数据安全系列一：《数据安全法》要点评析

《中华人民共和国数据安全法》（简称“《数据安全法》”）的出台，正式确立了我国数据安全领域的基本法律框架，并明确提出了“国家数据安全工作协调机制”，以完善数据安全监管框架的顶层设计，是一部十分重要的法律。在构建统一的数据安全保护义务体系并为重要数据规定“分级分类保护”、“地区与行业共治”、“额外数据安全保护义务”等制度的同时，《数据安全法》也提出了“国家核心数据”的概念，并对数据交易、数字经济发展、数据出口管制与对等反制措施、应对外国司法执法机构数据调取请求、政务数据开发、数据与竞争等社会热点、难点问题规定了相应的制度。在二次审议稿的基础上，《数据安全法》加大对违法行为的处罚力度，罚款上限高达一千万元，以及可以并处暂停相关业务、停业整顿或者吊销营业执照的处罚。虽然不少法律条款仍有待主管部门的澄清和配套规章的出台，考虑到《数据安全法》将于今年9月1日正式施行，目前距离其生效日期仅剩不足三个月，建议企业尽早开展相关合规工作。

经历三次正式审议，《中华人民共和国数据安全法》（简称“《数据安全法》”）最终于2021年6月10日由全国人大常务委员会会议通过，并将于2021年9月1日起施行。

作为数据领域的第一部基础性法律，《数据安全法》旨在通过数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度，以总体国家安全观为出发点和落脚点保障国家数据安全，促进数据开发利用，为有效应对数据这一非传统领域的国家安全风险与挑战提供了法律根据，具有重要的理论和实践意义。《数据安全法》与《网络安全法》以及即将到来的《个人信息保护法》将会构建出我国数据保护的顶层建筑，为后续的网络和数据安全以及数据流动奠定基础。

本文将对《数据安全法》的若干重点内容进行介绍和分析，阐述该法在实践适用中可能有待监管部门澄清和明确的问题，为企业落地《数据安全法》合规工作提供必要的参考。接下来，我们将会通过一系列文章，针对《数据安全法》中的核心制度以及数据安全治理中可能遇到的其他问题，与企业共同探讨可能的合规思路与路径。

适用范围

《数据安全法》第二条以“数据处理活动”为基本点规定了其适用范围，没有设置适用主体的限制，其将普遍适用于境内所有主体涉及数据处理的行为，以及境外所有主体符合条件的数据处理行为，为在最大限度内维护我国数据安全提供了法律支持。

《数据安全法》规定，对“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益”的境外数据处理活动都将依法追究法律责任。这也明确了今后的监管走向，即防止将中国业务移到海外来规避中国网络安全以及数据保护法的监管。由于不少跨国企业都会将境内经营中收集和产生的数据回传至总部进行分析，如果境外的数据处理活动引发了损害国内公民个人合法权益的结果，则不排除监管部门会援引《数据安全法》的域外效力条款，追究境内经营主体的法律责任。由于对是否损害国家安全、公民和组织合法权益存在可以弹性解释的空间，跨国企业在开展与中国相关的数据处理活动时，可能需要考虑将国内数据处理的合规要求纳入考虑范围。

“中央统筹 + 地方与部门分治”的监管架构

《数据安全法》明确了我国数据安全领域的工作，采取“中央统筹 + 地方与部门分治”的基本监管架构。根据第五条的规定，在中央层面将由国家安全领导机构领衔负责数据安全工作的重大决策与议事协调，充分体现了国家对数据安全工作的高度重视，以及《数据安全法》所具备的“国家安全”底色——《数据安全法》的通过也将进一步完善我国国家安全基础法律的版图。在具体实施层面，第六条授权地区与行业部门对各自“工作中收集和产生的数据及数据安全负责”，二者在实践中将形成“横纵相交”的监管局面。

如单纯依靠《数据安全法》确立的“地方与行业共治”的监管框架， “九龙治水”的监管现实仍会持续，“地方”与“行业”条线的监管部门可能会在同一数据处理事项的监管上产生重叠。故此，《数据安全法》第五条明确建立了“国家数据安全工作协调机制”。这一机制将有望在地方与行业的管辖权分工、重要数据目录自上而下的构建、数据跨境传输、数据交易制度、政务数据公开与开放等《数据安全法》尚未进行展开的关键问题上出台配套规定，为企业的合规提供实践指引。

