《数据安全法》专家解读之二

2021年6月10日，十三届全国人大常委会第二十九次会议通过了数据安全法，该法于今年9月1日起施行。制定数据安全法，既是维护国家安全的必然要求，也是维护人民群众合法权益的客观需要，又是促进数字经济健康发展的重要举措。

数据安全法是数据安全领域的基础性法律，也是国家安全法律体系的重要组成部分。贯彻实施数据安全法，切实维护国家数据安全，就要将该法确立的数据安全保护管理制度落到实处。总体来看，数据安全法主要制度设计包括以下几个方面。

明确数据安全监管体制，统筹协调国家数据安全工作

数据安全涉及各行业各领域，涉及多个部门的职责，数据安全法确立了我国数据安全监管体制，加强了对数据安全工作的组织领导。明确中央国家安全领导机构负责国家数据安全工作的决策和议事协调，统筹协调国家数据安全的重大事项重要工作，建立国家数据安全工作协调机制。

同时数据安全法对有关行业部门和有关主管部门的数据安全监管职责作了规定。明确各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。公安机关依照本法和有关法律、行政法规的规定，在职责范围内承担数据安全监管职责。

数据安全法还规定，“利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务”。当前，许多数据处理活动都利用信息网络开展，网络安全等级保护制度是数据安全制度的基础性制度，数据处理者应严格履行网络安全等级保护制度，确保数据处理活动合法合规。

健全数据安全管理制度，完善国家数据安全治理体系

为有效应对境内外数据安全风险，数据安全法建立健全了国家数据安全管理制度，完善了国家数据安全治理体系。主要包括以下方面：

一是建立数据分级分类管理制度。根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，由国家层面制定重要数据目录，再由各地区、各部门据此确定重要数据具体目录，对列入目录的数据进行重点保护。此外，规定关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

二是建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

三是建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施。

四是与相关法律相衔接，确立数据安全审查制度和出口管制制度。

五是针对一些国家对我国的相关投资和贸易采取歧视性等不合理措施的做法，明确我国可以根据实际情况对等采取措施。

规定数据安全保护义务，落实数据处理者的主体责任

保障数据安全，关键是要落实开展数据处理活动的组织、个人的主体责任。对此，数据安全法主要作了以下规定：

一是数据处理者应当遵守法律法规，尊重社会公德和伦理，不得违法收集、使用数据，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

二是数据处理者应当按照规定建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上履行数据安全保护义务。

三是数据处理者应当加强数据安全风险监测，及时对安全缺陷、漏洞等采取补救措施；及时处置数据安全事件，并履行相应的报告义务。重要数据的处理者还应当按照规定定期开展风险评估，并向有关主管部门报送风险评估报告。

四是关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理，适用网络安全法的规定；其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

五是从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

六是公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据时，有关组织、个人应当予以配合。

七是外国司法或者执法机构要求提供存储于我国境内的数据的，非经我国主管机关批准，境内的组织、个人不得提供。

制定支持和促进措施，推动数据开发利用和产业发展

数据安全法坚持安全与发展并重，设专章对支持促进数据安全与发展的措施作了规定，保护个人、组织与数据有关的权益，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

包括：实施大数据战略，制定数字经济发展规划；支持开发利用数据提供智能化公共服务；支持数据相关技术研发和商业创新；推进数据相关标准体系建设，促进数据安全检测评估、认证等服务的发展；培育数据交易市场；支持采取多种方式培养专业人才等。

为保障政务数据安全，并推动政务数据开放利用，数据安全法作出针对性规定：

一是对推进电子政务建设，提升运用数据服务经济社会发展的能力提出要求。

二是规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行，并落实数据安全保护责任，保障政务数据安全。

三是国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。

四是要求国家机关按照规定及时准确公开政务数据，制定政务数据开放目录，构建政务数据开放平台，推动政务数据开放利用。

作者 | 中国法学会法治研究所研究员 刘金瑞