《数据安全法》亮点解读

一、简介

　　2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》（简称“数据安全法”），该法将于2021年9月1日起施行。

　　随着数字经济的发展，数据已成为众多企业的核心资产。中国数字经济总体规模从2005年的2.62万亿元人民币增长到2019年的35.84万亿元人民币，数字经济总体规模占GDP的比重也从2005年的14.2%增长到2019年的36.2%，1因此迫切需要一部全国性的数据保护法律来保障中国数字经济的安全发展。

　　自2017年《网络安全法》（“网安法”）实施以来，数据保护立法的发展就备受关注，数据安全法是这一领域的最新成果。第二章和第三章支持有关部门制定、促进和改进数据安全措施。此外，数据安全法还对企业提出数据治理、数据安全标准和认证方面的规范要求。数据安全法首次规定对在数据和数据开发利用技术等有关投资、贸易方面对中国采取歧视性措施的，中国可以根据实际情况采取对等措施。

　　同时，（《个人信息保护法》（二审稿））向公众征求意见的工作已经结束，因此我们预计《个人信息保护法》也将很快出台。

　　二、亮点

　　我们将数据安全法的相关亮点列示如下，以便读者阅读：

　　适用范围。数据安全法适用于中国大陆的数据处理活动。同时，在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，也可依法追究法律责任。

　　制定数据安全法的目的：

　　（1）规制数据处理活动

　　（2）确保数据安全

　　（3）促进数据开发和利用

　　（4）保护个人和组织的合法权益

　　（5）维护国家主权、安全和发展利益

　　数据的定义。数据，是指任何以电子或者其他方式对信息的记录。这一定义不仅涵盖了网安法下的网络数据和个人信息，而且涵盖了其他所有形式的信息。这一定义具有积极的实践意义，有助于明确数据范围，为企业提供确定性的指引。

　　数据安全系统。在合法使用的基础上，数据安全还意味着确保数据有效和持续安全。因此，企业必须采取相应的技术等措施来保证数据安全。数据安全法规定，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。除此之外，国家数据安全协调机制还协调有关部门制定重要数据目录，加强对重要数据的保护。重要数据的处理者须明确专人负责重要数据安全，这一要求与关键信息基础设施运营商的义务一致。

　　数据风险评估。数据安全风险评估将成为一项持续义务。特别是与重要数据出口评估的监管不同，重要数据风险评估系统是对重要数据的规范化监管机制。重要数据处理者应当定期对其数据处理活动进行风险评估，并向有关主管部门提交风险评估报告。

　　数据交易中介。数据安全法还对数据交易中介服务行业进行了规定。数据市场缺乏相关的法律法规，导致非法的数据交易损害了消费者和企业的利益。市场上现有的数据交易中介服务机构在运作中承担着巨大的法律风险。数据安全法认可数据交易中介服务业务，建议对数据交易进行监管，并建立了问责制。依法需要取得行政许可的，应当依法取得许可。数据安全法首次确立了数据交易中介服务机构在“数据安全保护”中的义务。

　　三、对企业的影响

　　企业在中国大陆处理任何形式的信息（电子形式或其他形式），必须确保以合法方式收集数据；并通过适当的数据安全管理措施，提高所收集数据的安全性。数据安全法并未明确什么是合法的收集方式，企业应参考《中华人民共和国民法典》（民法典）和网安法的有关规定，向数据主体披露处理规则，并明确说明其目的、方法和范围，并以取得数据主体同意为前提。

　　因此，企业首先要进行数据清查。明确企业收集和存储了哪些形式的数据以及何时收集的这些数据，是实现企业合规的第一步。其次，对数据清单进行自我评估可以帮助企业发现其现有安全策略/系统与法律要求之间的差距。尽管数据分级分类规范等技术标准尚未出台，但企业可以利用这一过渡期，对自身的数据结构进行全面研究，更好地为即将出台的法律和国家标准做好准备。

　　由于中国的数据保护法律仍处于发展阶段，因此有些问题有待进一步明确。例如，根据民法典和网安法，在处理数据主体的个人信息之前获得其同意的义务是一项法律要求。然而，数据安全法并没有进一步厘清“同意”的含义。

　　与《一般数据保护条例》（“GDPR”）和《个人资料（隐私）条例》（“PDPO”）一样，数据安全法明确规定了向相关部门投诉的权利，同时还对举报人提供明确的法律保护。

　　主管部门发现数据处理活动存在安全隐患的，有权进行调查，必要时可以要求有关企业改正。对于具体违反数据安全法的行为，主管部门有权责令改正、警告、罚款。

供学习交流，侵删。