《数据安全法》还专门明确了国家网信部门对“网络数据”安全和监管工作的统筹协调职能，因而未来国家网信部门将会很快出台专门规制网络数据处理活动的管理细则。

重要数据的识别与监管

《数据安全法》仍未明确“重要数据”的内涵和外延，但从程序上看重要数据的界定是相对明确的。重要数据是指经相关认定主体（包括制定重要数据目录及具体目录的国家、地方和部门）认定为重要数据的数据类型。而且，具体的重要数据类型能够通过自上而下的目录构建得以明晰（第二十一条）：国家级的重要数据目录由国家数据安全工作协调机制统筹协调有关部门制定，本地区、本部门以及相关行业、领域的重要数据具体目录则由各地区、各部门相应确定，这将大大消减因“重要数据”概念层面的模糊对开展实际保护工作的潜在影响。

《数据安全法》首次提出了“国家核心数据”的概念，要求对“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”实施更加严格的管理制度，并在第四十五条对违反国家核心数据管理制度的行为规定了罚则，罚金最高可达人民币1000万元，以及潜在的停业整顿或者是吊销营业执照。

《数据安全法》对重要数据明确提出的特别安全保护义务有三项，分别是：

• 明确数据安全负责人和管理机构（第二十七条）：鉴于《网络安全法》明确要求设立“网络安全负责人”，未来《个人信息保护法》也很有可能要求符合条件的个人信息处理者设立“个人信息保护负责人”，企业可以考虑“多套牌子、一套班子”的模式。由于三部法律都可能会对“直接负责的主管人员和其他直接责任人员”规定行政违法责任，企业需要综合考虑相关人员的职责负担、合规责任与职业风险。

  
  

• 定期开展风险评估并报送风险评估报告（第三十条）：《数据安全法》不仅仅“消极”地要求重要数据处理者履行数据安全保护义务，更“积极”地要求其说明内部风险的识别和应对情况，体现了“合规与自证合规并重”的理念，因此如何采用可回溯、可呈现的方式落实数据安全保护措施至关重要。

  
  

• 跨境传输监管（第三十一条）：《数据安全法》弥补了《网络安全法》的规则空白，双轨制明确了非关键信息基础设施运营者跨境传输重要数据将适用另行制定的规则，并对违法向境外提供重要数据的行为设置了严苛的法律责任，罚款金额上限高达1000万元，同时还可以并处停业整顿或者是吊销营业执照的处罚。由于《网络安全法》第三十七条同样授权“国家网信部门会同国务院有关部门”制定“安全评估办法”，因而无论企业是否被指定为关键信息基础设施运营者，均应密切关注国家网信部门的立法动态，及时梳理和落实适用的重要数据跨境传输规则。

应对外国司法或执法机构的数据调取请求

《数据安全法》第三十六条对向外国司法或执法机构提供数据的行为规定了审批要求，要求所有向外国司法或者执法机构提供境内存储的数据的行为，一律应当经国内主管机关批准。应对外国机构数据调取要求的审批制度在《证券法》第一百七十七条^[1]和《国际刑事司法协助法》第四条^[2]中已有相关条款，《数据安全法》以更宽泛的适用范围将该条款适用于几乎每一个企业。

在当今的地缘政治的大背景下以及全球各国对数据安全的高度关注，《数据安全法》第三十六条的出台是保障数据主权和企业以及个人的合法权益的重要制度。考虑到《数据安全法》的普遍适用性，本条规定很大程度上会影响中国企业以及跨国企业的海外应诉和政府监管应对，还可能会影响不少经营策略的选择，如数据分析工作的全球分配、内部调查的流程安排、汇报对象的设置、邮件服务器的选址等，因而迫切需要主管部门出台实施细则，并明确监管方向以及审批细则。

由于《数据安全法》对违规向外国机构提供数据的行为设置了实质的法律责任条款，境内企业在拒绝外国不合理的数据要求时，能够以此作为法律依据。^[3]但是，如境内企业因未能提交或及时提交数据，将可能会在境外面临败诉、行政处罚的风险。建议企业如接到外国司法执法机构的数据调取请求，应及时咨询律师并且判断相关风险。

