数据安全法

法律条款

https://baike.baidu.com/item/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E6%95%B0%E6%8D%AE%E5%AE%89%E5%85%A8%E6%B3%95/22861124

出台背景

• 实行时间：2021年9月1日起

• 重要意义

  • 是维护国家安全的必然要求。该法贯彻落实总体国家安全观，通过建立健全各项制度措施，提升国家数据安全保障能力，有效应对数据这一非传统领域的国家安全风险与挑战，切实维护国家主权、安全和发展利益。
  • 是维护人民群众合法权益的客观需要。该法明确了相关主题依法依规开展数据活动，建立健全数据安全管理制度等义务和责任，通过严格规范数据处理活动，切实加强数据安全保护，让广大人民群众在数字化发展中获得更多幸福感、安全感。
  • 是促进数字经济健康发展的重要举措。该法坚持安全与发展并重，对支持促进数据安全与发展的措施作出规定，通过促进数据依法合理有效利用，充分发挥数据的基础资源作用和创新引擎作用，加快形成以创新为主要引领和支撑的数字经济，更好服务我国经济社会发展。

重点内容解析

明确法律适用范围边界

• 在适用对象上，《数据安全法》主要规范两类行为。《数据安全法》第二条规范对象为“数据处理活动及其安全监管”。同时，将数据定义为“任何以电子或者其他方式对信息的记录”，其范围包含多种数据形式，内容更具全局性。
• 在管辖方式上，采用境内加域外相结合的管辖原则。《数据安全法》适用于在中国境内开展的数据处理活动，同时也赋予了必要的域外适用效力，即对在中华人民共和国境外开展的、损害中华人民共和国画家安全、公共利益或者人民、组织合法权益的数据处理活动，我国也会依法追究其法律责任。
• 在法律内容上，实现了与其他法律的衔接和统一。《数据安全法》强调以数据为生产要素和基础性支持作用，对国家利益、公共利益和个人、组织合法权益给予全面保护。与侧重于网络空间安全体系和关键基础设施安全的《网络安全法》，以及对个人信息、隐私等进行保护的《个人信息保护法》等相关法律相互补充，进一步完善了我国社会主义法律体系。

构建数据安全治理体系

在数据安全治理体系方面，《数据安全法》构建了“四位一体”的矩阵式监管格局

• 中央国家安全领导机构统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。
• 公安机关、国家安全机关和网信部门在各自职责范围内承担数据安全监管职责。
• 工业、电信、交通、金融等行业主管部门承担本行业、本领域的数据安全监管职责。
• 各地区、各部门对工作中收集和产生的数据及安全负责。

在监管举措上，法律责任主体规定了三种类型

• 加强事前风险防控。在数据处理活动存在较大安全风险的，有关部门可以采用约谈的方式，督促整改。
• 严格事中事后监管。如不履行相关数安全保护规定，对有关组织和个人，一般情形下采用责令改正和警告，并可以罚款；有家中情节的，加重罚款金额，并可以责令暂停相关业务，停业整顿、吊销许可证或者营业执照；对直接责任人采用罚款和处分相结合的方式。
• 加重特殊情形责任。明确对违反国家核心数据管理制度，危害国家主权、安全和发展利益的严厉处罚，构成犯罪的，还要追究刑事责任；对违法相关规定，向境外提供重要数据行为的加重处罚，最高罚款金额高达一千万人民币。

此外，《数据安全法》通过加强行业自律，设立投诉、举报处理机制，建立了广泛多元的社会监督模式。

确定分类分级保护制度

《数据安全法》第二十一条明确国家建立数据分类分级保护制度，并依据在经济社会发展中的重要程度和遭到篡改、泄漏等情形时的危害程度 ，制定了重要数据、核心数据、政务数据以及军事数据的分类类型。

• 制定重要数据目录。在国家数据安全工作协调机制统筹协调各部门制定重要数据目录的基础上，《数据安全法》将重要数据具体目录和具体分类分级保护制定的制定权限下放到各地区、各部门。
• 明确核心数据定义。明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。
• 专章规定政务数据。首次对政务数据安全监管思路做出总体决定，对推进电子政务建设，国家机关采集和使用政务数据的义务、建立政务数据安全管理制度、严格政务数据受托方义务、规范政务数据开放要求等作出规定。
• 军事数据另行规定。第五十四条规定，对于军事数据的安全保护，将由中央军事委员会依据本法另行制定。

