《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)安法》）于2021年6月10日經(jīng)全國人大常委會第二十九次會議通過，定于2021年9月1日起施行?！稊?shù)安法》是我國數(shù)據(jù)安全領域的首部、也是基礎性法律。全文七章共55條，包括：總則、數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放、法律責任和附則。本文從《數(shù)安法》的立法背景、治理體系、數(shù)據(jù)跨境、分類分級、法律責任等幾個主要方面進行解讀。

一、立法背景

平衡數(shù)據(jù)“發(fā)展”與“安全”之間的關系是貫徹《數(shù)安法》全文的主要基調。數(shù)據(jù)的開發(fā)利用是數(shù)字經(jīng)濟發(fā)展的引擎，而數(shù)據(jù)安全事件又會給個人、社會、乃至國家安全帶來威脅和挑戰(zhàn)。

1.數(shù)據(jù)是數(shù)字時代的“石油”

根據(jù)中國信通院發(fā)布的《全球數(shù)字經(jīng)濟新圖景（2020年）》，全球數(shù)字經(jīng)濟體量連年增長，在國民經(jīng)濟中占據(jù)核心地位，47個國家數(shù)字經(jīng)濟總規(guī)模超過31.8萬億美元，占GDP比重高達41.5%。

數(shù)字經(jīng)濟發(fā)展的關鍵要素是數(shù)據(jù)，2020年3月30日《中共中央、國務院關于構建更加完善的要素市場優(yōu)化配置體制機制的意見》明確提出了數(shù)據(jù)成為土地、資本、勞動力及技術之外的第五大基本市場要素?！睹穹ǖ洹肥状螌?shù)據(jù)和網(wǎng)絡虛擬財產(chǎn)納入保護范圍，賦予數(shù)據(jù)一定的財產(chǎn)屬性。

2.數(shù)據(jù)安全問題帶來新挑戰(zhàn)

大數(shù)據(jù)帶來了萬物互聯(lián)，而頻頻引發(fā)的各類數(shù)據(jù)安全事件也接踵而至。其所侵害的對象已經(jīng)從傳統(tǒng)的個人隱私、企業(yè)權益擴展至政治安全、軍事安全等國家安全領域。例如，2018年臉書公司（Facebook）5000萬用戶信息被泄露，被“劍橋分析”盜取用于大數(shù)據(jù)分析，在某種程度上影響了美國總統(tǒng)大選。

2014年2月27日，習近平在中央網(wǎng)絡安全和信息化領導小組第一次會議上的講話中指出，“沒有網(wǎng)絡安全就沒有國家安全”。2016年出臺的《網(wǎng)絡安全法》作為《國家安全法》的下位法，其更側重于保護計算機信息系統(tǒng)安全，對于數(shù)據(jù)安全這一新型的、獨立的保護客體著墨不多。另一方面，近年來行業(yè)數(shù)據(jù)安全問題日益顯現(xiàn)，引起廣泛社會關注。隨著相關行業(yè)標準、規(guī)章相繼完備，呼吁著數(shù)據(jù)安全領域的上位法的出臺。從2019年的《數(shù)據(jù)安全管理辦法（征求意見稿）》，到2020年和2021年的《金融數(shù)據(jù)安全分級指南》、《健康醫(yī)療數(shù)據(jù)安全指南》、《快遞物流服務數(shù)據(jù)安全指南（征求意見稿）》、《網(wǎng)絡預約汽車服務數(shù)據(jù)安全指南（征求意見稿）》等，直至2021年5月的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》都是例證。

二、治理體系

在數(shù)據(jù)安全治理方面，《數(shù)安法》構建了“一個頂點、多維度配合、全社會參與”的協(xié)同體系。

“一個頂點”即中央國家安全領導機構，負責全國的數(shù)據(jù)安全工作決策和議事協(xié)調，研究制定、指導實施國家數(shù)據(jù)安全戰(zhàn)略和重大方針政策，統(tǒng)籌協(xié)調國家數(shù)據(jù)安全的重大事項和重要工作。

