2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》（以下简称《数据安全法》），该法将于2021年9月1日起正式施行。《数据安全法》全文共分七章，五十五条，全片结构为：总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则。

从总则以及第二章数据安全与发展的内容中可以看到我国对于大数据时代下数字经济发展的高度重视：

总则部分首先改变了之前法律将数据更贴近解释为“电子数据”的立法习惯，将“其他方式对信息的记录”也纳入了数据的内涵中，证明立法者已经注意到了当前大数据时代下数据收集、挖掘等技术的飞速发展，因此将数据的法律定义做出了调整以扩大法律的保护范围，适应当代社会信息安全的要求。其次总则部分对国家机关、行业协会、个人三个层面都分配了任务并赋予了权利，以期从全国自上而下重视数据处理活动，保障数据安全，促进数据开发利用，保护我国的数据利益。

而第二章数据安全与发展从宏观的角度对数据产业开发利用和发展、大数据战略、智能化公共服务、数据安全技术研究、数据安全标准体系建设、数据安全监测评估、认证、数据交易管理、数据技术与安全教育等数字经济发展的具体细节方面做出了规定，虽然本章大部分条款都为原则性规定，但相信日后国家将继续出台配套法规、政策进行更为细化的规定。
 
第三、四、五章内容为数据安全制度、数据安全保护义务、政务数据安全与开放，这三章的规定相较于前面两章对于国家机关的监督监管职责、市场参与者的数据合规义务做出了较为详细的规定，本文将从这三章为企业解读《数据安全法》下的企业合规要点。
 
01 《数据安全法》框架下企业的合规要点
 
（一）数据的分级分类保护、重要数据保护、核心数据保护 
《数据安全法》第二十一条¹规定了数据的分级分类保护、重要数据保护、核心数据保护。
 
实际上对于数据的分级分类保护和重要数据保护，《网络安全法》早已进行了规定，但《网络安全法》分级分类保护的规制对象为网络运营者，《数据安全法》则通过对相关部门的分级分类保护以及重要数据保护职能进行规定与《网络安全法》进行了呼应配合，二者从市场参与者以及监管机构两个层面完善了分级分类保护的规定，使该项制度成为了一个闭环，而闭环中的内容，即具体的分类分级保护指引或规范并未在《数据安全法》中规定，而是授予了各地区、各部门自行制定的权利。不难理解这正是由于不同地区、不同行业的数据分类分级的具体规则和考虑因素差异巨大，《数据安全法》将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关，充分考虑了法律规定与实际情况的相结合。
 
国家核心数据为本次《数据安全法》正式稿中在二审稿的基础上新增制度，从本法特别增加一款进行规定以及条文中“实行更加严格的管理制度”的表述来看，核心数据相较于重要数据将实行更加严格的管理制度。此次对于核心数据的保护虽未具体规定,但将来我国必将针对国家核心数据制定配套的法规，进一步加强管理。
 
（二）数据安全风险评估 
《数据安全法》第二十二条²就国家机关对于数据安全风险评估、报告、信息共享、监测预警机制进行了规定，并在第三十条³对重要数据的处理者的评估报告义务进行了明确规定。
 
从二十二条来看，《数据安全法》虽对数据安全评估制度做出的规定仅是概括性、原则性的规定，但结合本法的第六条、第十八条，第二十一条，实际上数据评估的审查机构已经跃然纸上，应当是各个行业的主管机构或各地区的有关部门，即重要数据目录的制定者。而在审查主体已经确定的情况下，后续国家或接受国家委任的各地区、各部门主管必将逐步推出具体的配套制度。
 
而从三十条来看，我们可以看到，对于重要数据的处理者，条文使用了“应当”一词，结合本法第三条第二款，数据处理包括“数据的收集、存储、使用、加工、传输、提供、公开等。”也即只要是重要数据处理者，在数据处理的全流程都应当进行定期评估，并将向有关主管部门报告，重要数据处理的风险评估后续将成为企业合规经营的一个常态化要求。
 
