數據安全已成為事關國家安全與經濟社會發展的重大問題。黨中央對此高度重視，習近平總書記多次作出重要指示批示，提出加快法規制度建設、切實保障國家數據安全等明確要求。黨的十九大報告提出，推動互聯網、大數據、人工智能和實體經濟深度融合。黨的十九屆四中全會決定明確將數據作為新的生產要素。

[[334301]]

今年6月28日，《數據安全法(草案)》(下文簡稱“數安法”)提請十三屆全國人大常委會第二十次會議初次審議。7月3日，數安法向社會公眾公開征求意見，各位專家和網友紛紛在互聯網上展開熱議。

今天，我們不做解讀，因為目前還是草案，距離正式頒布還有一些時間，只把我近期所了解到的內容，結合一些自己的想法說出來，一起聊聊《數安法》。

1 《數據安全法》立法宗旨

官方起草說明

首先，我們先看下國家為什么要起草《數安法》，以下引用官方的起草說明：

按照黨中央部署和貫徹落實總體國家安全觀的要求，制定一部數據安全領域的基礎性法律十分必要：

• 一是，數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全。因此，應當按照總體國家安全觀的要求，通過立法加強數據安全保護，提升國家數據安全保障能力，有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全和發展利益。
• 二是，當前，各類數據的擁有主體多樣，處理活動復雜，安全風險加大，必須通過立法建立健全各項制度措施，切實加強數據安全保護，維護公民、組織的合法權益。
• 三是，發揮數據的基礎資源作用和創新引擎作用，加快形成以創新為主要引領和支撐的數字經濟，更好服務我國經濟社會發展，必須通過立法規范數據活動，完善數據安全治理體系，以安全保發展、以發展促安全。
• 四是，為適應電子政務發展的需要，提升政府決策、管理、服務的科學性和效率，應當通過立法明確政務數據安全管理制度和開放利用規則，大力推進政務數據資源開放和開發利用。

起草工作的重點：

• 一是，把握正確政治方向，貫徹落實總體國家安全觀，堅持黨對數據安全工作的領導。
• 二是，立足數據安全工作實際，著力解決數據安全領域突出問題，同時堅持包容審慎原則，鼓勵和促進數據依法合理有效利用。
• 三是，數據安全法作為數據領域的基礎性法律，重點是確立數據安全保護管理各項基本制度，并與網絡安全法、正在制定的個人信息保護法等做好銜接。

據了解，一些與《數安法》相關的法規、制度、標準都已在路上了，比如：《個人信息保護法》(起草中)、《App違法違規收集使用個人信息行為認定方法》、 《信息安全技術 個人信息安全規范》、 《數據安全管理辦法》(征求意見稿)、《個人信息出境安全評估辦法》(征求意見稿)等等。

1.1 法律地位

不難看出，《數安法》最核心的目的其實是堅持總體國家安全觀，保證國家安全(草案第4條，維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力)，這點也是貼合《國家安全法》第三條的要求，即國家安全工作應當堅持總體國家安全觀，以人民安全為宗旨，以政治安全為根本，以經濟安全為基礎，以軍事、文化、社會安全為保障，以促進國際安全為依托，維護各領域國家安全，構建國家安全體系，走中國特色國家安全道路。目前歐盟的《GDPR》、美國的《Cloud》法案和CCPA都已明確國家對數據的控制權限，而在這方面我國仍處于被動局面。所以，我們明確如何保障數據安全很有必要。

那么，《數安法》在法律體系中的地位是怎樣的呢?據了解，一些法學界人事的看法是，其次于《國家安全法》，高于《網絡安全法》和《個人信息保護法》，不過官方并未表態，只是目前一些人的觀點。

1.2 聚焦重點

《數安法》主要解決的就是數據安全的問題，這其中就包括了數據、安全兩個概念。

數據

無論國內還是國外，對于數據的管理，首先就必須明確數據的定義和對其擁有的權利，通常數據一般包括重要數據、敏感數據、個人數據、其他數據等分類。《數安法》第三條指出：本法所稱數據，是指任何以電子或者非電子形式對信息的記錄。如果套用《網絡安全法》第七十六條對網絡數據的定義，可以看出《數安法》中的數據包括網絡數據和非網絡數據。

關于重要數據，有消息稱：國家正在制定有關重要數據定義的指南標準。關于重要數據的概念，數安法并沒有提到。《數據安全管理辦法》(征求意見稿)第38條對于重要數據有定義可以參考。其指出重要數據，是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等。