其他亮点与展望

《数据安全法》第十五条明确了对老年人、残疾人的倾斜保护，要求“提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍”，回应了数字化时代人文关怀的需求。早在2020年12月份，工信部就提出开展“互联网应用适老化及无障碍改造专项行动”，着力解决老年人、残疾人等特殊群体在使用互联网等智能技术时遇到的困难，并于2021年4月份要求相关互联网网站、App参考《互联网网站适老化通用设计规范》和《移动互联网应用（App）适老化通用设计规范》完成适老化及无障碍改造。

《数据安全法》第二十四条建立了数据安全审查制度，补充我国国家安全审查制度。审查的触发标准是数据处理活动影响或可能影响“国家安全”，而重要数据（作为客体）和关键信息基础设施运营者（作为主体）的识别标准均涉及对国家安全的考量，不排除由关键信息基础设施运营者开展的数据处理活动或者处理重要数据的活动更有可能触发国家安全审查。另外，审查的主体、标准和流程也有待立法部门作进一步的澄清与明确。

《数据安全法》第二十五条将符合特定条件的“数据”也纳入了出口管制的管理范畴。但是，该制度中具体涉及的数据是否局限于管制物项所包含的数据，例如直接根据当前公布的管制物项清单进行衍生（如软件的源代码、技术的参数、硬件的规格尺寸等），仍有待进一步澄清。

《数据安全法》大力提倡数据的开发与应用以及促进以数据为关键要素的数字经济发展。例如，明确建立健全数据交易管理制度和培育数据交易市场（第十九条）、肯定数据交易中介服务机构的合法性（第三十三条），以及大力倡导政务数据的依法公开和开放（第四十一条和第四十二条）。即便如此，企业在开展数据处理尤其在涉及特定技术应用（如网络爬虫、自动驾驶、算法决策等）时，不仅需要关注法律法规的规定，还应注重“尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信”（第八条）的软法边界，并确保其“有利于促进经济社会发展，增进人民福祉”（第二十八条）。

《数据安全法》还密切关注数据合规与反垄断合规的关系。《国务院反垄断委员会关于平台经济领域的反垄断指南》已明确指出“互联网平台掌握和处理数据的能力、以及其他经营者获取相关数据的难易程度”均可能作为判断该经营者是否具有市场支配地位的考虑因素。第四十九条禁止“开展数据处理活动……排除、限制竞争”的要求，体现了与《反垄断法》及其配套指南的衔接与呼应。

《数据安全法》的不少制度和规则目前都只是原则性的规定，如何解读和适用仍有赖于立法部门的配套规章和国家标准，以及执法部门的实践指引。考虑到《数据安全法》的出台距离其正式生效仅剩不足三个月的时间，建议企业应密切关注接下来《数据安全法》生效前后可能出台的配套规定，尽早开展相关的合规工作，包括启动数据处理活动核查、进行合规差距分析和风险监测、着手落实数据安全组织措施（如建立《数据安全管理制度》、对员工进行数据安全专项培训）和技术措施（例如采取数据分级分类、加密存储与传输等），重要数据的处理者则还需要进一步关注应当额外履行的安全保护义务。

1. 第一百七十七条（第二款） 境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意，任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。

2. 第四条 中华人民共和国和外国按照平等互惠原则开展国际刑事司法协助。

国际刑事司法协助不得损害中华人民共和国的主权、安全和社会公共利益，不得违反中华人民共和国法律的基本原则。

非经中华人民共和国主管机关同意，外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动，中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。

3. 例如，为建立美国Cloud法案下的抗辩，要求说明披露内容的法律义务将给服务提供者带来违反“符合资格的外国政府”立法的实质性风险。对于是否存在这一情形，美国法院将进行礼让分析，考虑因素之一即“不一致的法律要求，对服务提供者（或其雇员）带来处罚的可能、范围、性质”。

尹云霞（Kate Yin）

合伙人

kate.yin@fangdalaw.com

执业领域：专攻政府调查及公司合规业务

张毅（Gil Zhang）

合伙人

gil.zhang@fangdalaw.com

执业领域：专攻数据保护、网络安全、监管合规业务

黎辉辉（Huihui Li）

方达律师事务所

   实习生刘燕彬对本文撰写作出了贡献

本微信公众号所发布的资讯或文章仅为交流讨论目的，不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定（无论作为或不作为）以及因此造成的法律后果，方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务，欢迎与方达律师事务所相关律师联系。