2021年6月10日，国家主席习近平签署第八十四号主席令，公布由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过的《中华人民共和国数据安全法》。
 
　　数据安全法共7章55条。笔者对该法的制定背景及条文含义做了初步理解。
 
　　一、数据安全法   
 
　　是对国际国内数据保护趋势的回应
 
　　（一）世界各国加强数据保护立法
 
　　全球近100个国家和地区就数据安全开展了专项立法，数据安全保护成为越来越多国家的关注点。
 
　　欧盟实施了《通用数据保护条例》（GDPR）。该条例规定，无论数据控制者、处理者以及处理行为是否在欧盟境内，只要处理的是欧盟境内居民的数据，均适用该条例。
 
　　美国前总统特朗普于2018年签署了《澄清域外合法使用数据法》。2021年6月，总统拜登签署《加强国家网络安全的行政命令》。命令要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件，无论服务提供者的通信、记录或其他信息是否存储在美国境内，都要求服务商根据该行政命令调取、提供相关证据。
 
　　发达国家正逐渐将数据主权从物理侧转向技术侧，这势必影响其他国家的主权。
 
　　（二）国内数字经济发展亟待规范
 
　　2005年，数字经济占GDP比重为14.2%。2019年，该比重已提升到36.2%。数字经济健康发展需要专项法律来促进。
 
　　数字经济为人民群众带来了便利，但一些市场主体利用数据侵害人民群众合法权益的问题也时常发生。制定专项法律来维护人民群众合法权益、提升国家数据安全保障能力，维护国家数据主权，成为了现实下的必选项。
 
　　二、数据安全法的立法目的  
 
　　1、监管数据处理活动。
 
　　2、促进数据开发利用。
 
　　3、维护国家数据主权。
 
　　三、数据安全法的适用地域  
 
　　在我国境内开展的数据处理活动及其安全监管，适用该法。
 
　　我国境外开展数据处理活动，损害我国国家安全、公共利益或者公民、组织合法权益的，也适用该法。这主要是针对国外的“长臂管辖”。
 
　　四、数据安全法的适用对象
 
　　数据处理，即数据的收集、存储、使用、加工、传输、提供、公开等适用该法。但是三类数据处理不适用该法：
 
　　1、涉及国家秘密的数据处理。此种数据处理适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
 
　　2、涉及个人信息的数据处理。此种数据处理应遵守《个人信息保护法》等有关法律、行政法规的规定。需要注意的是，《个人信息保护法》目前尚未正式出台。
 
　　3、涉及军事数据处理。军事数据安全保护的办法，由中央军事委员会依据数据安全法另行制定。
 
　　五、数据安全的监管机制  
 
　　数据安全法规定了“1+3”的数据安全监管机制。
 
　　“1”即中央国家安全领导机构。中央国家安全委员会负责国家数据安全工作的决策和议事协调。
 
　　“3”即（1）各地区、部门、行业对本地区、本部门、本行业的数据安全负责；（2）公安机关、国家安全在各自职责范围内承担数据安全监管职责；（3）国家网信部门统筹协调网络数据安全和相关监管工作。
 
　　在构建数据安全监管机制的同时，该法第7至第12条也构建了“国家+数据处理主体+行业组织+社会监督”的数据安全与发展的社会共治机制。该机制可概述为国家培育维护数据安全和促进发展的良好环境，数据处理主体遵守法律道德规范，行业组织加强行业自律，社会监督数据安全违法行为。
 
　　六、数据安全与发展的原则和措施
 
　　数据安全法确定了发展和安全的原则：以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。
 
　　在发展和安全原则统领下，该法确定了两大目标：一是发展数字经济，二是公共服务数字智能化。
 
　　为了实现上述两大目标，该法提出了5个方面的举措：
 
　　1、鼓励数据开发利用和数据安全技术研究、鼓励技术推广和商业创新、培育产业体系。
 
　　2、推进数据开发利用技术和数据安全标准体系建设。
 
　　3、促进数据安全检测评估、认证等服务的发展，支持专业机构开展协作。
 
　　4、建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。
 
　　5、支持数据开发利用技术和数据安全相关教育和培训，培养数据开发利用技术和数据安全专业人才。
 
　　七、保障数据安全的具体制度
 
　　数据安全法对数据实行分类分级保护。根据重要程度，将数据分为一般数据、重要数据以及核心数据3类，并制定重要数据目录。
 
　　什么是“重要数据”，如何对数据分类分级？数据安全法尚未作出明确规定，需要后续行政法规、部门规章、司法解释等规范性文件做出解释。但是，可以参考已有的规范性文件。
 
　　（一）《电信行业数据分类分级示例》
 
　　将企业数据分为用户相关数据和企业自身相关数据两大类。
   
　　（二）《个人信息和重要数据出境安全评估办法（征求意见稿）》
 
　　该办法第九条对“重要数据”做了列举：
 
　　出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：
 
　　1、含有或累计含有50万人以上的个人信息；
 
　　2、数据量超过1000GB；
 
　　3、包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；
 
　　4、包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；
 
　　5、关键信息基础设施运营者向境外提供个人信息和重要数据；
 
　　6、其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。
 
　　数据安全法确立了“两个机制、一个制度”来确保数据安全。
 
　　“两个机制”。第一个即数据安全风险评估、报告、信息共享、监测预警机制；第二个即数据安全应急处置机制。
 
　　“一个制度”，即数据安全审查制度。
 
　　八、数据出境与域外数据提供协助  
 
　　数据安全法第四章用10个条文（第27条至第36条）规定数据安全保护义务。需要特别注意的是第31条（数据出境）、36条（域外数据提供协助）。
 
　　（一）数据出境
 
　　数据安全法对重要数据出境规定了不同的适用法律。
 
　　1、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。
 
　　2、其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。
 
　　上述规定对涉及数据出境的企业将会产生重大影响：外国公司在我国的分支机构若想将收集和产生的重要数据向母公司、总公司提供的，必须经过法定程序。数据出境不能再“任性而为”。
 
　　（二）域外数据提供协助
 
　　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
 
　　九、法律责任的“双罚制”
 
　　数据安全法规定，对于不履行数据安全保护义务、向境外违法提供重要数据、从事数据交易中介服务的机构未履行法定义务、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据5类违法行为，都给予“双罚”。
 
　　“双罚”一方面对违法组织处以警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，另一方面对直接负责的主管人员和其他直接责任人员还要处以罚款。
 
　　“双罚制”对遏制数据安全违法行为应能起到积极作用。
 

　　本文系作者个人观点,用于学术交流和探讨，不代表上海日盈律师事务所的观点和立场。
　　非经本所或作者本人书面授权，任何人或单位不得以其他形式擅自转载、摘录或引用本文内容。