《数据安全法》共有的十大突出亮点解读(图)

王春晖成乐

2021年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）施行。该法体现了总体国家安全观的立法目标，着眼于数据安全领域的突出问题，建立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急响应、和数据安全审查。这是我国在数据安全领域的第一部基础性立法。《数据安全法》共七章五十五条。《数据安全法》实施后，我们将解读这部法律的十大亮点。

一、坚持总体国家安全发展观

《数据安全法》以贯彻落实国家整体安全理念为出发点，以数据治理中最重要的安全问题为切入点。基本法。《数据安全法》第一条确立了法律的立法宗旨：“为规范数据处理活动，保障数据安全，促进数据开发利用，保护个人和组织的合法权益，维护国家安全。主权、安全和发展利益，制定本法。本法。”

本条中“规范数据处理活动，保障数据安全，促进数据开发利用”是《数据安全法》的立法依据。规范数据处理活动的目的是确保数据的安全性。只有在保证数据安全的基础上，才能促进数据的有序开发利用。

二、我国数据保护的域外法律效力

当前，全球经贸交易、技术交流、资源共享等跨境合作日趋频繁，数据跨境流动已是无法回避的事实。如果我国的数据安全法只适用于“中华人民共和国境内的数据活动”的地理空间，显然是不现实的。为此，《数据安全法》第二条第二款明确规定：“在中华人民共和国境外进行数据处理活动，损害中华人民共和国国家安全、社会公共利益、或者公民、组织的合法权益，依法追究法律责任。”

本款“在境外开展的数据处理数据活动”的主体包括位于中国境外的数据处理者和位于中国境内的数据处理者，但其数据处理行为在境外。这两类数据处理者的行为只要损害我国的国家安全、公共利益、公民和组织的合法数据权益，均应适用我国法律，依法追究法律责任。追求的。

三、“中央国安委”统筹协调下的行业数据监管机制

我国《数据安全法》第五条明确规定：“中央国家安全领导机构负责决策、审议和协调国家数据安全工作，研究制定和指导实施国家数据安全战略和相关重大政策企业数据使用法律，协调国家数据安全重大问题、事项和重要工作，建立国家数据安全工作协调机制。”

《数据安全法》实行“中央国家安全委员会”统筹协调的行业监管机制：一是中央国家安全领导机构负责国家数据安全工作的决策审议和协调，研究，制定和指导实施国家数据安全战略和相关重大方针政策，协调国家数据安全重大事项和重要工作；二是各地区、各部门对本地区、本部门工作中收集、产生的数据和数据安全负责。第三，工业、电信、交通、金融、自然资源、健康、教育、科技等主管部门承担本行业、领域的数据安全监管职责；四、公安机关、国家安全机关等应当依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全安全监管职责；五是国家网信部门依照《数据安全法》和有关法律、行政法规的规定，负责协调网络数据安全及相关监管工作。依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全安全监管职责；五是国家网信部门依照《数据安全法》和有关法律、行政法规的规定，负责协调网络数据安全及相关监管工作。依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全安全监管职责；五是国家网信部门依照《数据安全法》和有关法律、行政法规的规定，负责协调网络数据安全及相关监管工作。

四、以数据为核心推动数字经济发展

《数据安全法》第七条规定：“国家保护与数据有关的个人和组织的权益，鼓励依法合理有效使用数据，保障数据在境内的有序、自由流动。依法，推动以数据为核心的数字经济发展。”

数据作为生产要素，由市场评估，根据贡献确定报酬。这是十九届四中全会首次提出的重大产权创新制度。目前，各种网络平台，尤其是超级网络平台，通过自身的网络生态系统，将网络公共空间中的数据视为一种私有权利，不利于数据元市场的建设。因此企业数据使用法律，《数据安全法》明确规定“国家保护与数据有关的个人和组织的权益”，其中“权益”是指受法律保护的公民和法人的权益。关于数据。

五、国家数据分类分级保护体系

《数据安全法》第21条规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要性，一旦数据被篡改、销毁、泄露、非法获取或者根据对安全、公共利益或个人、组织合法权益造成的损害程度，对数据进行分类、分类保护。国家数据安全工作协调机制协调有关部门制定重要数据目录，加强对重要数据的保护。”

《数据安全法》中的“数据分类”采用数据“重要度”+“危险度”的立法方式，对数据实施分类分级保护。、重大公共利益等数据”列为国家核心数据，实行更严格的管理制度。《数据安全法》提出国家层面的数据分类和分类，是确定数据保护与利用平衡的重​​要依据，为政府数据、企业数据、行业数据和个人数据的保护奠定了法律基础。数据。