（三）数据风险处置机制的设立 
《数据安全法》第二十三条⁴、二十九条⁵对于数据活动的数据风险处置机制的设立进行了规定，并确立了数据安全审查制度。
 
将二十三条与二十九条结合起来，我们不难看出，这两条条文从一体两面规定了数据风险处置机制：国家层面将设立应急预案，在发生数据安全事件时采取应急处置措施，防止危害扩大，向社会公布；而企业在数据处理活动中除了审慎义务外，在发生数据安全事件时应当对应地采取处置措施并向社会公布，两款条文都提到了采取处置措施以及向社会公众告知，这不难让我们回想起2020年Instagram、TikTok和Youtube地数据泄露事件⁶。因此，《数据安全法》在已经制定数据活动的事前风险评估制度的基础上，对于数据活动的事中风险处理也一并从国家和企业两个角度做了要求。
 
（四）数据活动的安全审查 
《数据安全法》二十四条⁷规定了数据安全审查制度，国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。
 
结合本法二十一条，可以看出本条指向的是国家核心数据的安全审查制度，并且本条的第二款明确“依法作出的安全审查决定为最终决定。”，也即国家依法作出的数据安全审查决定为最终决定，这意味着将无法通过行政复议、行政诉讼的方式对审查决定提出异议得到救济，因此企业在从事数据活动时，数据的分级保护更加体现出重要性。当然，《数据安全法》对于审查的程序并未做进一步规定，后续应该有相关实施细则出台。
 
（五）数据安全保护义务 
《数据安全法》第二十七条⁸明确了开展数据处理活动的市场参与者应当建立完善的数据安全管理制度、进行安全教育培训、采取相应的技术措施和其他必要措施，保障数据安全，对于重要数据还应当明确数据负责人和管理机构。从第四章整体来看，本条规定的“其他必要措施”还包括上述提到的数据风险评估、监测和报告，应急预案的设立。
 
从本条不难看出，数据安全合规制度的建设已成为企业应当履行的法定义务。并且《数据安全法》本条还规定“开展数据处理活动，应当在网络安全等级保护制度的基础上履行上述数据安全保护义务。”，即《网络安全法》的规定的基础上，对数据安全保护提出了更高的数据保护要求。
 
特别应当注意的是，《数据安全法》也在第六章法律责任的部分明确了不履行第二十七、二十九、三十条规定的数据安全保护义务的，主管部门也可以采取责令改正、警告、罚款等行政处罚措施。拒不改正或造成严重后果的，主管部门则可以责令暂停相关业务、停业整顿、吊销许可证或营业执照和处以更大幅度的罚款。
 
（六）数据跨境流动的合规义务 
《数据安全法》第十一条明确了国家促进数据跨境安全、自由流动的积极态度，第二十五条⁹、二十六条¹⁰、三十一条¹¹、三十六条¹²则对数据跨境流动作出了明确规定。
 
《数据安全法》第二十五条规定了数据出口管制制度。值得注意的是，根据《中华人民共和国出口管制法》第二条，本条的规制对象虽为“对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”，但判断是否属于管制对象的标准并非依据本法的国家核心数据或重要数据的标准，而是只要按照出口管制的规则。
 
《数据安全法》第三十一条规定了关键信息基础设施运营者收集和产生的重要数据出境的管理制度，明确仍适用《网络安全法》的有关规定，同时还增加规定了其他数据处理者对于重要数据出境同样负有安全保护义务，应当遵守国家网信部门会同国务院有关部门制定的安全管理办法。因此，在《数据安全法》生效后，企业即使不是关键信息基础设施运营者，对于重要数据出境的合规处理同样负有义务。
 