确定数据安全保护制度

• 从国家监管机构层面看：《数据安全法》明确了国家建立集中统一数据安全风险评估、安全事件报告、信息共享、监测预警机制、应急处置机制以及安全审查制度，并要求数据安全保护与等级保护制度相结合。
• 从市场参与主体层面看：《数据安全法》明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、加强风险监测和报告，采用技术手段落实内部制度的规定。而且对重要数据处理者提出更高的数据保护要求，在组织架构上，明确数据安全负责人和管理机构；在风险管理上，要求定期开展风险评估并报送报告；在数据出境上，要求关键信息基础设施运营者在境内运营的重要数据出境，应当按照《网络安全法》的有关规定进行安全评估。

确定数据交易管理制度

• 明确数据交易制度规定：《数据安全法》第十九条明确了建立健全数据交易管理制度的要求，体现了国家对合法数据交易的支持，有利于推动数据的挖掘和利用，加快数据商业价值的实现。
• 加强数据交易中介机构管理：《数据安全法》第三十三条对从事数据交易中介服务的机构提出了具体的管理要求，明确其应要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。同时，在法律责任部分加强处罚力度。
• 规定相关数据处理服务准入资格：《数据安全法》第三十四条规定，法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。这位数据收集、存储、使用、加工、传输、提供、公开等数据处理活动提供了准入资格的法律依据。
• 与数据市场竞争制度相衔接：《数据安全法》第五一条规定“窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚”。这一规定将数据处理活动与《反垄断法》《反不正当竞争法》等法律法规的规定相结合，体现了我国对数据安全的综合监管思路。

确定数据跨境流动指定

为与当前国际对数据管理的立法思路和执法态度相适应，《数据安全法》在数据跨境流动和执法协助上进行规定。

• 促进数据跨境流动。《数据安全法》第十一条规定国家积极开展数据安全治理、数据开发利用等国际交流合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。确定了数据跨境流动的基本原则，为鼓励数字经济国际化运营奠定了法律基础。
• 实施数据出口管制。《数据安全法》第二十五条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据已发实施出口管制，完善了我国对数据出境的管理制度。此外，数据出口还要求与《出口管制法》规定的相关许可制度和管制清单相结合，共同维护国家安全和发展利益。
• 采取对等反制措施。《数据安全法》第二十六条规定了数据领域的反制裁措施，为我国依法反制外国歧视性限制措施提供了有力支撑，这也与刚出台的《反外国制裁法》进行呼应，充实我国反制措施的内容。
• 严格数据出境审批。《数据安全法》第三十六条规定，未经批准，不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。明确我国对境内数据的管辖权，充分体现了我国维护数据主权和国家安全的决心。此外，还特别规定了相应的法律责任，不仅意味着企业应严格履行数据出境审批的义务，也为企业在对抗境外执法或者司法机构调取数据要求时提供了法律依据。

促进数字经济产业发展

《数据安全法》设专章对支持促进数据安全与发展的措施做了规定，保护个人、组织与数据有关的权益，提升数据安全治理和数据开发利用水平，促进以数据为生产要素的数字经济发展。

• 明确数据要素生产作用。《数据安全法》第十四条提出了实施大数据战略，推进数据基础设施建设，将数字经济发展纳入省级以上国民经济和社会发展规划。从立法层面对国家“十四五”规划纲要相关内容进行了呼应，为数字经济的发展提供了法制保障。
• 鼓励数据安全技术创新。《数据安全法》第十五条、十六条、十八条、二十条规定了鼓励和支持数据相关技术研发推广和商业创新等相关举措，进一步推动数字化产业转型，激发企业、科研机构等创新活力，促进关键核心技术应用成果的转化。同时，结合疫情期间基于大数据的公共服务应用情况，提出智能化公共服务应满足老年人、残疾人的需求，充分体现了国家对各类群体的关注。
• 推进数据安全标准共建。《数据安全法》第十七条提出要推进数据相关标准体系建设。可见，行业协会、评估认证专业机构和标准化机构等组织在推动技术发展、完善标准制定和实现行业自律方面的作用得到了法律的充分认可。《数据安全法》旨在加强市场参与者踊跃参与行业标准的制定，积极分享在数据安全管理建设中探索出的实践经验，并共同推动完善技术发展和数据领域的安全建设。