《数据安全法》解读和数据合规管理 日前，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式通过并公布， 自 2021 年 9 月 1 日起施行。在数字经济时代，数据已成为新兴的生产要素，是国家基础性 和战略性资源，同时，数据安全需求也越发凸显，已成为事关国家安全与经济社会发展的重 大问题。 企业应当开始评估自身业务活动是否收集、处理重要数据与国家核心数据，并特别关注 m o c . 5 国家有关部门后续将发布的重要数据目录、非关键信息基础设施的运营者出境重要数据的具 体办法，以及国家核心数据相关规定的内容与要求，以确保在《数据安全法》正式实施之前， 建立起较为完善的重要数据与国家核心数据的管理措施。此外，对于业务活动涉及出口管制 范围内数据出口、涉及个人信息收集与处理、涉及统计与档案工作中的数据处理活动等的企 b u 业而言，还应当关注自身操作符合其他相关法律法规的要求。 要点 h t i g 1、企业在相应搭建自身的合规制度参照数据分类分级标准时，需要关注的不仅仅是数 据分类分级保护标准中分类分级标准是否为强制标准，而是关注行业主管部门所制定的有关 指引以及在依据法律法规执法过程当中所适用的分类分级标准。 2、重要数据的边界在《数据安全法》中仍不明确。我们判断有关重要数据的相关标准 很可能于近期出台，相关企业首先应当就此加以关注，以及时判断自身是否属于重要数据处 理者的范围。 3、对于重要数据跨境传输而言，《数据安全法》首先明确了关键信息基础设施的运营 者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，仍适用《网络安全 法》的要求，即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人 信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门 会同国务院有关部门制定的办法进行安全评估。 一、前言 2021 年 6 月 10 日，《中华人民共和国数据安全法》已由中华人民共和国第十三届全国 人民代表大会常务委员会第二十九次会议于 2021 年 6 月 10 日正式表决通过，正式公布，并 将于 2021 年 9 月 1 日正式实施。 二、概述 （一） 立法背景 m o c . 5 自 2020 年 6 月 28 日以来，《数据安全法》经历了三次审议与修改，终于 2021 年 6 月 10 日正式表决通过，并确定将于 2021 年 9 月 1 日正式实施。 在此之前，中国未就数据安全领域设置具有针对性的上位法，主要零散分布于其他法律 b u 法规及其相关司法解释等文件中予以体现。具体而言，包括但不限于以下内容： 1、《网络安全法》中对关键信息基础设施运营者就个人信息和重要数据出境前设置了 h t i g 安全评估制度的要求（例如，第三十七条等）；对网络运营者设置了建立用户信息保护制度 的要求，与收集、使用个人信息的要求（例如，第四十条、第四十一条等）。 2、《民法典》明确规定个人信息保护为民事权利之一，即自然人的个人信息受法律保 护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法 收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息（例如， 第一百一十一条等）。 3、《刑法》修正案及其司法解释就出售或者非法提供、窃取或者非法获取公民个人信 息的犯罪及刑罚予以了定义与补充（例如，刑法修正案（七）、刑法修正案（九）、《关于 办理侵犯公民个人信息刑事案件使用法律若干问题的解释》等）。 其他相关后续的法律法规和规章等文件： 1、《个人信息保护法》草案涉及法律名称的确立、立法模式问题、立法的意义和重要 性、立法现状以及立法依据、法律的适用范围、法律的适用例外及其规定方式、个人信息处 理的基本原则、与政府信息公开条例的关系、对政府机关与其他个人信息处理者的不同规制 方式及其效果、协调个人信息保护与促进信息自由流动的关系、个人信息保护法在特定行业 的适用问题、关于敏感个人信息问题、法律的执行机构、行业自律机制、信息主体权利、跨 境信息交流问题、刑事责任问题。 2、《网络安全审查办法》修订草案，掌握超过 100 万用户个人信息的运营者赴国外上 市，必须向网络安全审查办公室申报网络安全审查。 （二） 立法意义 《数据安全法》由七个章节、55 条法律条文组成，涵盖了数据安全与发展、数据安全 制度、数据安全保护义务、政务数据安全与开放及相关法律责任等具体规定。 作为中国首部针对数据安全领域的立法，本法明确了国家对数据安全的监管范围、确立 了相关监管机关对数据安全的监管地位、阐明了维护数据安全的核心意义等，为数据安全各 领域后续立法工作（例如，个人信息保护法等）与安全监管工作提供重要法律依据。 m o c . 5 三、重点内容解读 本文将结合《数据安全法》的具体规定与中国法律法规项下其他相关规定，对《数据安 b u 全法》中的重点内容予以解读，分析其与其他数据安全领域相关规定的联系，研判法律要求 的具体变化，形成立法形势预判，供企业参考。 h t i g （一） 立法核心目的 从《数据安全法》第一条中我们可以得知，此项立法继承了《网络安全法》、《民法典》 等法律以及国际数据保护立法趋势中对公民、组织合法权益保障，对数据处理活动予以规范， 促进数据开发利用的核心目的。 