國際上(尤其是歐盟)提倡促進數據開放和全球流動，各國不應阻礙其流動性，我國也采取同樣的態度，旨在促進數據跨境安全、自由流動(草案第10條)。

安全

明確了數據的定義和類別，那么接下來就是確保數據安全。數據安全法對于數據安全進行了下定義，《數安法》第三條規定“數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續處于安全狀態的能力”。這一概念有較大的不確定之處，比如如何從技術上判定：采取必要措施;有效保護和合法利用;持續處于安全狀態?而且這一概念與《網絡安全法》中對于網絡安全的定義中涉及的“以及保障網絡數據的完整性、保密性、可用性的能力”也不相同。未來如何從技術上定義數據安全將是一個值得繼續深入探討的問題。

2 《數安法》的主要內容及可能產生的影響

首先，先看一下《數安法》的內容結構。

關于本法的適用范圍

草案明確在我國境內開展的數據活動適用本法，其中數據是任何以電子或者非電子形式對信息的記錄，數據活動是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。同時，草案賦予本法必要的域外適用效力，規定：中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。(草案第2、3條)

關于支持、促進數據安全與發展的措施

草案堅持安全與發展并重，設專章對支持促進數據安全與發展的措施作了規定，保護個人、組織與數據有關的權益，提升數據安全治理和數據開發利用水平，促進以數據為關鍵要素的數字經濟發展。包括：實施大數據戰略，制定數字經濟發展規劃;支持數據相關技術研發和商業創新;推進數據相關標準體系建設，促進數據安全檢測評估、認證等服務的發展;培育數據交易市場;支持采取多種方式培養專業人才等。(草案第12條至第18條)

關于數據安全制度

為有效應對境內外數據安全風險，有必要建立健全國家數據安全管理制度，完善國家數據安全治理體系。對此，草案主要作了以下規定：一是，建立數據分級分類管理制度，確定重要數據保護目錄，對列入目錄的數據進行重點保護(草案第19條)。二是，建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，加強數據安全風險信息的獲取、分析、研判、預警工作(草案第20條)。三是，建立數據安全應急處置機制，有效應對和處置數據安全事件(草案第21條)。四是，與相關法律相銜接，確立數據安全審查制度和出口管制制度(草案第22、23條)。五是，針對一些國家對我國的相關投資和貿易采取歧視性等不合理措施的做法，明確我國可以根據實際情況采取相應的措施(草案第24條)。

關于數據安全保護義務

保障數據安全，關鍵是要落實開展數據活動的組織、個人的主體責任。對此，草案主要作了以下規定：一是，開展數據活動必須遵守法律法規，尊重社會公德和倫理，有利于促進經濟社會發展，增進人民福祉，不得違法收集、使用數據，不得危害國家安全、公共利益，不得損害公民、組織的合法權益(草案第8、26、29條)。二是，開展數據活動應當按照規定建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全(草案第25條)。三是，開展數據活動應當加強數據安全風險監測、定期開展風險評估，及時處置數據安全事件，并履行相應的報告義務(草案第27、28條)。四是，對數據交易中介服務和在線數據處理服務等作出規范(草案第30、31條)。五是，對公安機關和國家安全機關因依法履行職責需要調取數據以及境外執法機構調取境內數據時，有關組織和個人的相關義務作了規定(草案第32、33條)。

關于政務數據安全與開放

為保障政務數據安全，并推動政務數據開放利用，草案主要作了以下規定：一是，對推進電子政務建設，提升運用數據服務經濟社會發展的能力提出要求(草案第34條)。二是，規定國家機關收集、使用數據應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行，并落實數據安全保護責任，保障政務數據安全(草案第35、36條)。三是，對國家機關委托他人存儲、加工或者向他人提供政務數據的審批要求和監督義務作出規定(草案第37條)。四是，要求國家機關按照規定及時準確公開政務數據，制定政務數據開放目錄，構建政務數據開放平臺，推動政務數據開放利用(草案第38、39條)。

關于數據安全工作職責

數據安全涉及各行業各領域，涉及多個部門的職責，草案明確中央國家安全領導機構對數據安全工作的決策和統籌協調等職責，加強對數據安全工作的組織領導;同時對有關行業部門和有關主管部門的數據安全監管職責作了規定。(草案第6、7條)

這樣的一部立法如果出臺，必然對內對外都會產生較大的影響，我們分別從國際和國內兩個方面來看。

目前(截止2020年6月)全有已有142個國家制定了數據隱私相關的立法，全球已有超60個國家提出數據本土化存儲要求，遍布各大洲。歐盟提倡以基本權利為基礎模式，美國提倡自由市場和強監管模式，而我國則提倡安全風險防范為主兼顧數字經濟發展模式。

一個典型的案例就是美國撤銷四家中資電信公司運營許可證。美國聯邦通信委員會向中國電信美洲公司、中國聯通美洲公司、太平洋網絡和信通電話提出，要求對為何美國不應啟動撤銷授權的程序進行解釋。

