二条

[3] 《数据安全法》第一条

[4] 《数据安全法》第三条

[5] 《数据安全法》第二十一条

[6] 《数据安全法》第四十五条