经历三次审议，广受关注的《中华人民共和国数据安全法》（简称“《数据安全法》”）最终于2021年6月10日由全国人大常务委员会会议审议通过，并将于2021年9月1日起施行。作为我国第一部有关数据安全的专门法律，同时也是我国数据领域的基础性法律，《数据安全法》将与《网络安全法》以及即将到来的《个人信息保护法》共同构建我国信息和数据安全领域的基本框架。与《网络安全法》不同的是，《数据安全法》更强调数据本身的安全；而与尚未出台的《个人信息保护法》相比，《数据安全法》更多的是从宏观角度关注数据安全。

《数据安全法》旨在统筹数据安全与发展，通过制定大数据战略，从而构建数据交易、全流程安全管理、分类分级保护、风险评估、应急处置、安全审查、出口管制等基本制度，积极应对数据这一非传统领域的国家安全风险挑战。以总体国家安全观为出发点和落脚点，保障国家数据安全，促进数据开发利用。

《数据安全法》共55条，知函博士将围绕其中的逻辑内涵，对条文逐一分析解读，试总结出《数据安全法》的八大要点，希冀能为企业带来帮助。

一、八大要点

（一） 适用范围的最大化覆盖

《数据安全法》第2条规定，按照“地域管辖+保护管辖”双重管辖标准确定管辖范围，既包括在我国境内开展的一切数据处理和安全监管活动，也包括在境外开展的损害我国国家安全、公共利益或者公民、组织合法权益的活动。

此外，第3条对数据、数据处理、数据安全这三个基本概念进行了明确界定。将包括电子和其他形式在内的信息记录都纳入规范范畴，填补了既有立法的空白，有助于开展对非网络空间的数据活动的监管。同时，在数据处理上，《数据安全法》采取了“列举+兜底”的方式，明确了数据处理活动与《民法典》中“个人信息的处理”的定义相对应，包括数据的“收集、存储、使用、加工、传输、提供、公开”等行为，使得适用范围最大化。

（二） 国家数据安全工作的顶层设计和监管架构

《数据安全法》对数据安全管理工作进行了初步规划，明确要建立中央国家安全领导机构领衔下的国家数据安全工作协调机制，并形成“国家网信部门统筹+地方与部门分治”的监管架构。具体而言：

在上层建筑方面，《数据安全法》首次提出要建立在中央国家安全领导机构领衔下的国家数据安全工作协调机制，即由中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定相关的重大方针决策，具体实施事务由各地区和各部门负责。并且《数据安全法》第21条、22条规明确定，重要数据目录制定、数据安全风险信息的获取、分析、研判等工作的统筹职责也由该协调机制负责实施，从而保证在宏观层面避免各部门间的争相管辖或互相推诿，提高行政效率。

在监管架构方面，第6条明确了在国家网信部门统筹协调下，各部门、各地区分工负责的管理模式。具体体现为，国家网信部门统筹协调监管工作，各地区、各部门对各自数据负主体责任，各主管部门对本行业、本领域承担监管职责以及公安机关、国家安全机关在职责范围内承担监管职责。

（三） 强调公共服务的无障碍、适老化改造

《数据安全法》将“智能化公共服务改造应当满足老年人、残疾人等弱势群体的日常生活需要”列入国家重点支持的范畴，这将是企业未来的产品或服务中体现社会责任感、提升企业形象和亲民度的重要机遇。

 （四） 建立数据分类分级保护制度

《数据安全法》在《网络安全法》提出建立“网络安全等级保护制度”，进行“数据分类”的基础上，正式提出建立“国家数据安全分类分级保护制度”，并对该制度进行具体规定。第一，采用“列举+概况”的方式规定了重要数据的分类标准以及属于国家核心数据的范围。第二，进一步明确了各部门在数据安全分类分级保护制度中的具体职责，即由国家数据安全工作协调机制统筹制定重要数据目录，由各地区、各部门制定相应地区、行业领域的具体目录。

 （五） 重要数据的识别与监管 

《数据安全法》在《网络安全法》提出的“重要数据”这一概念基础上，进一步明确了数据安全的分类标准和监管要求。尽管《数据安全法》仍未界定“重要数据”的内涵和外延，但从条文中已经基本可以推定重要数据即指国家有关部门或地方制定的重要数据目录中规定的内容。此外，根据《数据安全法》的规定，重要数据的相关主体与其他数据主体相比应当履行以下三种特殊义务：