《数据安全法》第三十六条则规定了司法及执法数据的处境问题。本法将所有司法及执法数据认定为重要数据级别以上的分类，因此针对向外国司法或者执法机构提供数据的行为，均需要经过主管机关批准。有趣的是这一条规定还添加了“平等互惠原则”，无形中呼应了前面二十六条有关境外对于我国数据跨境流动歧视措施的反制方式。
 
（七）数据中介、数据服务的资质限制及合规经营 
《数据安全法》第三十三条¹³对从事数据交易中介服务的市场参与者提出额外的审慎要求。《数据安全法》要求中介机构审核交易双方的身份，而对于交易的具体内容、审核方式等内容还有待后续立法进一步明确。不过本条规定可以看出我国对于数据交易市场开始逐步重视，已从原来传统的监管交易的买卖双方逐步细化至交易中介人，体现了我国规范数据交易市场发展的决心，相信也将呼应接下来即将出台的《个人信息保护法》。
 
第三十四条¹⁴对于《数据安全法》就数据处理的行政许可做出了规定。现在大部分企业根据《互联网管理办法规定》办理ICP经营许可证即可执行网上数据处理业务，本条在此再次强调笔者判断有两种可能性，一是未来可能会就数据处理设立专门具体的行政许可，二是接下来一阶段的审查重点将会放在目前开展数据处理业务的企业的服务内容及业务模式判断所提供的服务是否落入行政许可审批范围，是否及时办理牌照。
 
（八）为政府提供数据服务者的额外义务 
《数据安全法》第四十条¹⁵对于政府接受数据外包服务的义务以及为政府提供外包数据服务者的义务做了规定。各地政府纷纷推出相关政策以期推动快速发展电子政务，政务数据已成为促进政府科学决策、提高公共管理效能的重要资源，疫情催生的大量公共服务数据采集、分析工具也进一步提升了政务数据的体量和质量，而私企民企往往集中有大量先进技术及开发人才，数据处理的外包工作不可避免。立法者敏锐观察到这一点，从立法上对于政府外包的审慎义务以及服务提供者的数据安全保护义务进行了规定。
 
02 企业合规建议
 
（一）梳理数据合规意识，建立数据合规制度 
《数据安全法》的颁布，标示着我国的数据治理已经迈入了一个新阶段，结合前面已经颁布的《网络安全法》以及后续即将颁布的《个人信息保护法》，中国大数据时代法律规制的基本框架已经形成，原来国内数据行业的野蛮生长态势也将得到到遏制，如何在合法的框架内处理数据，将数据的效益最大化将会是今后企业发展的重要突破口。因此，笔者认为，企业首先应当在企业内部树立数据合规意识，建立数据合规制度，按照《数据安全法》中已经规定的内容开展数据活动，健全全流程数据安全制度，组织开展数据安全教育培训，采取技术措施保障数据安全，建立重要数据的安全负责人和管理机构，涉及数据处理活动风险评估方案以及数据安全问题应急处置方案。
 
（二）建立数据分类分级制度 
注意数据分类保护，笔者建议可以先关注《工业数据分级分类指南（试行）》《证券期货业数据分类分级指引》《基础电信企业数据分类分级方法》（YD/T3813-2020）《个人金融信息保护技术规范》（JR/T0171-2020）等已经制定的分级分类国家标准，先行评估制定自己公司的分级保护方式，另外也需要密切关注地方行业主管部门发布的数据分类分级目录，在后续如果有出台的情况下以目前已有的目录进行对接调整。
 
注释

1.第二十一条 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。
 
2.第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
 
3.第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。
 
4.第二十三条 国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。
 
5.第二十九条 开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。
 
6.2020年8月，Instagram、TikTok和Youtube都同时遭到破坏，当时约2.35亿社交媒体用户的数据被公开在服务器上，暴露的用户信息包括姓名、年龄和其他帐户详细信息。
 
7.第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
 
8.第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。
 
9.第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
 
10.第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
 
11.第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。
 
12.第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
 
13.第三十三条 从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。
 
14.第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。
 
15.第四十条 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。