《数据安全法》评议：全球数据保护政策下的中国处方

作者：周杨 辛小天 史蕾

2021年6月10日，《中华人民共和国数据安全法》正式稿由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，并予以公布，自2021年9月1日起施行。正式稿的发布距离二审稿的发布仅仅间隔了43天，距离其被列入拟提请审议的法律草案之日则仅仅间隔了1000余日。相比启动于18年前的个人信息保护立法，《数据安全法》的诞生可谓风驰电掣，一路坦途。正如《数据安全法：来路与前途》中所述，数据关乎国家政治、关乎国家主权，亦关乎全球数字经济博弈。《数据安全法》正是中国应对全球复杂局势的一剂对症处方，它既有应对时下的药性凶猛之处，也具备长远治理对策。目前，距离处方正式生效，还有83天。

本文中，我们尝试从具体条文出发，解构《数据安全法》的主要规制内容，并提示对企业合规可能产生的影响。

《数据安全法》的立法目标和监管体制

1. 立法目标

《数据安全法》第一条开宗明义地列明了其立法目标，即“保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益”，可见其立法宗旨包括了“维护国家主权安全”和“保障数据安全和发展”两层重要含义。

(1) 在维护国家主权安全方面，《数据安全法》第四条明确规定，“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”，这一条款反映了立法者将数据安全作为落实国家安全的重要举措，并反映了立法者规划将建立数据安全治理体系作为数据安全具体实现手段的意图。同时，结合《数据安全法》第六条和第七条确定的监管体制可见，数据安全的领导机构为中央国家安全领导机构。这一领导机构的确立也更为明确地揭示了国家安全和数据安全之间的紧密联系。

(2) 在保障数据安全和发展方面，《数据安全法》第十三条规定，“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”同时，《数据安全法》第二章中不同条款分别从实施战略和发展规划（第十四条）、鼓励技术研究和推广（第十六条）、推进标准体系建设（第十七条）、促进评估认证发展和写作（第十八条）、培育数据交易市场（第十九条）和支持教育培训和培养人才（第十九条）等方面，展现了《数据安全法》对数据安全和发展的兼顾。

2. 适用范围

(1) 直接理解

《数据安全法》的适用范围在第二条中被确立为在中国境内开展数据处理活动及其安全监管。随后，《数据安全法》第三条列举了几个重要概念对该适用范围的边界进行了框定：

数据：指任何以电子或者其他方式对信息的记录。显然，该定义与《网络安全法》的调整对象“网络数据”存在了部分交叉（网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据），但扩展了范围，包含了非网络部分和其他形式记录信息的数据，与《民法典》保持了一致性。

数据处理：包括数据的收集、存储、使用、加工、传输、提供、公开等。该数据处理定义与《民法典》保持了一致性。

数据安全：指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

(2) 域外效力补充

《数据安全法》第二条规定“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”这一规则是国家主权观念的基本体现。但是，实践中如何有效追究境外危害行为，则有赖于与国际法层面的域外执行等规则进行衔接与配合。

(3) 例外排除

《数据安全法》第七章附则中，列举了部分适用范围的排除项，包括：国家秘密、军事数据，以及在统计、档案工作中开展的数据处理活动、开展涉及个人信息的处理活动。此类数据和信息，应当适用专门法规的规定。

3. 监管体制

《数据安全法》第五条确立了数据安全监管体制，该体制既涉及自上而下的领导和监管，也涉及部门和地区的网格交叉监管，我们尝试列表解读如下：

《数据安全法》主要内容梳理

《数据安全法》第三章确立了国家层面的制度建设工作，包括数据分类分级保护制度、数据安全风险评估及监测预警制度、数据安全审查制度、出口管制制度、对外国歧视性行动的反制措施等。这些制度都不同程度地呼应了数据安全与国家安全之间的紧密关联，同时也反映了当局对近年来全球数据流动紧张局势的态度和对策。

1、确立数据分级分类保护制度和重要数据目录确认方式

《数据安全法》确立了国家层面的数据分类分级保护制度，并将该制度的核心目标确立为保护重要数据及核心数据。

核心数据是《数据安全法》正式稿中出现的夺人眼球的全新定义。根据《数据安全法》第二十一条，核心数据是指“关系国家安全、国民经济命脉、重要民生、重大公共利益等”的数据，将“实行更加严格的管理制度”。显然，《数据安全法》希望将重要数据中涉及前述要素的数据提炼为需要单独、额外保护的数据类型，以起到保护更为核心和重要的利益，然而不难设想，这一定义很大可能将再次出现当初类似重要数据的解构难关。关于核心数据的范围界定及具体的管理机制可能将再次掀起不确定性的适用波澜。

