笔者非专业法学生，而是作为一名信息安全专业同学，简单聊聊对《数据安全法》的理解。

背景

2021 年 6 月 10 日，新华社报道，十三届全国人大常委会第二十九次会议通过了《数据安全法》。这部法律是数据领域的基础性法律，也是国家安全领域的一部重要法律，将于 2021 年 9 月 1 日起施行。

外力驱动和内部需求，促使数安法落地。近年来，数字经济在全球范围内快速发展，不少国家陆续发布并实施了数据安全与保护相关法律，例如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等等。目前，全球近100个国家和地区已制brew 定数据安全保护法律，数据安全专项立法已成为国际惯例。内部来看，数字化改革推动我国生产模式的变革，随着经济数字化、政府数字化、企业数字化的建设，数据已经成为我国政府和企业最核心资产。合资企业、跨境贸易、多厂商全球合作的模式变迁，数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。

因此，亟需一部国家的基本法，为中国数字经济的安全发展保驾护航。为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定了《数据安全法》。

本法一共七章五十五条，其中 “总则”、“法律责任”及“附则”三章属于常规章节，另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。

何为数据：数据是指任何以电子或者其它方式对信息的记录。 适用范围：在中国境内开展数据活动的组织和个人。

主要制度框架

1.数据分类分级与重要数据保护制度

国家建立数据分类分级保护制度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。

“重要数据”并无明确界定，参考国家互联网信息办公室于2017年4月11日公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条，对重要数据界定为：“重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。”以及2019年5月28日，国家互联网信息办公室公布了《数据安全管理办法（征求意见稿）》，对“重要数据”界定为：“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。” 除此之外，企业内部对于和自身业务相关的数据，也有自己的衡量标准。

数字化发展的过程中需要对不断更迭出现的数据进行分类分级，根据类别、级别区分数据保护的重要程度，对重要数据进行重点保护，同时对其他数据提出基本安全保护要求。可以关注国家、所处地区、主管部门、行业所制定的重要数据具体目录，并根据目录在内部建立或细化相对应的数据保护目录和制度，匹配数据分类分级保护制度的监管要求。

数据安全保护义务要点：

• 管理制度：在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。
• 风险监测：对出现缺陷、漏洞等风险，要釆取补救措施；发生数据安全事件，应当立即采取处置措施，并按规定上报。
• 风险评估：定期开展风险评估并上报风评报告。
• 数据收集：任何组织、个人收集数据必须釆取合法、正当的方式，不得窃取或者以其他非法方式获取数据。
• 数据交易：数据服务商或交易机构，要提供并说明数据来源证据，要审核相关人员身份并留存记录。
• 经营备案：数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。
• 配合调查：要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，未经批准，不得提供。

2. 数据安全审查制度

国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。

审查的对象包括所有的影响或可能影响国家安全的数据活动，既包括线上的数据活动，也包括线下的数据活动，且对数据活动主体并未做出限制。数据安全审查制度将数据活动对国家安全的影响作为其规制的价值目标，这也意味着，企业或其他社会主体，在从事数据活动时，应首先进行国家全判断。

3. 重要数据风险评估制度

无论重要数据处于收集、存储、使用、加工、传输、提供、公开等各个处理环节的哪个环节，只要其数据处理活动可能涉及重要数据，都需要进行定期的风险评估，并将评估报告报送给主管部门。

4. 数据出境管理制度

国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。即，只要按照出口管制的规则判定该数据属于管制物项，均可实施出口管制。

在数据出境问题上，还需注意的是司法及执法环节涉及的数据出境。针对向外国司法或者执法机构提供数据的行为，无论是否属于重要数据，均需要经过主管机关批准。

数据歧视的对等措施。第二十六规定：“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”

对等原则是国际投资与贸易的基本原则之一，对此，我国《外商投资法》已经做了明确的规定，任何国家或者地区在投资方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者该地区采取相应的措施。《数据安全法》的规定是投资、贸易对等原则在数据活动领域的特别体现，也在很大程度上反映了当前主要大国之间围绕网络安全与数据安全进行激烈博弈的现状。

理解与总结

笔者总结了一张图，来展示对《数据安全法》的理解。

参考：

• https://www.allbrightlaw.com/cn/10475/2d46952f9d2be7a3.aspx
• https://www.iii.tsinghua.edu.cn/info/1058/2668.htm
• https://www.dehenglaw.com/CN/tansuocontent/0008/021995/7.aspx?AID=&BID=00000000000000001987&MID=0902
• https://drc.hangzhou.gov.cn/art/2021/11/8/art_1229057478_58902002.html