“多維度配合”指在中央國家安全領導機構的領導或指導下，各地區(qū)、各行業(yè)主管部門，線上與線下的全方位、交叉配合進行監(jiān)管，具體包括：工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門負責本行業(yè)、本領域內監(jiān)管；公安機關、國家安全機關負責在職責范圍內進行監(jiān)管；國家網(wǎng)信部門負責網(wǎng)絡數(shù)據(jù)安全方面的監(jiān)管；各地區(qū)、各部門負責各自工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全。

“全社會參與”指以上監(jiān)管機構之外，《數(shù)安法》還賦予多個主體相應職責，鼓勵全社會從不同維度參與數(shù)據(jù)安全工作，包括制定數(shù)字經(jīng)濟發(fā)展規(guī)劃、制定相關標準、開展風險評估、制定數(shù)據(jù)安全行為規(guī)范和團體標準等。涉及十余個主體，主要包括：省級以上人民政府、國務院標準化行政主管部門、重要數(shù)據(jù)處理者、行業(yè)組織、科研機構、企業(yè)、個人、數(shù)據(jù)交易中介機構、在線數(shù)據(jù)處理機構、公共事務管理機構等。

數(shù)據(jù)安全治理體系結構圖如下：

三、數(shù)據(jù)的分類分級保護

眾所周知，個人信息和重要數(shù)據(jù)是我國現(xiàn)階段數(shù)據(jù)保護的重點。而重要數(shù)據(jù)的概念界定和認定機制一直以來是立法工作的難點，雖然《網(wǎng)絡安全法》擬通過關鍵信息基礎設施保護重要數(shù)據(jù)，但相關配套制度仍未出臺。

《數(shù)安法》第21條規(guī)定國家建立數(shù)據(jù)分類分級保護制度，并提出了分類分級的概括性標準。與之前草案相比，本條不僅明確了重要數(shù)據(jù)目錄的制定主體，即國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門，還在重要數(shù)據(jù)概念基礎上首次提出一個數(shù)據(jù)類別，即國家核心數(shù)據(jù)。至于重要數(shù)據(jù)更細顆粒度的具體目錄則留給各地區(qū)、各部門根據(jù)數(shù)據(jù)分類分級保護制度自行確定。

國家數(shù)據(jù)安全工作協(xié)調機制作為《數(shù)安法》的一項重要制度創(chuàng)新，旨在針對一方面數(shù)據(jù)場景極具多樣性和專業(yè)性，而另一方面數(shù)據(jù)監(jiān)管需要大量跨部門協(xié)調這一特點，完善了數(shù)據(jù)安全監(jiān)管框架設計。重要數(shù)據(jù)保護制度的建立和不斷完善，在國家數(shù)據(jù)安全工作協(xié)調機制的推動下值得期待。

四、數(shù)據(jù)跨境的“矛”與“盾”

由于經(jīng)濟全球化和互聯(lián)網(wǎng)的天然屬性，數(shù)據(jù)在不同國家和地區(qū)之間大規(guī)模、高頻率的流動，數(shù)據(jù)全球化成為推動全球經(jīng)濟發(fā)展的重要力量。在地緣政治方面，美國“棱鏡門”事件推動了各國政府將數(shù)據(jù)跨境流動與國家安全、國家主權等政策逐漸掛鉤，加劇了世界各國在網(wǎng)絡空間的戰(zhàn)略博弈和數(shù)據(jù)資源爭奪。在這方面，《數(shù)安法》構建了我國數(shù)據(jù)跨境流動的“矛”與“盾”。

1.域外追責及反制威懾 -- 跨境數(shù)據(jù)安全之“矛”

《數(shù)安法》在總則第2條中依據(jù)保護管轄原則，規(guī)定數(shù)據(jù)活動無論在境內還是境外，只要損害我國國家安全、他人合法權益的，就要依法追究法律責任。該規(guī)定賦予了《數(shù)安法》域外適用效力。

依據(jù)國際法的對等原則，《數(shù)安法》第26條就國外采取與數(shù)據(jù)投資、貿易相關的歧視性措施時，賦予我國采取反制措施的權利?？梢哉f是在數(shù)據(jù)安全“守”勢的基礎上保留了反擊的主動權。

2.規(guī)范數(shù)據(jù)跨境流動 -- 跨境數(shù)據(jù)安全之“盾”

