经过三次审议,2021 年 6 月 10 日,第十三届全国人大常委会第二十九次会议通过了《数据安全法》。该法于 2021 年 9 月 1 日起施行。作为我国第一部数据安全领域的专门法律和我国国家安全领域的重要法律,《数据安全法》为保障国家、企业及个人的数据安全,促进数据的开发利用,维护组织和个人的合法权益提供了坚实可靠的法律依据,有助于推动国家数字经济安全健康发展。

一、《数据安全法》出台的背景

数据安全已成为关乎国家安全与经济社会发展的重大问题。《数据安全法》的出台,既顺应了国际发展趋势,也是保障我国社会经济高质量安全发展的必然要求。

(一)顺应国际发展趋势的需要

各国政府和企业对数据资源的价值与意义已经形成共识,新一轮大国竞争在很大程度上是通过数据增强全球影响力和主导权。各国政府对数据安全的认知,已经从传统的个人隐私保护上升到维护国家安全的高度,而出台数据安全领域的专门立法,则已成为各国各地区保护本国本地区数据的国际惯例。近几年,美国、欧盟、日本、新加坡、新西兰等国家和地区纷纷出台或修订数据保护法,针对数据发展的新形势新问题,从法律层面加强对本国或本地区的数据安全保护。我国出台《数据安全法》,有助于在国际竞争激烈、跨境活动频繁的国际背景下,维护我国政府、企业和公民的数据安全。

(二)符合国家战略的要求

数据泄露、数据贩卖等数据安全事件频发,给我国社会安全、经济安全、政治安全甚至国家安全带来严重隐患。党中央已经就加强数据安全治理做出一系列重要部署。我国在相继发布的《促进大数据发展行动纲要》(2015)、《科学数据管理办法》(2018)、《关于构建更加完善的要素市场化配置体制机制的意见》(2020)等文件中,均提出发展数字经济、加快培育发展数据要素市场,应把保障数据安全放在突出位置的重要思想内涵。《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》提出,要“加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护”。出台《数据安全法》,着力解决数据安全领域的突出问题、提升我国数据安全治理能力,是贯彻落实总体国家安全观、切实保障国家数据安全、促进数字经济发展的必然要求。

二、《数据安全法》的特色

《数据安全法》共七章五十五条,围绕数据安全与发展、数据安全制度、数据安全保护义务等提出系列要求,在进一步完善我国数据安全保护制度的同时,也为企业未来数据合规指明了道路。

(一)坚持安全与发展并重

《数据安全法》最鲜明的特色之一,就是将数据安全与数据开发利用提升至同等重要的高度。该法设立专章,明确提出“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,并从技术研发、标准体系建设、检测评估认证、数据交易管理、教育培训、人才培养等多方面,体现数据开发利用和数据安全治理并行的思想内涵。该法虽名为数据安全法,但却不只局限于安全,而是安全与发展并驾齐驱,通过提升数据安全治理能力和数据开发利用水平,共同促进数字经济安全健康高质量发展。

(二)首次确立“国家核心数据”概念

《数据安全法》自一审稿起,便针对不同类型、不同级别、不同危害程度的数据,确立了数据分类分级保护的重要思想。相较于前两次的审议稿,正式出台的《数据安全法》首次确立了“国家核心数据”这一概念,明确关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,并增加了相应处罚措施,规定违反国家核心数据管理制度,危害国家主权、安全和发展利益的,最高可罚一千万元。

2016 年发布的《网络安全法》,首次提出了重要数据的概念,而《数据安全法》在“重要数据”之外又新增了“国家核心数据”概念,更加彰显了贯彻对数据实行分类分级保护的思想,对未来出台数据分类分级统一标准或细则提供了更加精细化的设计思路。此外,从国家安全的角度明确“国家核心数据”概念,并加大违法行为的惩处力度,也反映出国家对数据安全的高度重视。

(三)首次以法律形式明确保护数据权益

《数据安全法》第七条提出:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。这是首次以法律形式提出对数据权益进行保护,为保障相关主体合法权益、规范数据处理活动、培育完善数据要素市场奠定了法律基础。虽然数据权益并非《数据安全法》的主要关注点,但是,其仍将成为未来数据权益保护的重要法律遵循,亦将为后续各地方开展相关立法、明确数据权益等提供上位法依据。

三、对贯彻落实工作的几点建议

《数据安全法》的出台为我国开展系列数据安全保护工作提供了重要的法律遵循,为进一步推动其落地,有效提升我国数据治理能力,建议做好以下工作。

(一)加快制定数据分类分级原则规范

《数据安全法》提出,要建立数据分类分级保护制度。但是,对于如何分类分级,还没有做出具体的规定。我国目前正在工业互联网、证券期货等领域探索根据数据价值、敏感程度、危害后果等进行数据分类分级。为推动《数据安全法》相关制度落实到位,建议加快制定数据分类分级原则规范,厘清重要数据的概念和范畴,明确其与国家核心数据的关系,为各行业主管部门制定本行业标准细则提供指导,推进各部门各地区重要数据目录、行业数据重点保护目录以及国家数据分类分级保护目录的形成。在网络安全等级保护、关键信息基础设施重点保护等工作基础上,根据数据处理过程中的安全风险,制定数据分级分类保护指南。

(二)加强数据出境安全管理

多国出于掌控数据资源、维护数据主权等目的,对跨境数据流动做出限制。我国《数据安全法》明确要求,加强重要数据出境安全管理,并对向境外提供重要数据的违法行为设置高额罚款,增强威慑力显著提升。为进一步加强重要数据和个人信息出境管理,防止数据流向境外危害国家安全、主权和发展利益,建议加快研究制定数据出境管理办法,对关键信息基础设施运营者处理个人信息达到规定数量的,建立数据出境安全评估机制;对收集掌握重要数据和个人信息的机构,进行数据出境安全审查。开展数据跨境传输安全管理试点,分阶段分步骤有序推进离岸数据中心试点研究。

(三)积极开展数据安全教育培训

数据安全是公众数字素养教育的重要内容,是数字经济时代公民不可或缺的基本技能。《数据安全法》提出,国家支持开展数据安全相关教育和培训,并于第二十七条中将其明确为开展数据处理活动的安全保护义务。建议在以下四个方面加强数据安全教育培训:一是推动将数据安全纳入国民教育体系,加快推进网络安全、数据安全“进校园”,提升中小学生数据安全意识和素养。二是支持高等院校加强数据安全相关学科专业建设,加强课程体系研究、教材编制、教师培训、培养模式创新等工作,支持承担国家重点和专项科研任务。三是支持重点面向关键信息基础设施、掌握大量个人信息和重要数据等单位人员,开展数据安全社会教育和技能培训。四是运用生动案例,网上网下相结合,面向全社会特别是青少年和老年人,加强个人信息保护、数据安全等方面的宣传引导,提升公众数据安全保护意识。