2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》，定于2021年9月1日起正式施行。作为数据领域的基础性法律，同时也是国家安全领域的一部重要法律，该法从监管数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益等多个角度制定了规制路径，并协同《出口管制法》、《网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》等相关法律法规和行业标准，从维护国家主权、安全和发展利益的角度进一步加强数据跨境流动的有效监管。

      在当前各主权国家就数据的有效开发、利用以及数据主权的维护展开激烈博弈的国际环境下，本法通过贯彻落实总体国家安全观、聚焦数据安全领域的风险险患，加强国家数据安全工作的统筹协调，将切实提升国家数据安全保障能力，有效应对数据安全领域中国家安全风险与挑战。其标志着中国信息数据安全法律体系的进一步健全，对有关部门和机构如何更好地进行监管以及相关企业进行数据合规都提供了更多的指引和更高的要求。

本法分为七章，包括五十五条，确立了数据分类分级管理、数据安全审查、数据风险评估、监测预警、重要数据出境管理和应急处置等基本制度。本文主要针对其中若干值得注意的要点进行分析和评述，以期为相关企业的经营活动及行业发展提供一些参考意见。

一、数据分类分级保护制度

      类似于网络安全等级保护制度采用的分级管理，《数据安全法》第二十一条规定，国家建立数据分类分级保护制度。数据分类分级的标准是“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度”，相应地，由国家数据安全工作协调机制来统筹协调有关部门制定重要数据目录，加强对重要数据的保护。此外关系到国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，对国家核心数据将适用更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

      确立分级分类保护制度，对不同等级不同类别的数据采用富有弹性的管理方法，是在数据安全性和数据的流通和利用对于数字经济的重要性之间寻求平衡的结果。然而，本法并没有对分级根据给出具体规定。《网络安全法》和《数据安全管理办法（征求意见稿）》仅提到“重要数据”，并未作进一步解释。

      相较而言，《信息安全技术数据出境安全评估指南（草案）》在《重要数据识别指南》(附录A) 就重要数据给出的规定颇具参考价值，“是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据），一旦未经授权披露、丢失、滥用、篡改或销毁，或汇聚、整合、分析后，可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据”，同时在指南中列举了27个行业的重要数据及其主管部门以供参考。虽然该识别指南中列举的重要数据并非穷尽式列举，但对行业主管部门、监管部门、相关企业提供了较为清晰的指引。

      虽然《数据安全法》对于数据分级的确定还有待进一步的规定和目录，其较之《个人信息保护法》（二审稿）第四条将匿名化信息完全排除在规制之外的设计而言，显然更为合理，更加符合技术的发展现状。《个人信息保护法》（二审稿）第4条规定本法所称“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”可以理解匿名化信息对应于欧盟《一般数据保护条例》（GDPR）Recital (26)的anonymous information，也即“不能关联到已识别的或可识别的自然人的信息”，数据保护的原则不适用于这一类数据。

      设立匿名化信息的概念，旨在排除理论上无法再次复原的信息，是在数据主体权益、数据控制者或处理者对数据的使用和处理权、数据的利用和流通对于公共事业及社会福祉的正面作用之间寻求平衡的结果。然而，匿名化信息事实上是一种理想化的信息处理结果，具有无法被复原、无法用于识别自然人的性质。随着技术的发展，在实践中很难做到绝对的匿名化，例如Vitaly Shmatikov等人对社交网络、基因数据、位置数据、信用卡数据、浏览记录、源代码等领域的跨库逆匿名化技术进行研究后认为，“高维度数据内在的可逆匿名性是极高的”，并得出“33比特的熵值就足以在世界人口中唯一地识别出个人”的结论。

      因此，可以认为匿名化信息的排除实际上是GDPR立法时对于技术发展的前瞻性不够所导致的漏洞，各国的立法活动对此应进行借鉴。《数据安全法》将数据定义为“以电子或任何其他方式对信息的记录”， 规定的规制对象未明显排除匿名化（可以理解为采取了必要措施而处于有效保护和合法利用状态）的数据，并且在《重要数据识别指南》(附录A)中指出数据包括原始数据和衍生数据，那么有理由认为作为规制对象的数据包括采取了必要措施后的数据，从而为对匿名化数据进行有限规制留有余地。