《數(shù)安法》第11條表明我國對數(shù)據(jù)跨境流動的基本態(tài)度，即在確保數(shù)據(jù)安全的前提下，促進跨境自由流動，積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領域的國際交流與合作、參與國際規(guī)則和標準的制定。在數(shù)據(jù)出境方面，《數(shù)安法》第31條雖僅簡單指向《網(wǎng)絡安全法》和待制定的出境安全管理辦法，但可以推斷安全評估制度將在數(shù)據(jù)出境管理方面擔任起“安全閥”的重要作用。在數(shù)據(jù)入境方面，很多國家為了爭奪數(shù)據(jù)資源也已經(jīng)開展了積極的多邊或雙邊談判，謀求建立符合其利益的全球數(shù)據(jù)流動圈，例如歐盟GDPR項下的“充分性”認定名單、美國推動的《美墨加貿易協(xié)議》(USMCA)、亞太經(jīng)合作組織(APEC)的“跨境隱私規(guī)則”(CBPR)等。而2020年簽署的《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RCEP）則是我國打造自己的數(shù)據(jù)跨境流動“朋友圈”的一個良好開端。

《數(shù)安法》第25條提出數(shù)據(jù)出口管制概念，即國家對與履行國際義務和維護國家安全相關的屬于管制物項的數(shù)據(jù)依法實施出口管制。這與《出口管制法》物項定義中包括“相關的技術資料等數(shù)據(jù)”遙相呼應，其目的類似美國的《2018年出口管制法》和《出口管制條例》（EAR）項下對科技數(shù)據(jù)的出境限制。

《數(shù)安法》第36條提出了境外司法或執(zhí)法機構調取數(shù)據(jù)的報告批準制度。該制度實際上是回應了近年來很多國家，包括美國《澄清境外數(shù)據(jù)合法使用法案》（Cloud Act）在內，不斷擴大跨境數(shù)據(jù)調取權利的立法趨勢，為我國數(shù)據(jù)安全提供了一定保障。需要注意本條款雖然在字面上均可歸入數(shù)據(jù)出境范圍，但是與上文第31條中規(guī)范的數(shù)據(jù)出境活動不同。本法第36條涉及的境外數(shù)據(jù)接收者是境外司法或執(zhí)法機構，其活動涉及中國國家主權。事實上，本條款較之前草案增加的表述與《民事訴訟法》第276條“司法協(xié)助”條款相互銜接呼應，印證了其應當適用更嚴格出境限制的必要性。

五、責與罰相適應的法律責任

《數(shù)安法》第六章法律責任與之前草案相比，整體上并非簡單的加重處罰，而是對處罰幅度進行了調度，注重責與罰相適應，具體體現(xiàn)在：（1）降低違反相關數(shù)據(jù)安全保護義務的處罰上限；（2）明確對違反國家核心數(shù)據(jù)管理制度，危害國家主權、安全和發(fā)展利益的嚴厲處罰；（3）增加對違反相關規(guī)定，向境外提供重要數(shù)據(jù)行為的相關處罰；（4）對違反相關規(guī)定，拒不配合數(shù)據(jù)調取的行為，降低對直接負責的主管人員和其他直接責任人員的處罰力度，但增加了造成嚴重后果的處罰的相關規(guī)定。

《數(shù)安法》規(guī)定的合規(guī)義務及其對應的罰則如下表：

六、結語

當前國際形勢復雜多變，特別是新冠疫情給世界主要經(jīng)濟體造成巨大沖擊，全球面臨經(jīng)濟大衰退。然而，數(shù)字經(jīng)濟以其高融合、高技術、高增長等特性，將成為我國經(jīng)濟發(fā)展的新引擎。數(shù)字經(jīng)濟的要素是數(shù)據(jù)，數(shù)據(jù)也是國家基礎性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國家安全。為了應對數(shù)據(jù)這一非傳統(tǒng)領域的國家安全風險與挑戰(zhàn)，《數(shù)安法》應運而生，旨在通過立法提升國家數(shù)據(jù)安全保障能力，維護國家主權、安全和發(fā)展利益。綜上，《數(shù)安法》不僅擔當了國家數(shù)字經(jīng)濟壓艙石這一重任，還賦予了國家安全一個全新的監(jiān)管維度。

本文由北京德恒律師事務所合伙人王一楠律師提供，如轉發(fā)請注明。