但无论如何，重要数据的监管规则在《数据安全法》中得到了较为全面的梳理，就本章节而言，重要数据的识别脉络逐渐清晰，即重要数据目录将由国家层面确立，后通过网格化管理模式由各地区各部门确认自身重要数据的具体目录：

重要数据目录：由国家数据安全工作协调机制统筹协调有关部门制定，加强对重要数据的保护。

重要数据具体目录：由各地区、各部门按照数据分类分级保护制度，确定本地区、本部门及相关行业、领域的重要数据具体目录，对列入目录的重要数据进行重点保护。

这一模式可能来自于实践的反馈，各部门往往对本部门涉及行业的数据类别和重要性有更加准确的认识。例如，国务院2018年3月17日发布的《科学数据管理办法》将科学数据的分级分类工作授权科学数据中心完成；工业和信息化部2020年2月印发的《工业数据分类分级指南(试行)》中，提出了对工业数据的分类和分级标准；中国证券监督管理委员会2019年6月1日实施的《证券基金经营机构信息技术管理办法》也要求证券基金经营机构“将经营及客户数据按照重要性和敏感性进行分类分级，并根据不同类别和级别作出差异化数据管理制度安排”。伴随着数字化进程的推进，重要数据的界定工作将会越来越有序而高效，对于全球化企业而言，重要数据范围的确认也将为其全球化业务带来确定性的利好。

2. 建立数据安全保护制度，并针对重要数据进行加集保护

《数据安全法》第四章第二十七条、二十九条和三十条集中规定了数据处理者系统的数据安全保护义务，我们对之进行了简单拆分梳理，包括：

(1) 数据安全管理类义务

义务1:建立健全全流程数据安全管理制度（网络安全等级保护制度基础上）

义务2:组织开展数据安全教育培训

义务3:采取相应的技术措施和其他必要措施

(2) 风险监测和安全事件处置义务

义务4:加强风险监测义务

义务5:对安全缺陷、漏洞的补救义务

义务6:发生安全事件时及时采取处置措施，告知用户并向主管部门报告义务

(3) 重要数据处理者的特别义务

组织架构

义务1:设立并明确数据安全负责人

义务2:设立并明确数据安全管理机构

义务3:落实数据安全保护责任

风险管理

义务1：定期开展风险评估

义务2：向有关主管部门报送风险评估报告

义务3：评估报告内容全面无缺漏义务

重要数据出境要求

义务1：CIIO重要数据：《网络安全法》本地化要求+出境评估

义务2：其他重要数据：由国家网信部门会同国务院有关部门制定出境

值得一提的是，数据安全保护义务和《网络安全法》第二十一条和二十五条的网络安全保护义务存在交叉和补充的关系，进一步的，若违反上述数据安全保护义务，则有可能涉及《刑法（修正案九）》规定的“拒不履行信息网络安全管理义务罪”，即，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

鉴于《网络安全法》和《数据安全法》对于数据安全保护义务的规定较为琐碎，且均属于需要日常坚持不懈，难以自证合规或容易违反要求的常规义务，因此企业应高度注意相应制度的建设和落地实践，以及相关实践证明的留存，避免因此遭受行政乃至刑事处罚。

3. 数据管制和反制

《数据安全法》第二十五条和二十六条表明了中国将对“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”，同时，“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”

我们理解，这一规定是对当今国际部分地区数据壁垒政策的反击。在过去的一年中，我国已经遭受了诸多来自于其他国家和地区的限制性措施，例如，印度电子信息技术部以“有损印度主权、国防、国家安全和公共秩序”为由宣布禁用TikTok、微信等59款中国应用，且严格管控检查所有从中国购买的电力设备，以确认其中是否存在恶意软件或木马病毒。又如，2021年6月9日，美国总统拜登当天签署一项行政命令，撤销前总统特朗普在任期间对中国大陆社交软件TikTok（抖音海外版）和WeChat（微信海外版）的禁令，至于特朗普2021年1月签署禁止与包括支付宝在内共8个中国大陆软件交易的命令，也一并撤回。取而代之的是，拜登将指示商务部长调查与外国“对手”有联系的应用程序，理由是美国政府认为这些应用程序可能对美国数据隐私及国家安全构成风险。