      随着本法的实施，如何确定重要数据将很大程度上取决于各地区、各部门制定的重要数据目录以及诠释，而各行业主管部门也会根据行业发展变化，重新明确本行业重要数据的定义和范围，并对重要数据目录进行适当调整和替换。类似地，关于核心数据的保护和分类标准也有待进一步的落实和规定。企业应当密切关注相关标准和目录的制定和调整。

二、数据安全标准体系

      根据本法第三条规定，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。本法第十七条规定，由国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准，依托于行业组织依法制定的数据安全行为规范和团体标准也将构成安全标准体系的部分。此外，国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

      《数据安全法》首次通过统一立法的形式在几方面加大数据安全标准体系的建设。首先，在数据安全标准建立上，将形成由国务院标准化行政主管部门和国务院有关部门为牵头单位，有企业、社会团体和教育、科研机构等参与的标准制定的组织形式；其次，在技术层面，国家支持数据开发利用和数据安全技术研究，大力发展数据开发利用和数据安全产品、产业体系的建立健全；第三，将进一步促进数据安全监测评估、认证等服务的发展，也即由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准。

      目前中国数据安全认证例如有网络安全等级保护测评，主要测评依据GB/T 22239-2019信息安全技术网络安全等级保护基本要求；APP安全认证，其为移动互联网应用程序（App）安全认证，主要认证个人信息安全规范GB/T 35273-2020等系列标准和认证。

      随着《数据安全法》的实施和业态的日趋复杂，一方面根据本法确立的指导原则，数据安全标准和相关认证将逐步形成更为完整的标准体系，且在制定标准时也有望逐步形成标准流程，例如根据行业的数据安全风险树立安全控制点，总结现有数据安全技术应对风险的能力，从而建立数据安全技术要求框架；另一方面，随着各种数据安全标准的发布，还可能存在实践中的差异，例如在政务信息共享方面，可能会随着各地规划和建设进度不同，针对实际情况对例如监管内容、监管实现方式和各方机制协调等方面进行调整。对数据合规要求较高的企业来说，将面临需符合更严密且更有针对性的安全标准要求的挑战。

三、关于数据出境的规定

1

      本法第三十一条对重要数据的出境安全管理进行了规定，即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他的数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

      《网络安全法》对此给出的规定较为概括，根据第三十七条的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，如因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

      至于其他数据处理者进行重要数据的评估和申请出境审批，尚无明确的法律法规和国家标准给出具体合规要求和流程指引。有鉴于此，《个人信息和重要数据出境安全评估办法》（征求意见稿）》规定了六类涉及重要数据出境时应提交行业主管部门或监管部门进行安全评估的第九条，以及《评估指南》中对于数据出境给出的较为详细的规定（附录B），将是企业进行合规主要参考的评估标准。

      根据上述规定，企业在进行数据出境安全评估时，可参照以下流程：

      首先，根据是否为关键信息基础设施的运营者而分别遵循《网络安全法》和《个人信息和重要数据出境安全评估办法》（征求意见稿）》及其指南的规定；

      其次，需要注意《评估指南》规定网络运营者主动向境外机构、组织或个人提供数据，或通过其他途径发布数据的行为，包括其用户使用网络运营者提供的产品或服务的功能，向境外机构、组织或个人提供数据的行为，也即将责任范围扩大为网络运营者及其用户；

      第三，制定数据出境计划，计划的内容包括但不限于：a) 数据出境目的、范围、类型、规模；b) 涉及的信息系统；c) 中转国家和地区（如存在）；d) 数据接收方及其所在的国家或地区的基本情况；e) 安全控制措施等；

第四，根据《评估方法》（附录B）的流程和判断标准，依据《评估指南》中“合法正当”和“风险可控”作为评估要点，对制定的数据出境计划进行安全评估；

      第五，当评估结果显示出境安全风险为极高或高的，个人信息和重要数据不得出境。网络运营者可修正数据出境计划，如采用技术手段处理数据、进行脱敏、提高发送方数据出境的技术和管理能力、要求接收方具备或采取更安全的保护能力和措施等。

