《數據安全法》對數據安全風險設置“紅線”

張莉

數據已成為新興的生產要素，是國家基礎性和戰略性資源，數據安全需求也越發凸顯。加強對數據安全的保護不僅關乎每個人、每個組織的利益，而且與經濟社會發展和國家安全密切相關，必須全方位保護其安全。

6月10日，第十三屆全國人民代表大會常務委員會第二十九次會議表決通過《中華人民共和國數據安全法》（以下簡稱《數據安全法》），將于2021年9月1日起施行。該法明確建立數據分類分級保護制度，建立健全數據交易管理制度、安全審查制度，對違法行為的處罰力度加大。最終通過的法案加大了違法行為處罰力度，尤其是對于核心數據，違反國家核心數據管理制度，危害國家主權、安全和發展利益的，最高可罰1000萬元，并可追究刑責。這也意味著對企業的合規監管、數據交易的安全性提出了更高的要求。

填補安全領域的法律空白

《數據安全法》作為我國首部與數據安全相關的法律，自2020年6月28日以來經歷了3次審議與修改，在此期間持續引發了社會各界的廣泛關注。該法的出臺標志著我國在數據安全領域的法律空白得以有效填補，我國各行業的數據安全建設工作及監管工作將進入有法可循、有法可依的新時代。

上海交通大學網絡安全技術研究院院長李建華表示，《數據安全法》不但對數據安全主管機構的監管職責進行了明確，而且對數據安全協同治理體系的建立與健全起到了積極的促進作用。對于數據在開發、利用、出境以及自由流動等環節中的安全性得到明顯加強，從而切實提高數據利用的價值，同時其也必將為數字經濟的發展與創新注入新的源動力。

《數據安全法》將有力推動實現維護國家主權、國家安全、國家利益以及維護全體公民和組織數據合法權益的任務目標，也將成為我國數字化經濟成功轉型與健康、安全發展的強大保障力量。

中國工程院院士沈昌祥認為，《數據安全法》的出臺，將有助于進一步提升國家數據安全保障能力，有助于加強我國應對因數據引發的國家安全風險與挑戰。加強數據安全防護，要堅持積極防范，構建基于等級保護的數據縱深防御防護體系架構，加強可信免疫、主動防護以確保數據可信、可控、可管。

國家工業信息安全發展研究中心副總工程師兼信息政策所所長黃鵬指出，《數據安全法》體現了國家對數據安全領域的高度關注，其主要亮點包括以下幾個方面。

一是追求維護數據安全與引導數字經濟發展之間實現動態化平衡。該法聚焦數據安全領域的突出問題，提出數據安全制度、數據安全保護義務、政務數據安全與開放等，確保數據活動符合安全要求。與此同時，該法納入發展數字經濟理念，推動政務數據開放，利用數據提升公共服務的智能化水平，培育數據交易市場。

二是更加重視數據安全制度的建設。該法將數據安全制度單獨作為一章進行規定，明確提出數據分類分級保護制度，確定重要數據具體目錄，并提出了核心數據的新概念。通過明確數據安全風險評估、報告、信息共享、監測預警機制、應急處置機制、安全審查制度、出口管制制度等，強化內控制度建設，防控數據安全風險。

三是加強對國家數據安全工作的統籌，確定行業安全責任、監管與統籌協調的主體。由網信部門發揮統籌協調職能，工業、電信、交通、金融等主管部門承擔相關行業和領域的監管職責，公安機關和國家安全機關等承擔相關職責范圍的監管職責。通過明確國家層面的統籌協調職能，確保后續國家數據安全戰略和重大方針政策的有效落地和執行。

四是增加對數據泄露活動危及國家安全的處罰力度。該法增加了對違反國家核心數據管理制度的處罰力度，對危害國家主權、安全和發展利益的，非法向境外提供重要數據的，處以最高1000萬元罰款。因此，該法對數據安全風險設置了基本“紅線”，一旦數據泄露事件危及國家安全，將面臨巨額罰款。

