发布日期：2021-08-31

 

《数据安全法》（点击阅读官方版全文）于2021年6月10日通过，并将于2021年9月1日（明天）起正式施行。《数据安全法》全文共七章五十五条，分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行明确规定。以下针对重要条款总结、要点解读以及面对六大合规挑战进行总结。

 

01

重要条款总结

2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》。自此数据安全进入新的法制时代，对于数据安全提出了更明确的相关要求，《数据安全法》的出台将更加有利于数据的规范使用及安全保护，也必将引领整个数据安全的市场发展。

1、第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

2、第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

3、第十八条　国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

4、第十九条　国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

5、第二十一条 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

6、第二十三条 国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

7、第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

8、第二十七条　开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

9、第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

10、第四十条  国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

11、第四十五条　开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

12、第四十九条　国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。

13、第五十五条　本法自2021年9月1日起施行。

 

02

要点解读

下文将对《数据安全法》进行重点提炼，并通过与二审稿的对比，进一步明确该法的要点。

 重点提要 

2020年6月，十三届全国人大常委会第二十次会议对数据安全法草案进行了初次审议。2021年4月26日，十三届全国人大常委会第二十八次会议对根据数据安全法草案的修改情况进行二审。

在两次审议之后，全国人大常委会法工委发言人臧铁伟曾表示，根据各方面意见，提请在三次审议稿上拟作如下修改：

• 一是建立工作协调机制，加强对数据安全工作的统筹。

• 二是明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度。

• 三是要求提供智能化公共服务应当充分考虑老年人、残疾人的需求，不得对老年人、残疾人的日常生活造成障碍。

• 四是进一步完善保障政务数据安全方面的规定。

• 五是加大对违法行为的处罚力度。

根据对《数据安全法》的比对，可以发现上述五点都体现于其中。

( 注：在二审稿基础上新增或修改内容已作标红 )

1. 数据安全工作协调机制

在二审稿的基础上，《数据安全法》采纳了建立工作协调机制的建议，优化了数据安全的统筹工作。

二审稿第六条

• 中央国家安全领导机构负责数据安全工作的决策和统筹协调，研究制定、指导实施国家数据安全战略和有关重大方针政策。

《数据安全法》第五条

• 中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

二审稿第二十条

• 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。
  各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

《数据安全法》第二十一条

• 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。
  各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

二审稿第二十一条

• 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险信息的获取、分析、研判、预警工作。

《数据安全法》第二十二条

• 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

 2. 数据安全管理制度

《数据安全法》要求在开展数据处理活动的同时履行数据保护的义务，并且严格规定了中华人民共和国主管机关在与外国相关机构进行数据处理活动时应遵守的原则，强调了网络安全等级保护制度的基础地位，规范了提供主体。相较于二审稿，条例细节更加详细，管理更加严格。

二审稿第二十六条

• 开展数据处理活动应当依照法律、法规的规定，在网络安全等级保护制度的基础上，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。
  重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《数据安全法》第二十七条

• 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

二审稿第三十五条

• 中华人民共和国境外的司法或者执法机构要求调取存储于中华人民共和国境内的数据的，非经中华人民共和国主管机关批准，不得提供；中华人民共和国缔结或者参加的国际条约、协定有规定的，可以按照其规定执行。

《数据安全法》第三十六条

• 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

 3. 充分考虑老年人、残疾人的需求，不得对其造成障碍

《数据安全法》根据二审建议在第二章数据安全与发展中新增了有关维护老年人、残疾人权益的条例。在支持提升智能化的同时，充分发挥人文关怀，以人为本，考虑弱势群体的需求，让智能化公共服务为更多人提供便利。

《数据安全法》第十五条

• 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

 4. 政务数据安全

针对敏感的政务数据，《数据安全法》在二审稿的基础上，强调了对数据处理过程中所获取的敏感信息应依法予以保密，并且规定了对敏感信息的处理方式。

二审稿第三十七条

• 国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。

《数据安全法》第三十八条

• 国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

二审稿第三十九条

• 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，或者向他人提供政务数据，应当经过严格的批准程序，并应当监督受托方、数据接收方履行相应的数据安全保护义务。

《数据安全法》第四十条

• 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

 5. 违法行为处罚规则

《数据安全法》第六章法律责任中对被处罚的主体进行了更细致的划分，对情节严重的对象提高了处罚上限，并且，除经济处罚之外，增添了追究刑事责任，大大加大了处罚力度。

《数据安全法》第四十五条

• 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
  违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