      之后，对修正后的数据出境计划重新进行评估。

2

      属于管制物项的数据出口

      与《出口管制法》第二条规定的“管制物项，包括物项相关的技术资料等数据”相配套，《数据安全法》第二十五条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

      与重要数据出境的要求不同，是否属于出口管制的数据，需要依据《出口管制法》所确立的清单目录和标准来判断。此外，虽然没有对“过、转、通”的数据是否属于数据出口，但是根据《评估指南》的规定看，境外数据经由中华人民共和国中转，未经任何变动或加工处理的情形不属于数据出境。

3

      向外国司法或执法机构提供数据

      对于向外国司法或执法机构提供数据，《数据安全法》第三十六条规定，中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

      值得注意的是，上述所提供的数据，并不限于重要数据，也不限于是否属于出口管制的数据。此外，主管机关批准提供数据的依据为“有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则”，对此可以解读为即便国际条约、协定和平等互惠原则是据以提供数据的主要原则，此处的“有关法律”仍然留下了一定保留余地，当提供数据有可能损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，对该行为可以不予批准。

四、政务数据安全与开放

      《数据安全法》规定国家机关在履行法定职责的收集、使用数据过程中，对个人隐私、个人信息、商业秘密等数据负有保密义务。值得注意的是，对国家机关的行为仅规定了数据的收集、使用、安全管理，并没有提及处理或加工数据，虽然在第四十三条规定了法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定。这是否意味着国家机关处理数据的行为缺乏规制，还需要进一步讨论。

      根据《个人信息保护法草案》（二审稿）的规定，个人信息的处理包括收集、存储、使用、加工、传输、提供、公开等，从字面看，国家机关所进行的收集和使用之外的其他处理行为在《数据安全法》中确实缺乏规制。然而，根据《草案》第七十二条规定，“个人信息处理者，是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人” 。该描述是GDPR对数据控制者所下的定义，但是由于《草案》并未对数据控制者和数据处理者进行区分，而是采用简化规则的办法将二者统一称为数据处理者。能够自主决定数据处理目的、处理方式的组织、个人，是数据处理者，而在发生违规从而造成个人数据泄露或其他损害时，该组织、个人应当作为数据处理者承担责任。

      因此，如果最终出台的《个人信息保护法》在这点上与《草案》保持一致，当出现国家机关违规进行收集、使用之外的数据处理行为而对个人信息造成泄露或产生其他损害后果时，根据《个人信息保护法》，其作为信息处理者应当承担一定责任。

五、加大行业规范作用

      目前各国采用的数据保护模式主要有综合（comprehensive）模式（例如欧盟）、部门（sectoral）法律模式（例如美国），另有共同规制（co-regulatory）（例如澳大利亚）和自我规制（self-regulatory）（例如PCI DSS, iKeepSafe, TrustArc等）。综合模式下的政府对贯穿经济活动的所有数据保护问题和要求进行规制，部门法律模式一般是就某个市场行业、针对特定的问题和需求进行专门立法的模式。共同规制可以存在于综合模式和部门模式中，例如美国COPPA一旦被FTC批准，对于COPPA而言的合规视为符合法律规定。自我规制是由公司、行业组织或协会为个人数据保护实践所制定的规范和准则。中国目前的数据安全保护体系兼有上述几种模式。

      鉴于数据安全所涉及的问题的时效性强、行业专业性高等特点，法律法规的制定和落地往往滞后且立法成本较高，各国都在加大行业自律的作用。《数据安全法》第十条特别规定“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展”，强调并鼓励行业组织制定适用于本行业的数据安全行为规范。虽然行业标准在制定的充分性和执行方面存在一定缺点，对于应对场景多变、技术迭代较快且专业度较高的数据安全问题来说，其所具有的实时性和专业性对于企业降低合规成本、政府部门降低立法执法成本、技术行业的跨境合规来说，都具有非常积极的作用。