简析《数据安全法》重点制度内容

《数据安全法》自2020年7月公布草案一审稿之后，在不足一年的时间内完成三次审议并正式颁布，效率之高充分体现了国家对于此部法律的重视程度。从体系地位上看，此次颁布的《数据安全法》是数据安全领域的一部基础性法律，与2017年颁布的《网络安全法》以及仍在立法进程中的《个人信息保护法（草案）》，共同构成我国数据保护与数据安全法律体系的三大支柱。而从主要内容上来说，《数据安全法》正式提出了多项旨在保障数据安全的制度，为我国数据安全法律体系的建立和完善搭建了基础框架。以下我们梳理和选取了《数据安全法》的几项核心制度设计，简析法律提出的具体要求、与现有数据法律的衔接和互动，以及对企业数据合规工作的影响。

1. 以国家安全为基本出发点，国家统筹主导各项工作

《数据安全法》明确将数据安全上升到国家安全、国家主权的高度，设置了由中央国家安全领导机构负责国家数据安全工作的总体决策和协调工作，各地区、各行业部门负责本地区、本行业范围内数据安全工作的职责划分。与《网络安全法》和《个人信息保护法（草案）》相比，统筹协调机构的层级更高。《数据安全法》中提出的诸如数据分类分级保护制度、数据安全审查制度、数据安全应急处理机制等制度建设，均由国家牵头主导。一方面，这样的设置体现了国家对数据安全工作的重视和绝对领导；另一方面，《数据安全法》提出的一系列数据安全制度的适用范围、程序、实施方案等具体规则尚待明确，企业的相关合规工作还需关注其所在地区、行业主管部门所颁布的具体实施细则。

值得一提的是，《数据安全法》明确规定了域外效力，将在中华人民共和国境外开展数据处理活动，而损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的情形，一并纳入法律约束和惩治的范围之内。这一规定同样是国家安全、数据主权理念的延伸，同时意味着国际企业在中国境外开展的、与中国公民、中国国家和公共利益相关的数据处理活动，将须遵守和履行本法所规定的数据安全义务。

2. 数据分类分级保护制度

数据分类分级保护制度是本次《数据安全法》最引人关注的制度之一。本法规定，国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

"重要数据"的概念，自2017年《网络安全法》中在关键基础设施运营者向境外提供数据的语境下首次提出，其范围和具体目录一直有待明确。此后，不断有行业规定和国家标准尝试对"重要数据"的概念予以明确定义。其中，《信息安全技术数据出境安全评估指南（征求意见稿）》的附录A《重要数据识别指南》以行业为划分标准，对27个主要行业的重要数据的范围给出了较为全面、具体的参考指引。近期，国家互联网信息办公室发布的《汽车数据安全管理若干规定（征求意见稿）》则专门针对汽车行业界定了重要数据的详细范围。《数据安全法》此次在国家主导工作的基础上，将确定重要数据具体目录的职责交由各地区、行业主管部门来执行，一定程度上表明重要数据的识别工作将充分考虑和尊重各地区、行业的特异性。但对于跨行业、跨地区经营的企业，可能在实际操作层面会面临统筹协调不同标准差异的困难。

本次《数据安全法》在重要数据的基础上，进一步新增了"国家核心数据"的概念。有关"国家核心数据"的具体界定和保护标准，仍待后续细则明确。

3. .重要数据处理者的义务

《数据安全法》第三十条提出，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

与《个人信息保护法（草案）》中针对高风险个人信息处理活动的风险评估相比，《数据安全法》中提出的风险评估在适用对象、评估内容和报送程序上均有所不同。而由于目前"重要数据"的范围尚不明确，不排除可能会与个人信息存在交叉，而导致部分个人信息处理活动既要进行《个人信息保护法（草案）》下的风险评估，又要进行《数据安全法》下的风险评估。

《数据安全法》第二十七条第二款还规定，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。部分企业可能将同时面临《网络安全法》、《数据安全法》和《个人信息保护法（草案）》项下的确定网络安全负责人、数据安全负责人和个人信息保护负责人的义务，需要对其各自不同的岗位职责和任职要求作出区分界定。

4. 重要数据出境要求的衔接

对于数据出境的安全管理问题，《数据安全法》首先尊重了《网络安全法》的既有规定：对关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理，仍适用《网络安全法》的规定，即原则上应当在境内存储，因业务需要确需向境外提供的，应当进行安全评估。而对于其他数据处理者所收集和产生的重要数据的出境管理，则有待国家网信部门会同国务院有关部门制定相应办法。

本条规定在《数据安全法（草案）》一次审议稿中尚未提出，后在提交二次审议时加入。将其纳入《数据安全法》，是在《网络安全法》和《个人信息保护法（草案）》的基础上，补充完善了我国数据出境安全管理制度，实现了对不同主体重要数据和个人信息出境规则的全覆盖。

但是，2017年《网络安全法》实施至今，有关关键信息基础设施运营者重要数据出境安全评估的细则办法仍未出台。国家网信办曾先后公布《个人信息和重要数据出境安全评估办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》，但上述草案始终未能正式颁布，业界对于这一规定也多持观望态度。本次《数据安全法》再次将细化数据出境安全管理规则的任务交给网信办，我们也期待能早日看到正式的文本出台，为企业合规实务提供确切的指引和参照。

5. 出口管制、对等措施

《数据安全法》首次明确，对于属于管制物项的数据，国家依法实施出口管制。任何国家或地区在数据和数据开发利用技术等相关方面对我国采取歧视性措施的，我国可以根据实际情况对该国家或地区采取对等措施。

数据出口管制和对等措施的规定，再次体现了数据作为重要的战略资源在国家之间竞争的重要性，也为我国回应、反制外国歧视性限制性措施提供了法律依据以及更多手段和工具。此次与《数据安全法》一同颁布的《反外国制裁法》，在这方面提供了更为系统、详细的规定，我们会在后期以专篇文章的形式予以具体分析。

6. 政府数据提供请求

《数据安全法》第三十五、三十六条专门规定了有关国家机关调取、提供数据请求的程序要求。国内公安机关、国家安全机关为了维护国家安全或者侦查犯罪的需要调取数据的，应当经过严格批准手续，有关组织、个人有义务配合。外国司法、执法机构请求提供数据的，根据有关法律和中国缔结或参加的国际条约、协定或者按照平等互惠原则来处理，且非经我国主管机关批准，境内组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

上述规定与《个人信息保护法（草案）》中有关境外司法、执法机构提供个人信息请求的处理方式基本一致，也与现行法中境外政府机构数据请求的处理程序保持一致。对于一些跨国经营或者可能受到外国法律长臂管辖的企业，需要特别注意本国规定与境外法律之间的冲突问题。在面临具体冲突场景时，需要谨慎处理和选择所遵循的法律，与相关监管机构保持必要充分的沟通。

结语

此次《数据安全法》的出台，标志着我国立法体系中有关数据安全法律基础体系的建立。虽然法律留下了许多空白尚待实施细则的落实补充，但我们已经基本可以从中感受到国家对数据安全工作的整体思路和全盘规划，即强调从国家安全、国家主权的高度出发，统领和制定数据安全工作的方向和决策。对企业而言，数据合规工作将在个人信息保护、网络安全的维度之外，增加数据安全（特别是重要数据的安全保护）方面的考量。在等待《数据安全法》正式生效和诸多制度细则出台的同时，企业可以首先考虑内部梳理和甄别各类数据处理活动的情况，以便于在各项规定落地之后，及时对应自身的义务和责任类型并实施必要的合规整改工作。我们也将持续关注并与大家及时分享《数据安全法》及其相关规定的执行情况。