解读丨《中华人民共和国数据安全法》

在《中华人民共和国网络安全法》（以下简称《网络安全法》）中，虽然已经明确了要求保障网络数据的完整性、保密性、可用性的能力，但随着近些年数据安全热点事件的出现，如数据泄露、勒索病毒、个人信息滥用等，都表明对数据保护的需求越发迫切，因此有必要单独出台一部针对数据安全保障领域的法律来加强对数据的监管。

数据安全是国家安全的重要组成部分，目前随着“大物云智移”等新技术的使用、全场景、大规模的数据应用对国家安全造成严重的威胁，因此，为有效提升数据安全的保障能力，需要一部法律来有效维护数据安全。

数据作为在数字经济时代的关键生产要素，其自身具有很大的经济价值，该法律的发布，标志着国家鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

《数据安全法》所称数据，是指任何以电子或者非电子形式对信息的记录，包括电子数据和非电子形式的数据。《网络安全法》中的数据，指的是网络数据，并不包括非电子形式。这就对数据安全保障的范围提出了更广泛的要求，同时对数据的保护也更加完善。

当前数字经济的蓬勃发展正成为我国在国家环境中的核心竞争力。《数据安全法》鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展，增进人民福祉。我国坚持维护数据安全与促进数据开发利用并重，二者互相促进。《数据安全法》的正式实施将为我国在国际数据经济市场中提供坚实有力的保障。

在大数据时代背景下，政务、社会、城市数字化转型快速发展。依据本法建立数据安全管理制度，能够明确数据责任主体，从统一化及可落地性出发，结合现有数据业务建设需求和建设情况全面优化管理体制，从而为我国数字化转型的健康发展提供法治保障，为构建智慧城市、数字政务、数字社会提供法律依据。

在《数据安全法》出台之前，有关“数据”“数据库”以及“数据安全”等提法，已经在一些法律、法规及规章中有所体现。比如，《网络安全法》第十八条规定：“国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。”但是，法律意义上的数据到底是什么？有人认为，数据就是数值，也有人认为，数据就是信息，还有人认为，数据就是资料，可谓众说纷纭。

如今，按照《数据安全法》第三条的规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”按照这个定义，我们使用各类互联网应用，所形成的类似聊天记录、通话记录、邮件记录以及发言记录等等，都属于个人数据范畴。

《数据安全法》除去对静态的数据安全提出了管理要求，同时也对动态的数据安全划出了界限。《数据安全法》第三条规定：“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。”而对于数据处理行为，《数据安全法》第八条规定：“应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。”其中，诚实信用原则的引入以及不得危害“公共利益”的提法，对类似企查查、天眼查等平台，通过爬虫程序大量抓取各类信息或数据的行为，预计将会起到规范和引导作用。

《数据安全法》要求建立数据分级分类管理制度，确定重要数据保护目录。做好数据安全需要做很多事情，需要针对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护等，也需要用到权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。只有做好了数据分类分级工作，才能做好后续的数据安全建设。从2020年开始，海关总署先后出台了与国家安全和经济社会发展相适应的海关业务数据安全分类分级标准以及数据安全规范指引，将业务数据按规范指引科学分类、分级，以达到安全管控、高效管理的目的。

《数据安全法》加强对向境外司法或执法机构提供存储于中国境内的数据的监管。这一点对于企业来说，尤为重要。

例如，第三十六条规定：“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

新法案扩大了向境外提供数据的监管适用情形。即只要中国境外的司法或者执法机构要求提供存储于中国境内的数据，均适用本条的规定，有助于更好地封堵境外机构的“长臂管辖”。

《数据安全法》第三十八条规定：“国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。”第四十一条规定：“国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。”第四十二条规定：“国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。”近年来，海关总署先后出台了《海关总署关于向社会公众提供统计服务的通知》《对外提供海关统计服务管理办法》等文件，明确了海关对外提供数据服务相关标准。

《数据安全法》对数据安全违法行为规定了多种处罚形式，既有对开展数据处理的组织、个人的处罚，也有对国家机关及其工作人员的处罚。对个人的处罚措施主要依据法律的第四十四条、四十五条、四十六条、四十七条等条款，例如，第四十六条规定：“违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款等处罚措施。”对国家机关的工作人员的处罚主要依据法律的第四十八条、四十九条、五十条、五十一条、五十二条等条款，其中第五十条规定：“履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的，依法给予处分。”上述担责条款为相关组织和个人的数据安全管理行为划定了红线，起到了有效的警示震慑作用。