数据安全法简评

导言：

2021年6月10日，中国人大常委会机构通过了《中华人民共和国数据安全法》（简称“《数据安全法》“），该法将于2021年9月1日起施行。该法对于在中国从事数据处理业务的企业，尤其是跨国企业影响重大。

一、保护与发展并重

第七条：国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

沿续了《民法典》《网络安全法》安全与发展并重的原则，数据安全法同时强调了鼓励利用、有序流动、发展数字经济的原则。

二、定义“数据”及“数据处理”

数据指任何以电子或者非电子形式对信息的记录。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

包括网络数据在内的全部信息的记录均属数据，对于数据的任何处理均要服从该法规定。

三、数据分级分类与重要数据保护制度

国家建立数据分类分级保护制度。数据分为国家核心数据、重要数据、其他数据。

重要数据在《网络安全法》中首次提出，但一直相关的划分指引一直未正式颁布。该法规定将由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。而各地区、各部门将确定各自领域的重要数据具体目录。

四、重要数据风险评估及报告制度

第三十条：重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

从事数据处理业务企业所掌握的数据可能构成重要数据，需要按该法的要求定理开展风险评估，并向主管部门报送风险评估报告。这种风险评估将成为数据处理主体常态化的合规要求。

五、数据出境管理制度

（1）重要数据出境评估制度

第三十一条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

（2）数据出口管制措施

第二十五条：国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

（3）司法执法活动涉及的数据出境管理制度

第三十六条: 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

我国总体上对于数据出境较以往采取了更为严格的管制。尤其是向境外执法机构提供数据的限制，可能使跨国企业在不同法域的合规工作面临更大挑战。

六、数据歧视的对等措施

第二十六条：任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

七、数据产业发展

第十八条：国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

第十九条：国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

第二十条：国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

在加强监管的同时，中国也鼓励数据产业的发展，企业可以在上述数据安全、数据交易、产业教育等领域寻找自身的商业机会。

总结及建议

当前，《民法典》《网络安全法》《数据安全法》《个人信息保护法》（尚未颁布）五部基础性法律，构成了中国较为完整的数据治理的顶层规则，给企业提出更高的数据合规治理要求。但具体的实施细则还未出台，尤其是针对重要数据的划分、数据出境、数据安全评估三方面缺失具体的规定。

基于上述情况，中咨建议：

1. 针对已颁布及即将颁布的数据法规，对公司潜在的数据合规风险进行全面及时审核，并根据不同情况进行处理。

2. 针对数据产业发展的趋势，利用公司自身优势，扩展商业机会。