此外，此次立法中另一项被延续的重要的目的在于维护国家主权、安全和发展利益。此 项立法基于这一目的实现所规定的具体要求除保护中国公民个人信息以及中国境内重要数 据安全以外，还可能成为反制外国司法或执法机构调查中的跨境证据采集法律法规（例如， 美国“云法案”）的有效手段。 （二） 适用范围 根据《数据安全法》第二条第一款的规定，本法的适用范围为在中华人民共和国境内开 展的数据处理活动及其安全监管活动。 但是与此同时，第二条第二款规定在中华人民共和国境外开展数据处理活动，损害中华 人民共和国国家安全、公共利益或者公民、组织合法权益的，将依法追究法律责任，据此可 知第二条第二款未直接将境外开展数据处理活动纳入本法的适用范围内。我们初步判断，设 置本条款的主要目的在于在国家的合理立法范围权力内，通过作为数据安全领域的重要法律 基础的《数据安全法》，确立境外开展的数据处理活动需符合中国法律的相关规定的要求， 以《个人信息保护法（草案二次审议稿）》为例：该草案规定某些特定的在中国境外处理中 国境内自然人个人信息的活动也属于草案的适用范围。 值得注意的是，《数据安全法》的适用范围排除了涉及国家秘密的数据处理活动及其监 管，即涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行 政法规的规定。 （三） 关键定义 1、数据的范围：电子数据与非电子形式记录的数据 m o c . 5 《数据安全法》第三条第一款给出了对“数据”的定义，即指任何以电子或者其他方式对 信息的记录。此处的定义与《个人信息保护法（草案二次审议稿）》中“个人信息”的定义的 描述类似，具体而言包括了电子数据以及非电子形式记录的数据。 在此之前，中国法律项下未就“数据”这一概念予以具体定义，但是在《网络安全法》中， b u 有“网络数据”的定义，即通过网络收集、存储、传输、处理和产生的各种电子数据。因此， 需要注意的是，《数据安全法》作为数据安全领域的重要法律基础，其项下所指数据范围要 h t i g 大于此前立法中的概念，也意味着未来的立法趋势中，非电子形式记录的数据可能也会纳入 各具体数据安全领域法律规定的适用范围内。 2、数据处理的含义 《数据安全法》第三条第二款对数据的“处理”与《民法典》第一千零三十五条所描述的 “处理”一致，即收集、存储、使用、加工、传输、提供、公开等。 （四）数据安全监管体系 根据《数据安全法》，建立健全数据安全治理体系应当坚持总体国家安全观。中央国家 安全领导机构作为研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国 家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制的关键机关。各行业主 管部门承担本行业、本领域数据安全监管职责，国家网信部门依照本法和有关法律、行政法 规的规定，负责统筹协调网络数据安全和相关监管工作。鉴于上述《数据安全法》的要求， 数据监管将按照行业予以划分，各行业内的所有数据保护监管，包括数据出境审批、落实数 据分类分级保护制度等权力，实际落实到了各行业主管部门。 此外，根据《数据安全法》的要求，国家将建立集中统一、高效权威的数据安全风险评 估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数 据安全风险信息的获取、分析、研判、预警工作。 （五）数据安全制度 1、数据分类分级保护制度 《数据安全法》确立建立数据分类分级保护制度，要求对数据实行分类分级保护。此处， 我们判断“分类”，指根据不同的产业类型对数据进行分类保护，而“分级”，指根据不同的数 据类型设置不同的等级保护要求。例如，工业和信息化部就工业数据分类分级于 2020 年 2 月 27 日发布了《工业数据分类分级指南》，根据不同类别工业数据遭篡改、破坏、泄露或 m o c . 5 非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、 三级等 3 个级别。此外，例如中国证券监督管理委员会于 2018 年发布了《证券期货业数据 分类分级指引》行业标准。《数据安全法》奠定了未来各行业主管部门基于其数据监管权力， 通过制定数据分类分级指引与行业标准、开展有关执法监管活动，落实数据分类分级保护制 b u 度中的重要趋势。 对于此，我们提请相关企业注意，在相应搭建自身的合规制度参照数据分类分级标准时， h t i g 需要关注的不仅仅是数据分类分级保护标准中分类分级标准是否为强制标准，而是关注行业 主管部门所制定的有关指引以及在依据法律法规执法过程当中所适用的分类分级标准。即使 当执法所依据的分类标准为指引或推荐性标准，相关企业仍应当严格按照相应标准执行数据 分级分类保护制度。 2、重要数据与国家核心数据 （1） 重要数据 《数据安全法》授权国家数据安全工作协调机制统筹协调各地区、各有关部门制定重要 数据目录。“重要数据”的概念首次在《网络安全法》中提出，并对重要数据的某些跨境传输、 特别保护提出了具体要求，但是没有予以具体的界定，实际的认定中也存在模糊的情形。我 们初步判断，未来有关部门根据《数据安全法》的要求制定的重要数据目录，将作为《网络 安全法》中界定“重要数据”的重要依据。 值得留意的是，2017 年 4 月网信办发布了《个人信息和重要数据出境安全评估办法（征 求意见稿）》，但是迟迟未有新立法动向。在此项征求意见稿