六、国家数据安全审查制度

“国家安全审查”是我国《国家安全法》首次建立的国家安全审查监督制度。《国家安全法》第五十九条规定：“国家建立国家安全审查和监督制度和机制，对外商投资、特定项目和关键技术、网络信息技术产品和影响或者可能影响国家安全的产品进行控制。涉及国家安全事务的服务、建设项目等重大事项和活动，开展国家安全审查，有效防范和化解国家安全风险。”

数据安全审查制度和网络安全审查制度是依法建立的国家安全审查制度中的两个重要安全审查制度。《数据安全法》第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。” 《网络安全法》第三十五条规定：“关键信息基础设施运营者购买可能影响国家安全的网络产品和服务的，应当通过国家网信部门会同有关部门组织的国家安全审查。国务院有关部门。”

《数据安全法》中的数据安全审查制度不同于《网络安全法》中的网络安全审查制度。前者的审查对象主要是影响或可能影响国家安全的数据处理活动。数据处理活动包括：数据的收集、存储、使用、处理、传输、提供、披露等；后者的审查对象主要是关键信息基础设施运营商采购网络产品和服务，影响或可能影响国家安全。

2021年7月10日，国家互联网信息办公室发布了《网络安全审查办法（修订征求意见稿）》。在《修订征求意见稿》第一条的立法依据中，新增“中华人民共和国数据”。《安全法》，即根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》，意味着数据安全审查制度将纳入新修订的《安全法》网络安全审查办法。

七、国家数据安全应急机制

《数据安全法》第二十三条明确“国家建立数据安全应急机制”，要求“发生数据安全事件，有关主管部门应当依法启动应急预案” ，并采取相应的应急处置措施，防止危害扩大，消除安全隐患，及时向社会发布与公众相关的警示信息。”

这篇文章有四层意思。一是要建立国家层面的数据安全应急机制；二是发生数据安全事件时，有关单位要依法立即启动应急预案。三是采取最有效的应急处置措施，防止危害扩大，消除安全隐患，组织研判，保全证据，做好信息通报工作；四、及时向公众发布与公众相关的预警信息，强调“发布与公众相关的预警信息”的目的是让公众了解数据安全事件的真相，并及时采取自我保护措施，防止其数据被破坏或损坏。

数据安全事件应急预案应根据紧急程度、发展情况和可能造成的危害程度进行分类，一般分为四个级别：从高到低依次为红色、橙色、黄色和蓝色，分别对应特别严重事件的可能性。、重大、重大和一般网络安全突发事件。

八、数据处理者的合规义务

数据合规是指数据处理者及其工作人员的数据处理行为符合法律法规、监管规定、行业准则、数据安全管理规章制度以及国际条约、规则等要求。《数据安全法》第 27 条至第 30 条规定了数据处理者履行数据安全的四项重要合规义务。

(一）数据处理活动应遵守法律法规

《数据安全法》第二十七条规定：“开展数据处理活动，依照法律、法规的规定，建立健全数据安全全过程管理制度，组织开展数据安全教育培训。 ，并采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当依据网络安全等级保护体系履行上述数据安全保护义务。 .

重要数据处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。"

本条规定了四项重要义务：一是数据处理活动应当依照法律法规的规定进行；二是数据处理活动应当建立健全数据安全全过程管理制度，组织开展数据安全教育培训；数据处理活动应当采取相应的技术措施和其他必要措施，确保数据安全；四、利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上履行上述数据安全保护义务。

（二）数据处理应造福于民，符合社会公德

目前，数据处理器在数据处理活动中使用了大量的智能技术和算法技术，尤其是数据处理器开发的智能技术和算法的集成，其本质是基于大数据的自学习、判断和决策. 算法。该算法的核心是基于网络的编程技术。目前，基于智能技术的算法决策具有“黑匣子”的典型特征，大量违反社会公德和伦理道德。最典型的就是大数据查杀机制。

针对数据处理者违反法律和社会公德滥用大数据新技术，《数据安全法》第28条提出了数据处理活动和数据新技术研发的三项合规义务。首先是数据处理。数据处理者研发数据技术，必须有利于促进经济社会发展；第二，数据处理者研发新的数据技术应以改善民生为目标；第三，数据处理者研发新的数据技术应符合社会公德和伦理。

