《數據安全法》專家解讀之二

2021年6月10日，十三屆全國人大常委會第二十九次會議通過了數據安全法，該法于今年9月1日起施行。制定數據安全法，既是維護國家安全的必然要求，也是維護人民群眾合法權益的客觀需要，又是促進數字經濟健康發展的重要舉措。

數據安全法是數據安全領域的基礎性法律，也是國家安全法律體系的重要組成部分。貫徹實施數據安全法，切實維護國家數據安全，就要將該法確立的數據安全保護管理制度落到實處。總體來看，數據安全法主要制度設計包括以下幾個方面。

明確數據安全監管體制，統籌協調國家數據安全工作

數據安全涉及各行業各領域，涉及多個部門的職責，數據安全法確立了我國數據安全監管體制，加強了對數據安全工作的組織領導。明確中央國家安全領導機構負責國家數據安全工作的決策和議事協調，統籌協調國家數據安全的重大事項重要工作，建立國家數據安全工作協調機制。

同時數據安全法對有關行業部門和有關主管部門的數據安全監管職責作了規定。明確各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。公安機關依照本法和有關法律、行政法規的規定，在職責范圍內承擔數據安全監管職責。

數據安全法還規定，“利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務”。當前，許多數據處理活動都利用信息網絡開展，網絡安全等級保護制度是數據安全制度的基礎性制度，數據處理者應嚴格履行網絡安全等級保護制度，確保數據處理活動合法合規。

健全數據安全管理制度，完善國家數據安全治理體系

為有效應對境內外數據安全風險，數據安全法建立健全了國家數據安全管理制度，完善了國家數據安全治理體系。主要包括以下方面：

一是建立數據分級分類管理制度。根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，由國家層面制定重要數據目錄，再由各地區、各部門據此確定重要數據具體目錄，對列入目錄的數據進行重點保護。此外，規定關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。

二是建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。

三是建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施。

四是與相關法律相銜接，確立數據安全審查制度和出口管制制度。

五是針對一些國家對我國的相關投資和貿易采取歧視性等不合理措施的做法，明確我國可以根據實際情況對等采取措施。

規定數據安全保護義務，落實數據處理者的主體責任

保障數據安全，關鍵是要落實開展數據處理活動的組織、個人的主體責任。對此，數據安全法主要作了以下規定：

一是數據處理者應當遵守法律法規，尊重社會公德和倫理，不得違法收集、使用數據，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

二是數據處理者應當按照規定建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上履行數據安全保護義務。

三是數據處理者應當加強數據安全風險監測，及時對安全缺陷、漏洞等采取補救措施；及時處置數據安全事件，并履行相應的報告義務。重要數據的處理者還應當按照規定定期開展風險評估，并向有關主管部門報送風險評估報告。

四是關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理，適用網絡安全法的規定；其他數據處理者在我國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。

五是從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。

六是公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據時，有關組織、個人應當予以配合。

七是外國司法或者執法機構要求提供存儲于我國境內的數據的，非經我國主管機關批準，境內的組織、個人不得提供。

制定支持和促進措施，推動數據開發利用和產業發展

數據安全法堅持安全與發展并重，設專章對支持促進數據安全與發展的措施作了規定，保護個人、組織與數據有關的權益，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展。

包括：實施大數據戰略，制定數字經濟發展規劃；支持開發利用數據提供智能化公共服務；支持數據相關技術研發和商業創新；推進數據相關標準體系建設，促進數據安全檢測評估、認證等服務的發展；培育數據交易市場；支持采取多種方式培養專業人才等。

為保障政務數據安全，并推動政務數據開放利用，數據安全法作出針對性規定：

一是對推進電子政務建設，提升運用數據服務經濟社會發展的能力提出要求。

二是規定國家機關收集、使用數據應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行，并落實數據安全保護責任，保障政務數據安全。

三是國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。

四是要求國家機關按照規定及時準確公開政務數據，制定政務數據開放目錄，構建政務數據開放平臺，推動政務數據開放利用。

作者 | 中國法學會法治研究所研究員 劉金瑞