4. 执法配合和协助

《数据安全法》第三十五条和三十六条规范了组织和个人如何配合和协助境内外执法活动。就境内公安机关、国家安全机关在执法活动中需要调取证据的，《数据安全法》要求必须“按照国家有关规定，经过严格的批准程序，依法进行”，该规定显然是为了管控公安机关和国家安全机关执法时的权力边界，为组织和个人协助执法过程中提供数据控制风险，因此，何为严格的批准程序就更为令人期待。

就境外执法的配合和协助来看，《数据安全法》要求由中国“根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。”该要求为涉及境外执法配合和协助的组织和个人提供了适用规范。同时，与一审和二审稿相比，《数据安全法》本次对于涉及境外执法配合和协助的主体也进行了义务规制，即“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”这一规制再次反映了《数据安全法》对国家主权和国家安全的捍卫，也是对美国云法案（Cloud Act）、欧盟电子证据立法建议等超越数据物理边界调取数据染指他国主权的危险行为的正式拒绝。

5. 政务数据开放

《数据安全法》第五章专章规定了政务数据安全与开放。自 2015年8月《国务院促进大数据发展行动纲要》出台以来，中央和各部委发布了多份提及政务数据共享开放的重要文件，如《关于推进公共信息资源开放的若干意见》、《数字经济发展战略纲要》、《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》等。特别是《政务信息资源共享管理暂行办法》、《政务信息系统整合共享实施方案》、《政务信息资源目录编制指南（试行）》三份重要文件，不仅明确了政务数据共享的原则，也为信息系统整合实施和标准体系建设提供了引导。《数据安全法》则进一步提炼了上述文件的核心，肯定了将“大力推进电子政务建设”，“遵循公正、公平、便民原则”，并要求“提高政务数据的科学性、准确性、时效性”，明确将由“国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用”。

具体到规定中，《数据安全法》更多地着墨于对国家机关的行为规范，包括：

• 法定职责内收集使用数据的规范
• 履职范围内知悉数据的保密责任
• 委托行为（建设电子政务系统或处理政务数据）需经过严格的批准程序，并对受托方进行监督
• 建立安全管理制度
• 落实数据安全保护责任
• 保障政务数据安全

6. 其他制度

数据交易管理制度：《数据安全法》展示了对数据交易的扶持。第十九条确立了国家制度层面，将建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。第三十三条则具体地对从事数据交易中介服务的机构及服务方式提出要求，要求其“应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录” ，显示了数据安全法对数据交易模式中的重点关注：数据合法性和交易的合规性，这也许反映了立法层面对贵阳、上海、西安、武汉等现存大数据交易所的阶段性合规重点提炼。

数据安全审查原则：《数据安全法》第二十四条确认了粗略的数据安全审查原则，“对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”该条款仅作出了原则性规定，缺乏对审查主体、审查方式、审查内容的进一步明确，但再次展示了国家安全在《数据安全法》中的投射，免于行政复议的最终决定也进一步反映了《数据安全法》对国家安全观的坚决支持。

7. 罚则

《数据安全法》采用了与《网络安全法》一致的法则体例，针对不同主体和活动规定不同的责任，但整体的处罚力度有了较大福提升，就对比一审稿而言，均提高了2-5倍的处罚额，针对核心数据甚至出现了1000万元的罚款额度，同时直接责任人从“直接负责的主管人员”扩展到“直接负责的主管人员和其他直接责任人员”，助推企业组织及内部人员的自治程度。

具体而言，《数据安全法》对一下违法行为进行了特别关注，企业应对照上文的建议进行合规自查，为方便理解违法行为的受关注程度，我们简单整理了最高处罚供参考：

8. 尚待关注的问题

《数据安全法》喧嚣而来，经历了数据安全从业者的重重质疑和热烈讨论，如今终于尘埃落定，具备了相对完整的体系，亦能承担在特定发展阶段中守护国家安全的特定使命。但如同所有法律，《数据安全法》并非完美无暇。就我们的认知范围内，《数据安全法》还有没有回答和解决的疑惑，例如，核心数据后续如何确定和管理？国家数据安全工作协调机制是何种机制，是否会对外公布；分别出现在配合境内执法和国家机关委托他人建设维护政务系统和政务数据中的“严格的批准程序”究竟是什么程序？数据安全审查的审查内容和后果何时能够确认？兼顾安全和发展的《数据安全法》何时从偏安全轻发展的时代枷锁中解脱？以及如何理解《数据安全法》《网络安全法》和《个人信息保护法》的交叉和适用？我们仍将以拳拳之枕，以热切之意，继续期待。

声明：本文l享法互联网JoyLegal。