此外，美國以危害國家安全為由抵制華為、中興、大疆等具有自主研發能力的中國大型企業，并將華為、中興列入危害美國國家安全企業名單，同樣地，印度也效仿美國對我國商品進行抵制。歐盟方面，新冠疫情下，歐盟、澳大利亞、印度、西班牙等九國紛紛出臺限制規定，限制外國投資，防止趁機收購國家關鍵資產和技術，很明顯，這就是醉翁之意不在酒。面對這種形勢，《數安法》的出臺可以說是勢在必行。

針對這種局面，《數安法》規定了一些應對方法。比如：

• 加快制定和完善我國數據安全戰略規劃和實施方案。強調國家利益，同時體現全球化趨勢且符合國際標準;
• 加強我國數據防護能力。《數安法》第33條，明確規定外國司法和執法機構調取我國境內存儲數據，應經過主管部門批準，不可隨意調用。
• 擴大管轄范圍。與《GDPR》、《CCPA》和《Cloud》類似，《數安法》第2條規定，在中華人民共和國境內開展數據活動，適用本法。中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。
• 出口管制。《數安法》第23條規定，國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制。
• 對等原則。要反制，但要恰到好處，不能魚死網破。《數安法》第24條規定，任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區采取相應的措施。
• 開放政策。持續開放，持續發展，促進區域經濟一體化。促進中日韓自貿區建立、一帶一路、中非合作等規劃。《數安法》第10條規定，國家積極開展數據領域國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。

近年來，數據安全、數據泄露等問題日益突出，面對國內的這些問題，《數安法》提出了相應對策，這些對策將對國內產生一些影響，具體的影響還要在后續進行進一步評估。具體如下：

• 堅持安全與發展并重，回應中央國務院的政策變化。《數安法》第12-18條就此進行了規定。
• 建立和完善國家數據安全制度。見《數安法》第19-24條。
• 明確數據安全義務，需滿足合規性(《數安法》第8、26、29條)、完善管理制度和相關培訓(第25條)、加強安全風險監控與風險評估(第27條)
• 對數據交易中介服務和在線數據處理機構提出規范和要求(第30、31條)
• 明確公安機關和國家安全機關數據調取的權利(第32、33條)

3. 對《數安法》草案的一些期望

從《數安法》草案的初次審議，可以看到國家對數據安全的關注程度，特別是將其上升到國家安全層面，由中央國家安全領導機構負責數據安全工作的決策和統籌協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策。但同時也看到了草案當前可能有些不太完善的地方，希望在后續的N審稿中能夠不斷完善。下面提一些對草案的期望。

(1) 數據安全、重要數據等重要概念應該嚴謹、明確

數據安全的概念是《數安法》貫穿整部法律的概念，對于每一項制度的實施都有重要影響，建議對數安法的概念進行完善。無論《GDPR》、《CCPA》還是《CLOUD》都對重要數據進行了明確且嚴謹的定義，《數據安全法》作為一部國家數據安全的立法，不應省略對重要數據的定義。

(2) 重要數據認定制度應當進一步完善

《數安法》第19條規定：各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要數據保護目錄，對列入目錄的數據進行重點保護。

如果這樣執行，那必然會產生問題，增加各部門以及企業的成本。舉個簡單的例子：

數據A在杭州被當地部門定為重要數據，當數據A流動到北京時，北京當地部門認為數據A不屬于重要數據，只能定為敏感數據，那么同樣的數據，在不同的地域將會出現不同的屬性，這勢必會造成重大影響。因此，不能由各地規定，建議由各行業確定判定規則或者制定國家統一標準。

(3) 減少制度的交叉

《數安法》第22條規定：國家建立數據安全審查制度，對影響或者可能影響國家安全的數據活動進行國家安全審查。

因為目前已經有了《網絡安全審查辦法》，《辦法》由工業和信息化部等12個部門聯合制定發布。當前，數據安全審查與網絡安全審查存在一定程度交叉，建議考慮是否可以在一定程度上做好整合。

(4) 部分制度不夠明確，操作性不強

例如《數安法》中第30、31條中的數據交易中介服務、在線數據處理機構，只是提及，并未定義什么樣的機構屬于該范疇，在實際執法中可能會存在問題。

另外，對于程序的描述過于簡潔，例如，28條規定：重要數據的處理者應當按照規定對其數據活動定期開展風險評估，并向有關主管部門報送風險評估報告。本條對于什么樣程度的風險需要進行評估，以及評估的頻次等都沒有規定。

這就好比網絡安全事件應急預案，如何定義風險，何種程度的風險應該報送，報送給誰，怎么報送，如果不報送有什么懲罰措施?這些都沒有給出明確說明。

《數安法》體現了安全和發展并重的價值取向，盼望后續數安法在立法過程中可以將數據安全和數據利用協調一致、齊頭并進，建久安之勢、成長治之業。對于企業而言，數據安全不再是義務，而是制度，是強管理要求。國家應盡快完善數據安全治理體系和配套法規、標準，同時探討和完善《數安法》條文細則，這是我們當前最需要關心的事情。