強調對數據的出口管制

據不完全統計，全球已有超過135個國家（地區）出臺數據保護的法律法規，其中大多數涉及到數據跨境流動的法律或政策。各國數據跨境流動法律法規的主旨是在本國利益最大化的前提下合法推進數據跨境流動。

數據出境安全一直是我國數據保護領域中立法與執法工作的重點。《網絡安全法》《個人信息保護法》（二審稿）都分別規定了關鍵信息基礎設施運營者、網絡運營者重要數據及個人信息的數據出境安全評估要求，但相關具體細則尚未明確。此次《數據安全法》明確了我國對于促進數據跨境安全、自由流動的態度，同時也給出了關于數據跨境流動的明確規定。從整體上看，我國正在積極開展并促進數據領域的國際交流與合作，且按照數據分類對于不同數據采取相應的出境管理政策。

中國傳媒大學媒體融合與傳媒國家重點實驗室大數據中心首席科學家沈浩表示，《數據安全法》也是應對全球數字化和一體化經濟發展的重要舉措，將明確規范跨境數據流動和流轉的法律要件，明確數據跨境流動的出口管制、報批制度和反制措施，即明晰了國內存儲數據的跨境和境外司法監管的保護機制，有助于開展跨境國際數據交流合作，促進數據跨境安全自由流動，履行數據相關主體的責任義務和報批流程，實施國家利益的數據出口管制，應對境外數據活動的歧視性政策和反制措施，使得我國境內數據安全保護有了國家尚方寶劍。

《數據安全法》中還設置了一項針對數據歧視的比較特別的規定，即“任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。”

北京大成律師事務所高級合伙人蔡開明指出，“對等措施”的設置多存在于貿易法與投資法領域，例如《外商投資法》《出口管制法》等。在作為數據安全領域重要法律基礎的《數據安全法》中加入對等措施，反映出立法機關將數據安全、數據技術認定為中國企業壯大發展的關鍵要素，也反映出中國立法機關在復雜國際背景下未雨綢繆的努力。

企業未來應該加強數據安全的自監管

加強對數據安全的保護已經不僅關乎每個人、每個組織的利益，更與經濟社會發展和國家安全密切相關。未來的數字經濟中，企業應該積極按照《數據安全法》打造合規體系，達成“可信承諾”，來確保數據的全方位安全。

為進一步落實《數據安全法》，中國科學院信息工程研究所二級研究員李鳳華認為，企業未來應該加強數據安全的自監管，國家行政主管部門的執法監管要與企業自監管有機結合，以促進數據有序使用。要強化數據安全標準體系建設，廣泛吸收國家行政主管部門、企業、科研機構、個人的意見，平衡各利益攸關方的關切點，提高執法有效性，促進企業對數據的合法、合規使用，減少企業防護成本，確保個人權益保障有效可查，充分調動全社會各利益攸關方的積極性，真正推動《數據安全法》有效落地。

沈浩表示，《數據安全法》是我國從數據安全立法建立的基本法律制度框架，從事數據活動的相關主體需要結合自身企業、行業和各級政府主管部門需要不斷學習，細化主體責任和落實相關執行細則。加強自身數據安全、數據隱私保護的技術能力和監管實踐，有效評估數據安全風險和處罰力度。數據活動主體需要探索數據要素與其他生產要素融合產生新的數據安全領域的機遇與挑戰，勇于開拓大數據與人工智能在數據要素的隱私保護技術。

蔡開明表示，企業應當開始評估自身業務活動是否收集、處理重要數據與國家核心數據，并特別關注國家有關部門后續將發布的重要數據目錄、非關鍵信息基礎設施的運營者出境重要數據的具體辦法，以及國家核心數據相關規定的內容與要求，以確保在《數據安全法》正式實施之前，建立起較為完善的重要數據與國家核心數據的管理措施。此外，對于業務活動涉及出口管制范圍內數據出口、涉及個人信息收集與處理、涉及統計與檔案工作中的數據處理活動等的企業而言，還應當關注自身操作符合其他相關法律法規的要求。