2021年6月10日，歷經三審，第十三屆全國人大常務委員會第二十九次會議審議通過《中華人民共和國數據安全法》(以下簡稱《數據安全法》)，自2021年9月1日正式實施。該法共七章55條，分為總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任和附則等章節。《數據安全法》統籌發展與安全，以基本法的形式明確了我國數據安全治理體系的頂層設計和“四梁八柱”，以安全保發展，助推數字中國建設，助力我國數字經濟國際競爭。

[[408047]]

堅持總體國家安全觀，明確數據安全治理體系的頂層設計

《數據安全法》堅持總體國家安全觀，明確我國數據安全治理采取最高決策、協同治理的頂層設計，應對數據這一非傳統領域的國家安全風險。

一是數據安全事關國家安全，該法第5條從國家戰略的高度，明確由中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制，實現最高決策。

二是數據安全風險廣泛滲透至各行業、領域，數據安全治理在行業間既有共通性也有差異，該法第6條明確授權工業、電信、交通、金融等主管部門對本行業、本領域數據安全監管職責;同時，該法第21條、第22條分別明確由國家數據安全工作協調機制統籌協調各部門開展重要數據目錄制定、數據安全風險信息的獲取、分析、研判與預警等工作，通過跨部門協調工作機制確保數據安全治理重大事項，兼顧行業間數據安全治理標準的一致性和行業的特殊性，也避免部門利益之爭損害國家數據安全利益。

三是數據安全與網絡安全具有相關性，該法延續《網絡安全法》的職責授權，明確由國家網信部門負責統籌協調網絡數據安全和相關監管工作，同時公安機關、國家安全機關在各自職責范圍內承擔數據安全監管職責。

堅持風險治理路徑，構建數據安全治理體系“四梁八柱”

一是以數據分類分級為核心，搭建數據安全監管制度。《數據安全法》第21條以“數據在經濟社會發展中的重要程度”，以及“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度”為標準，對數據實行分類分級保護。在此基礎上，對重要數據采取目錄管理，由國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，同時授權各地區、各部門確定本地區、本部門以及相關行業、領域的重要數據具體目錄，并強化重要數據處理者的數據安全保護義務，加強對重要數據的保護。另外，該法三審期間首次提出“國家核心數據”概念，明確對“關系國家安全、國民經濟命脈、重要民生、重大公共利益等”國家核心數據，實行更加嚴格的管理制度，為應對未來國家數據安全風險、細化制度安排等，預留制度接口。

二是明確風險評估、監測預警、應急處置等管理要求，強化數據安全風險全流程防范應對。第22條明確國家建立數據安全風險評估、報告、信息共享、監測預警機制，實現事前風險評估、報告和信息共享，以及事中監測預警;第23條明確國家建立數據安全應急處置機制，通過事后應急處置，防止數據安全事件的危害擴大，消除安全隱患。同時，要求數據處理者履行相應的風險監測、數據安全事件報告、數據安全風險評估等義務。

三是強化落實各類型數據處理活動主體數據安全保護義務與責任。該法第四章專章規定了各類數據處理者的數據安全保護義務。一般數據處理者應當建立健全全流程數據安全管理制度，并加強風險監測，及時報告數據安全事件，同時要求開展數據處理活動等應當符合社會公德和倫理，不得竊取或者以非法方式獲取數據;重要數據處理者還負有明確數據安全負責人和管理機構、定期開展數據處理活動風險評估并報送主管部門等義務，并應遵守出境安全管理要求。對于從事數據交易中介服務的機構，明確其負有審核交易雙方身份、數據來源，并留存審核、交易記錄的義務。最后，《數據安全法》明確數據處理服務提供者應當依法取得行政許可，為未來對數據處理服務市場準入環節實施準入資格監管提供了上位法依據。

完善數據出境風險管理，對全球數據競爭作出應對性規定

一是《數據安全法》補充和完善數據出境管理要求，強化境內數據出境風險控制。第31條對重要數據出境監管作出規定：一方面明確關鍵信息基礎設施的運營者在境內運營中收集和產生的重要數據，繼續適用《網絡安全法》第37條有關數據出境安全管理要求;另一方面對其他數據處理者在境內運營中收集和產生的重要數據增設出境安全管理，并授權國家網信部門會同國務院有關部門制定相應的出境安全管理辦法。此外，《數據安全法》第25條增設數據出口管制，明確對“與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據”實施出口管制，完善我國數據出境監管制度框架。

二是《數據安全法》針對全球數據競爭形勢，作出應對性規定。其一，針對國外相關立法普遍具有域外適用效力、擴張本國立法管轄權的問題，如歐盟《通用數據保護條例》，《數據安全法》第2條以實際后果為標準，明確將對“損害中華人民共和國國家安全、公共利益或者公民、組織合法權益”的境外數據處理活動，追究法律責任。其二，針對國外近期立法授權本國執法機構跨境調取數據，可能侵犯我國數據主權、威脅我國數據安全的問題，如美國《云法案》，《數據安全法》第36條明確規定，非經我國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于我國境內的數據。其三，針對我國網信企業在出海過程中頻遭他國國家安全審查等不平等對待的問題，《數據安全法》第24條明確我國建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查;第26條明確任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對我國采取歧視性的禁止、限制或者其他類似措施的，我國可以根據實際情況對該國家或者地區對等采取措施。

加快推進配套制度建設，助力《數據安全法》實施

《數據安全法》實施在即，在其實施過程中，既要加快推進該法各項制度的配套落實，也要著力解決各項制度與《網絡安全法》《個人信息保護法》等立法之間的制度銜接問題。

一方面，《數據安全法》基本法的定位以及“宜粗不宜細”的立法風格，使得該法諸多規定過于原則，其落地實施有賴于配套行政法規、部門規章、國家標準等予以細化。該法雖然提出數據分類分級保護、重要數據目錄管理、重要數據出境安全管理等要求，但各項制度的具體內容、如何實施等細致規定付之闕如，必然影響各類數據處理者切實履行各項數據安全保護義務。未來，應當盡快推進配套行政法規、部門規章等明確前述制度的具體內容和統一要求，并通過國家標準、行業標準等為企業合規提供細化指引。

另一方面，《數據安全法》中的諸多制度也亟待明確與現行法律制度間的銜接問題。《個人信息保護法》出臺后，我國將形成《網絡安全法》《數據安全法》《個人信息保護法》三法并行的局面，各項制度間存在著一定的交叉。如《網絡安全法》中網絡安全審查也包含對產品或服務中數據風險的審查;在數據市場要素以個人信息為主的現狀之下，數據安全事件報告、重要數據出境管理等制度與《個人信息保護法》中個人信息泄露事件報告、個人信息出境等也存在交叉。諸如此類，亟待主管部門有的放矢，厘清前述制度的適用邊界并建立適度的優化機制，避免制度間疊床架屋而浪費監管資源和企業合規成本。

作者：中國信息通信研究院安全研究所 葛鑫