(三）数据处理活动应加强风险监控

《数据安全法》第二十九条：“开展数据处理活动，应当加强风险监测。发现数据安全缺陷、漏洞等风险，应当立即采取补救措施；发生数据安全事件时，应当采取措施立即采取。规定及时告知用户，并向有关主管部门报告。

数据安全风险监测与评估是指数据安全风险评估标准和管理规范，对数据资产的价值、潜在威胁、薄弱环节、已采取的保护措施等进行监测，分析判断数据安全事件发生的概率和可能的原因。损失，采取针对性处置措施，提出数据安全风险管控措施。

《数据安全法》第二十九条对数据安全风险监测和数据安全事件处理提出了两项​​明确要求。一是加强数据处理活动中的风险监控。应立即采取补救措施；二是发生数据安全事件时，应立即采取处置措施，及时通知用户，并按规定向有关部门报告。

（四） 重要数据处理者应定期进行数据风险评估

《数据安全法》第三十条规定：“重要数据的处理者应当按照规定对其数据处理活动进行定期风险评估，并向有关主管部门提交风险评估报告。

风险评估报告应当包括重要数据处理的类型和数量、数据处理活动的情况、面临的数据安全风险和应对措施等。”

本条款包含三项内容：一是重要数据处理者应当按照规定对其数据处理活动进行定期风险评估；二是向有关主管部门提交数据风险评估报告；第三，风险评估报告应包括重要的数据类型和数量、数据处理活动、面临的数据安全风险和应对措施等。

九、重要数据退出安全管理系统

《数据安全法》第三十一条规定：“关键信息基础设施运营者在中华人民共和国境内运营过程中收集、产生的重要数据出境的安全管理，适用本法规定。 《中华人民共和国网络安全法》 其他数据处理者在中华人民共和国境内运营过程中收集和产生的重要数据出境安全管理办法，由国家网信部门制定会同国务院有关部门。”

本条规定了重要数据出境安全管理的规定，主要有两个方面。一是对关键信息基础设施运营者在中华人民共和国境内运营过程中收集和产生的重要数据的出境安全管理。二、除关键信息基础设施运营者处理的重要数据外，其他数据处理者在中华人民共和国境内运营过程中收集和产生的重要数据出境的安全管理措施，由国家网络安全部门管理。和信息化部门。会同国务院有关部门制定。

十、提供数据处理服务的行政许可准入制度

《数据安全法》第三十四条规定：“法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。” 许可是指许可、许可或授权。，数据处理相关服务的行政许可，其基本性质是行政机关对特定的数据处理服务活动进行事先控制的一种管理行为。

数据处理相关服务行政许可一般具有以下特点：一是数据处理相关服务行政许可是行政相对人申请的行政行为。未经行政相对人申请，行政机关不得自行许可；数据处理服务行政许可的设定意味着法律的普遍禁止。行政许可的内容是国家普遍禁止的活动。为适应社会生活和生产需要，对符合一定条件的人取消禁令，允许其从事一定的特定活动。活动。数据处理服务本身涉及维护国家主权、安全和发展利益，国家一般应予以禁止。但是，为了促进数据的开发利用，国家允许有条件的组织和个人在保证数据安全的前提下实施数据。三是数据处理服务行政许可是有益的行政行为，即赋予相对人一定的权利和资格的有益的行政行为，是允许相对人从事数据特定活动的行为。加工服务。. 国家允许有条件的组织和个人在保证数据安全的前提下实施数据。三是数据处理服务行政许可是有益的行政行为，即赋予相对人一定的权利和资格的有益的行政行为，是允许相对人从事数据特定活动的行为。加工服务。. 国家允许有条件的组织和个人在保证数据安全的前提下实施数据。三是数据处理服务行政许可是有益的行政行为，即赋予相对人一定的权利和资格的有益的行政行为，是允许相对人从事数据特定活动的行为。加工服务。. 并且是允许交易对手从事数据处理服务的特定活动的行为。. 并且是允许交易对手从事数据处理服务的特定活动的行为。.

王春辉，浙江大学教授、博士生导师，网络空间治理与数字经济法治（长三角）研究基地主任、首席专家，工信部信息通信经济专家委员会委员，信息技术，中国网络与数据安全法治50人论坛主席；

程乐，浙江大学教授、博士生导师，国家社科基金重大项目“建立和完善我国网络综合治理体系研究”首席专家，国际战略与法律研究所常务副院长浙江大学.