分类： 通知公告

《数据安全法》（点击阅读官方版全文）于2021年6月10日通过，并将于2021年9月1日（明天）起正式施行。《数据安全法》全文共七章五十五条，分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行明确规定。以下针对重要条款总结、要点解读以及面对六大合规挑战进行总结。

2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》。自此数据安全进入新的法制时代，对于数据安全提出了更明确的相关要求，《数据安全法》的出台将更加有利于数据的规范使用及安全保护，也必将引领整个数据安全的市场发展。

1、第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

6、第二十三条 国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

7、第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

8、第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

9、第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

10、第四十条 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

11、第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

12、第四十九条　国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。

13、第五十五条　本法自2021年9月1日起施行。

下文将对《数据安全法》进行重点提炼，并通过与二审稿的对比，进一步明确该法的要点。

2020年6月，十三届全国人大常委会第二十次会议对数据安全法草案进行了初次审议。2021年4月26日，十三届全国人大常委会第二十八次会议对根据数据安全法草案的修改情况进行二审。

在两次审议之后，全国人大常委会法工委发言人臧铁伟曾表示，根据各方面意见，提请在三次审议稿上拟作如下修改：

根据对《数据安全法》的比对，可以发现上述五点都体现于其中。

( 注：在二审稿基础上新增或修改内容已作标红 )

在二审稿的基础上，《数据安全法》采纳了建立工作协调机制的建议，优化了数据安全的统筹工作。

二审稿第六条

《数据安全法》第五条

二审稿第二十条

《数据安全法》第二十一条

二审稿第二十一条

《数据安全法》第二十二条

《数据安全法》要求在开展数据处理活动的同时履行数据保护的义务，并且严格规定了中华人民共和国主管机关在与外国相关机构进行数据处理活动时应遵守的原则，强调了网络安全等级保护制度的基础地位，规范了提供主体。相较于二审稿，条例细节更加详细，管理更加严格。

二审稿第二十六条

《数据安全法》第二十七条

二审稿第三十五条

《数据安全法》第三十六条

《数据安全法》根据二审建议在第二章数据安全与发展中新增了有关维护老年人、残疾人权益的条例。在支持提升智能化的同时，充分发挥人文关怀，以人为本，考虑弱势群体的需求，让智能化公共服务为更多人提供便利。

《数据安全法》第十五条

针对敏感的政务数据，《数据安全法》在二审稿的基础上，强调了对数据处理过程中所获取的敏感信息应依法予以保密，并且规定了对敏感信息的处理方式。

二审稿第三十七条

《数据安全法》第三十八条

二审稿第三十九条

《数据安全法》第四十条

《数据安全法》第六章法律责任中对被处罚的主体进行了更细致的划分，对情节严重的对象提高了处罚上限，并且，除经济处罚之外，增添了追究刑事责任，大大加大了处罚力度。

《数据安全法》第四十五条

《数据安全法》第四十六条

《数据安全法》第四十八条

相较于二审稿，《数据安全法》删除修改了如下内容：

1. 总则中所规定的各地区、各部门所负责的数据安全范围改变：从产生、汇总、加工的数据更改为收集和产生的数据；所担负的责任由主体责任变为责任。

2. 二审稿中的建立数据安全协作机制更改为开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平。

3. 二审稿中国家支持开展数据开发利用技术和数据安全相关教育和培训的高等学校、中等职业学校改为教育机构。

企业即将面对着怎样的数据合规挑战？又有哪些任务是必须要落地完成的？

第一，数据安全法的定位。从立法背景看，数据安全法主要以数据主权与国家安全为基础和底线，强调安全与发展的平衡，意在数据领域实现从合法到合规，从单方监管到合作治理的国家治理模式的现代化。那么，数据安全法、个人信息保护法、网络安全法、民法典、国家安全法、宪法之间到底是什么关系呢？

第二，数据（网络）安全审查制度。数据安全法第23条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。由于数据安全法尚未生效，数据安全审查制度尚未建立，所以滴滴案适用的是网络安全审查制度。那么，未来的数据安全审查制度会与网络安全审查制度合二为一，还是单独建立？审查重点是不是关键基础设施的供应链安全和国家安全审查？采取的主要模式是企业主动申报，还是以监管机构主动出击为主？数据跨境是不是监管机构的关注焦点？企业的数据安全自评估机制又应当如何建构？

