2021年6月10日，歷經(jīng)三審，第十三屆全國人大常務(wù)委員會(huì)第二十九次會(huì)議審議通過《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），自2021年9月1日正式實(shí)施。

　　該法共七章55條，分為總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放、法律責(zé)任和附則等章節(jié)?！稊?shù)據(jù)安全法》統(tǒng)籌發(fā)展與安全，以基本法的形式明確了我國數(shù)據(jù)安全治理體系的頂層設(shè)計(jì)和“四梁八柱”，以安全保發(fā)展，助推數(shù)字中國建設(shè)，助力我國數(shù)字經(jīng)濟(jì)國際競(jìng)爭(zhēng)。

　　堅(jiān)持總體國家安全觀

　　明確數(shù)據(jù)安全治理體系的頂層設(shè)計(jì)

　　《數(shù)據(jù)安全法》堅(jiān)持總體國家安全觀，明確我國數(shù)據(jù)安全治理采取最高決策、協(xié)同治理的頂層設(shè)計(jì)，應(yīng)對(duì)數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國家安全風(fēng)險(xiǎn)。

　　一是數(shù)據(jù)安全事關(guān)國家安全，該法第5條從國家戰(zhàn)略的高度，明確由中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制，實(shí)現(xiàn)最高決策。

　　二是數(shù)據(jù)安全風(fēng)險(xiǎn)廣泛滲透至各行業(yè)、領(lǐng)域，數(shù)據(jù)安全治理在行業(yè)間既有共通性也有差異，該法第6條明確授權(quán)工業(yè)、電信、交通、金融等主管部門對(duì)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)；同時(shí)，該法第21條、第22條分別明確由國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)各部門開展重要數(shù)據(jù)目錄制定、數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判與預(yù)警等工作，通過跨部門協(xié)調(diào)工作機(jī)制確保數(shù)據(jù)安全治理重大事項(xiàng)，兼顧行業(yè)間數(shù)據(jù)安全治理標(biāo)準(zhǔn)的一致性和行業(yè)的特殊性，也避免部門利益之爭(zhēng)損害國家數(shù)據(jù)安全利益。

　　三是數(shù)據(jù)安全與網(wǎng)絡(luò)安全具有相關(guān)性，該法延續(xù)《網(wǎng)絡(luò)安全法》的職責(zé)授權(quán)，明確由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作，同時(shí)公安機(jī)關(guān)、國家安全機(jī)關(guān)在各自職責(zé)范圍內(nèi)承擔(dān)數(shù)據(jù)安全監(jiān)管職責(zé)。

　　堅(jiān)持風(fēng)險(xiǎn)治理路徑

　　構(gòu)建數(shù)據(jù)安全治理體系“四梁八柱”

　　一是以數(shù)據(jù)分類分級(jí)為核心，搭建數(shù)據(jù)安全監(jiān)管制度?！稊?shù)據(jù)安全法》第21條以“數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度”，以及“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度”為標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。在此基礎(chǔ)上，對(duì)重要數(shù)據(jù)采取目錄管理，由國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，同時(shí)授權(quán)各地區(qū)、各部門確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，并強(qiáng)化重要數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。另外，該法三審期間首次提出“國家核心數(shù)據(jù)”概念，明確對(duì)“關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等”國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度，為應(yīng)對(duì)未來國家數(shù)據(jù)安全風(fēng)險(xiǎn)、細(xì)化制度安排等，預(yù)留制度接口。

　　二是明確風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置等管理要求，強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)全流程防范應(yīng)對(duì)。第22條明確國家建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制，實(shí)現(xiàn)事前風(fēng)險(xiǎn)評(píng)估、報(bào)告和信息共享，以及事中監(jiān)測(cè)預(yù)警；第23條明確國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，通過事后應(yīng)急處置，防止數(shù)據(jù)安全事件的危害擴(kuò)大，消除安全隱患。同時(shí)，要求數(shù)據(jù)處理者履行相應(yīng)的風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)安全事件報(bào)告、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等義務(wù)。

　　三是強(qiáng)化落實(shí)各類型數(shù)據(jù)處理活動(dòng)主體數(shù)據(jù)安全保護(hù)義務(wù)與責(zé)任。該法第四章專章規(guī)定了各類數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)。一般數(shù)據(jù)處理者應(yīng)當(dāng)建立健全全流程數(shù)據(jù)安全管理制度，并加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，及時(shí)報(bào)告數(shù)據(jù)安全事件，同時(shí)要求開展數(shù)據(jù)處理活動(dòng)等應(yīng)當(dāng)符合社會(huì)公德和倫理，不得竊取或者以非法方式獲取數(shù)據(jù)；重要數(shù)據(jù)處理者還負(fù)有明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)、定期開展數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)評(píng)估并報(bào)送主管部門等義務(wù)，并應(yīng)遵守出境安全管理要求。對(duì)于從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)，明確其負(fù)有審核交易雙方身份、數(shù)據(jù)來源，并留存審核、交易記錄的義務(wù)。最后，《數(shù)據(jù)安全法》明確數(shù)據(jù)處理服務(wù)提供者應(yīng)當(dāng)依法取得行政許可，為未來對(duì)數(shù)據(jù)處理服務(wù)市場(chǎng)準(zhǔn)入環(huán)節(jié)實(shí)施準(zhǔn)入資格監(jiān)管提供了上位法依據(jù)。