《数据安全法》第四十六条

• 违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

《数据安全法》第四十八条

• 违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

 其他要点

相较于二审稿，《数据安全法》删除修改了如下内容：

1. 总则中所规定的各地区、各部门所负责的数据安全范围改变：从产生、汇总、加工的数据更改为收集和产生的数据；所担负的责任由主体责任变为责任。

2. 二审稿中的建立数据安全协作机制更改为开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平。

3. 二审稿中国家支持开展数据开发利用技术和数据安全相关教育和培训的高等学校、中等职业学校改为教育机构。

 

 

03

企业即将面对着的数据合规挑战？

企业即将面对着怎样的数据合规挑战？又有哪些任务是必须要落地完成的？

 

第一，数据安全法的定位。从立法背景看，数据安全法主要以数据主权与国家安全为基础和底线，强调安全与发展的平衡，意在数据领域实现从合法到合规，从单方监管到合作治理的国家治理模式的现代化。那么，数据安全法、个人信息保护法、网络安全法、民法典、国家安全法、宪法之间到底是什么关系呢？

 

第二，数据（网络）安全审查制度。数据安全法第23条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。由于数据安全法尚未生效，数据安全审查制度尚未建立，所以滴滴案适用的是网络安全审查制度。那么，未来的数据安全审查制度会与网络安全审查制度合二为一，还是单独建立？审查重点是不是关键基础设施的供应链安全和国家安全审查？采取的主要模式是企业主动申报，还是以监管机构主动出击为主？数据跨境是不是监管机构的关注焦点？企业的数据安全自评估机制又应当如何建构？
 

第三，重要数据保护制度。《数据安全法》采取“目录”方式建立国家重要数据保护制度，但目前尚未出台。在这种背景下，企业是静等国家重要数据目录的出台，还是要提前做些合规布局？界定重要数据概念的基础是评估国家安全和社会公共利益受影响等级，那么如何明确关键要素重要数据内容，以及其影响等级？重要数据数量、重要数据范围和技术处理等要素对等级的影响如何用定量方式判定？重要数据的识别是延用行业分类的方式，还是从数据的作用、受破坏后可能带来的影响等角度，将重要数据分为经济运行类、人口与健康类、自然资源与环境类、科学技术类、安全保护类、应用服务类、政务信息类等？

 

重要数据保护制度的合规落地关键点又是什么？如何明确保护对象？如何依据《数据安全法》出台细化的企业管理制度？如何做好与其他安全相关制度的协同配合？一是做好国家重要数据保护与企业数据分类分级工作的协同；二是做好重要数据保护、网络安全保护与个人信息保护的协同。

 

第四，数据的分类分级制度。数据安全法第21条强调：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

 

数据分级分类的工作流程是什么？如何作好对数据进行盘点、梳理与分类，形成统一的数据资产清单等数据资产梳理工作？如何作好明确数据定级的颗粒度及识别数据安全定级关键要素等数据安全定级准备工作？如何按照数据定级规则，结合国家及行业有关法律法规、部门规章，对数据安全等级进行初步判定？如何综合考虑数据规模、数据时效性、数据形态等因素，对数据安全级别进行复核，调整形成数据安全级别评定结果及定级清单？如何审核数据安全级别评定过程和结果？以及如何由数据安全管理最高决策组织对数据安全分级结果进行审议批准？

 

具体到行业领域而言，金融数据、公共数据、移动数据、医疗健康数据以及工业数据的分类分级又有哪些最佳实践和行业标准？具体的工作流程如何？

 

第五，数据跨境合规框架。

首先，外国机构调取中国境内数据的合规框架。根据数据安全法第36条，主管机关根据有关法律和中国缔结或者参加的国际条约、协定，或者按照平等互惠原则处理。如没有条约、协定，未经国家批准，不得向外国机构提供存储于中国境内的数据。 

 

其次，关键基础信息设施的重要数据出境合规框架。依据数据安全法第31条和网络安全法第37条，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

 

 

最后，个人信息跨境合规框架。按照个人信息保护法第38条、39条的规定，个人信息跨境提供应当满足以下条件之一是网信部门组织的安全评估、专业机构的个人信息保护认证及网信部门制定的标准合同。在此基础上，还得获得个人的单独同意。

 

 

第六，《关键信息基础设施安全保护条例》的合规要点。作为数据安全法和网络网络安全法的配套法规之一，关基条例紧急通过，并于数据安全法同步于9月1日生效，可见其地位之重要。