第三，重要数据保护制度。《数据安全法》采取“目录”方式建立国家重要数据保护制度，但目前尚未出台。在这种背景下，企业是静等国家重要数据目录的出台，还是要提前做些合规布局？界定重要数据概念的基础是评估国家安全和社会公共利益受影响等级，那么如何明确关键要素重要数据内容，以及其影响等级？重要数据数量、重要数据范围和技术处理等要素对等级的影响如何用定量方式判定？重要数据的识别是延用行业分类的方式，还是从数据的作用、受破坏后可能带来的影响等角度，将重要数据分为经济运行类、人口与健康类、自然资源与环境类、科学技术类、安全保护类、应用服务类、政务信息类等？

重要数据保护制度的合规落地关键点又是什么？如何明确保护对象？如何依据《数据安全法》出台细化的企业管理制度？如何做好与其他安全相关制度的协同配合？一是做好国家重要数据保护与企业数据分类分级工作的协同；二是做好重要数据保护、网络安全保护与个人信息保护的协同。

第四，数据的分类分级制度。数据安全法第21条强调：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

数据分级分类的工作流程是什么？如何作好对数据进行盘点、梳理与分类，形成统一的数据资产清单等数据资产梳理工作？如何作好明确数据定级的颗粒度及识别数据安全定级关键要素等数据安全定级准备工作？如何按照数据定级规则，结合国家及行业有关法律法规、部门规章，对数据安全等级进行初步判定？如何综合考虑数据规模、数据时效性、数据形态等因素，对数据安全级别进行复核，调整形成数据安全级别评定结果及定级清单？如何审核数据安全级别评定过程和结果？以及如何由数据安全管理最高决策组织对数据安全分级结果进行审议批准？

具体到行业领域而言，金融数据、公共数据、移动数据、医疗健康数据以及工业数据的分类分级又有哪些最佳实践和行业标准？具体的工作流程如何？

第五，数据跨境合规框架。

首先，外国机构调取中国境内数据的合规框架。根据数据安全法第36条，主管机关根据有关法律和中国缔结或者参加的国际条约、协定，或者按照平等互惠原则处理。如没有条约、协定，未经国家批准，不得向外国机构提供存储于中国境内的数据。

其次，关键基础信息设施的重要数据出境合规框架。依据数据安全法第31条和网络安全法第37条，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

最后，个人信息跨境合规框架。按照个人信息保护法第38条、39条的规定，个人信息跨境提供应当满足以下条件之一是网信部门组织的安全评估、专业机构的个人信息保护认证及网信部门制定的标准合同。在此基础上，还得获得个人的单独同意。

第六，《关键信息基础设施安全保护条例》的合规要点。作为数据安全法和网络网络安全法的配套法规之一，关基条例紧急通过，并于数据安全法同步于9月1日生效，可见其地位之重要。

2021网民网络安全感满意度调查问卷于8月3日上午9时正式上线！

为全面了解、反映网民对我国网络安全状况的感受和看法，向国家和有关部门开展互联网治理与监管提供详实的网情民意的支撑，2021网民网络安全感满意度调查活动于8月3—12日正式上线采集样本。

网民网络安全感满意度调查活动以习近平总书记关于“网络安全为人民、网络安全靠人民”的重要指示精神为宗旨，已成功举办三届，取得了丰硕成果,受到各级政府部门的高度重视及大力支持，也得到社会各界的积极参与和广泛好评，是目前国内调查范围最广、参与人数最多的全国性、公益性网络安全社会调查。全国采集的有效样本量从2018年的14万份,到2019年的22万份,再到2020年的150万份,取得数量级增长。同时，每届的调查报告作为国家网络安全宣传周法治日重头戏之一向全国公开发布，为政府部门、行业及相关组织提供决策参考、科研支撑、成果应用。

调查活动由全国135家网络安全行业协会及相关社会组织共同发起，各企事业单位支持，采取线上问卷调查方式开展，网民可在活动开展期间通过参与答卷，写下上网用网过程中的感受、评价、建议及意见。

经过前三年的积累和沉淀，2021年调查问卷内容以网民诉求为导向，更贴近网络安全热点，问题选项更精简、框架更完善、针对性更强，问卷新设了“数字鸿沟消除与乡村振兴”专题，并调整了“网络安全法治社会建设”专题和“个人信息保护与数据安全”专题，紧跟社会时势，聚焦民生热点，力求客观、全面地收集网民需求及评价意见，及时了解和掌握最新的网情民意，为开展相关课题研究打下坚实基础。

2021调查问卷于8月3日上午9时正式上线，于8月12日24时结束，历时10天，届时全国各大网络平台将同步开通线上采集通道。调查问卷分为公众网民版和从业人员版，分别面向公众网民和互联网行业从业人员。

欢迎大家踊跃参与！您可直接扫描下方二维码或打开下方链接参与问卷调查。