　　完善數(shù)據(jù)出境風(fēng)險(xiǎn)管理

　　對(duì)全球數(shù)據(jù)競(jìng)爭(zhēng)作出應(yīng)對(duì)性規(guī)定

　　一是《數(shù)據(jù)安全法》補(bǔ)充和完善數(shù)據(jù)出境管理要求，強(qiáng)化境內(nèi)數(shù)據(jù)出境風(fēng)險(xiǎn)控制。第31條對(duì)重要數(shù)據(jù)出境監(jiān)管作出規(guī)定：一方面明確關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)，繼續(xù)適用《網(wǎng)絡(luò)安全法》第37條有關(guān)數(shù)據(jù)出境安全管理要求；另一方面對(duì)其他數(shù)據(jù)處理者在境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)增設(shè)出境安全管理，并授權(quán)國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定相應(yīng)的出境安全管理辦法。此外，《數(shù)據(jù)安全法》第25條增設(shè)數(shù)據(jù)出口管制，明確對(duì)“與維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)”實(shí)施出口管制，完善我國數(shù)據(jù)出境監(jiān)管制度框架。

　　二是《數(shù)據(jù)安全法》針對(duì)全球數(shù)據(jù)競(jìng)爭(zhēng)形勢(shì)，作出應(yīng)對(duì)性規(guī)定。其一，針對(duì)國外相關(guān)立法普遍具有域外適用效力、擴(kuò)張本國立法管轄權(quán)的問題，如歐盟《通用數(shù)據(jù)保護(hù)條例》，《數(shù)據(jù)安全法》第2條以實(shí)際后果為標(biāo)準(zhǔn)，明確將對(duì)“損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益”的境外數(shù)據(jù)處理活動(dòng)，追究法律責(zé)任。其二，針對(duì)國外近期立法授權(quán)本國執(zhí)法機(jī)構(gòu)跨境調(diào)取數(shù)據(jù)，可能侵犯我國數(shù)據(jù)主權(quán)、威脅我國數(shù)據(jù)安全的問題，如美國《云法案》，《數(shù)據(jù)安全法》第36條明確規(guī)定，非經(jīng)我國主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國境內(nèi)的數(shù)據(jù)。其三，針對(duì)我國網(wǎng)信企業(yè)在出海過程中頻遭他國國家安全審查等不平等對(duì)待的問題，《數(shù)據(jù)安全法》第24條明確我國建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查；第26條明確任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對(duì)我國采取歧視性的禁止、限制或者其他類似措施的，我國可以根據(jù)實(shí)際情況對(duì)該國家或者地區(qū)對(duì)等采取措施。

　　加快推進(jìn)配套制度建設(shè)

　　助力《數(shù)據(jù)安全法》實(shí)施

　　《數(shù)據(jù)安全法》實(shí)施在即，在其實(shí)施過程中，既要加快推進(jìn)該法各項(xiàng)制度的配套落實(shí)，也要著力解決各項(xiàng)制度與《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等立法之間的制度銜接問題。

　　一方面，《數(shù)據(jù)安全法》基本法的定位以及“宜粗不宜細(xì)”的立法風(fēng)格，使得該法諸多規(guī)定過于原則，其落地實(shí)施有賴于配套行政法規(guī)、部門規(guī)章、國家標(biāo)準(zhǔn)等予以細(xì)化。該法雖然提出數(shù)據(jù)分類分級(jí)保護(hù)、重要數(shù)據(jù)目錄管理、重要數(shù)據(jù)出境安全管理等要求，但各項(xiàng)制度的具體內(nèi)容、如何實(shí)施等細(xì)致規(guī)定付之闕如，必然影響各類數(shù)據(jù)處理者切實(shí)履行各項(xiàng)數(shù)據(jù)安全保護(hù)義務(wù)。未來，應(yīng)當(dāng)盡快推進(jìn)配套行政法規(guī)、部門規(guī)章等明確前述制度的具體內(nèi)容和統(tǒng)一要求，并通過國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等為企業(yè)合規(guī)提供細(xì)化指引。

　　另一方面，《數(shù)據(jù)安全法》中的諸多制度也亟待明確與現(xiàn)行法律制度間的銜接問題?！秱€(gè)人信息保護(hù)法》出臺(tái)后，我國將形成《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三法并行的局面，各項(xiàng)制度間存在著一定的交叉。如《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全審查也包含對(duì)產(chǎn)品或服務(wù)中數(shù)據(jù)風(fēng)險(xiǎn)的審查；在數(shù)據(jù)市場(chǎng)要素以個(gè)人信息為主的現(xiàn)狀之下，數(shù)據(jù)安全事件報(bào)告、重要數(shù)據(jù)出境管理等制度與《個(gè)人信息保護(hù)法》中個(gè)人信息泄露事件報(bào)告、個(gè)人信息出境等也存在交叉。諸如此類，亟待主管部門有的放矢，厘清前述制度的適用邊界并建立適度的優(yōu)化機(jī)制，避免制度間疊床架屋而浪費(fèi)監(jiān)管資源和企業(yè)合規(guī)成本。