第一，重要数据的处理者，应当明确数据安全负责人和管理机构，以保证数据安全责任落实到确定主体。

第二，重要数据的处理者，应当定期开展风险评估，并向有关主管部门报送风险评估报告。这一规定不仅要求企业履行数据安全保护的相关措施，还要求其积极地向主管部门证明自己已经履行了这一义务，体现了“合规和自证合规并重”的理念。

第三，关键信息基础设施的运营者，应当履行《网络安全法》的出境安全管理规定。其他数据处理者，应当履行国家网信部门牵头制定的出境安全管理办法。

（六） 跨境数据流动监管

数据跨境流动涉及数据主权和国家安全，《数据安全法》中用多个条文对这一情形进行规制。在鼓励跨境数据流动的基础上，《数据安全法》规定了数据安全审查、数据出口管制、重要数据出境管理、对等反制等措施，以及向境外司法或执法机构提供数据的监管要求。

其一，第11条表明了国家支持开展数据跨境交流、交易和合作等活动，积极参与国际数据安全相关规则和标准的制定，促进数据跨境安全、自由流动的积极、开放态度。

其二，第24条提出建立数据安全审查制度。安全审查的对象是“影响或者可能影响国家安全的数据处理活动”，此处所指的数据处理活动既包括线上活动也包括线下活动，以国家安全作为审查标准。此前，2020年颁布实施的《网络安全审查办法》（以下简称“《审查办法》），确立了网络安全审查制度，该《审查办法》第2条规定了关键信息基础设施运营者采购网络产品和服务时，影响或可能影响国家安全的，应当进行网络安全审查。对比《数据安全法》与《审查办法》，虽然两者都属于国家安全审查，但其审查的对象和内容并不相同。《数据安全法》审查的对象包括所有的影响或可能影响国家安全的数据活动，涵盖了线上与线下，且对数据活动主体并未做出限制，并且在第24条第二款中明确了安全审查的最高法律地位，依法进行的安全审查属于最终决定。而《审查办法》所审查的主体仅指关键信息基础设施运营者，审查对象只包括了“网络产品或服务的采购环节”，审查的内容除了重要数据被窃取、泄露、毁损的风险外，还包括产品或服务是否具有连续性，以及是否收购受政治等因素影响。

其三，第25条规定了国家对于特定数据，即“与维护国家安全和利益、履行国际义务相关的+属于管制物项”的数据，依法实施出口管制。

其四，第26条规定了对等管制制度。即任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

其五，第31条规定了出境安全管理制度。一般数据处理者在中华人民共和国境内运营中收集和产生的重要数据，应当遵循由国家网信部门会同国务院有关部门制定的出境安全管理规定。同时，针对“关键信息基础设施的运营者”这一特殊主体，在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。

其六，第36条规定了特殊情形的数据出境流动审批制度。即当信息流动的对象是“外国司法或执法机构”时，非经中华人民共和国主管机关批准，境内的组织、个人不得向其提供存储于中华人民共和国境内的数据。

（七） 建立数据交易管理制度

《数据安全法》的第19条，明确了建立健全数据交易管理制度的要求，充分体现了国家对合法数据交易的支持。这也表明数据的开发利用及数据安全的技术保障或将是又一发展风口。此外，《数据安全法》的第33条具体规定了数据交易中介服务机构具有提供数据来源，审核交易双方身份的义务；第34条规定了服务提供者应当取得相应的行政许可。从上述的规定不难发现，《数据安全法》体现了国家规范和约束数据交易行为，鼓励和促进数据交易规范化发展的决心。

（八） 宽严相济的法律责任

《数据安全法》的法律责任一章中对被处罚的主体进行了更细致的划分，对于一般违法对象降低了处罚上限，而对于情节严重的对象提高了处罚上限，并且，除经济处罚之外，增设了追究刑事责任，加大了处罚力度。减轻一般违反情形对应的法律责任，或许旨在鼓励数据行业的发展以及数据的合理开发利用；同时增设对危及国家核心数据安全情形的严苛责任，则体现了国家规范数据处理行为、保障数据安全的决心。

二、小结

随着《数据安全法》的通过，大数据的开发利用和规范化发展成为了未来发展的重要风口。由《网络安全法》、《数据安全法》和《个人信息保护法》构成的网络空间监管和数据保护的框架即将搭建完成，对于企业而言，及时根据《数据安全法》及相关规则，建立健全数据安全管理体系，进行合规性审查和改进，既是非常迫切的现实需求，也是未来发展的时代东风。本文关于《数据安全法》的初步解读，希望能够帮助企业有效应对新法实施，为企业合规性发展提供方向。

作者简介：刘知函 律师