第三部分 數據保護相關新規解讀

一、《數據安全法》逐條解讀

中華人民共和國數據安全法

第一章 總則

第1條 為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。

【解讀】

本條規定了《數據安全法》的立法目的。

《數據安全法》堅持安全與發展并重，旨在實現數據在安全的基礎上發展，在數據發展的過程中持續保障安全。

第2條 在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。

在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

【解讀】

本條規定了《數據安全法》的適用范圍。

從適用范圍看，《數據安全法》不僅適用于在中國境內開展數據活動的情形，也賦予了必要的域外適用效力，彰顯了我國維護國家安全和數據主權的信息和決心。具體到適用地域，只要在中國境內開展數據活動，無論是中國境內的組織、個人還是中國境外的組織、個人均適用本法。對于未在中國境內開展數據活動的中國境外組織和個人，如果其數據活動損害了中國國家安全、公共利益或者公民、組織的合法權益，我國也會依法追究其法律責任。規定必要的域外適用效力，與世界各國通過立法擴大數據方面管轄權的作法相一致和相對應，有助于我國在激烈的數據競爭中掌握主動權和話語權，維護我國的國家主權和數據主權完整。

第3條 本法所稱數據，是指任何以電子或者其他方式對信息的記錄。

數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

【解讀】

本條規定了與《數據安全法》適用范圍相關的重要定義。

從“數據”的定義看，本條將所有對信息進行記錄的載體均認定為數據。電子之外的“其他方式”可以將常見的紙質登記表格等納入數據安全管理范疇，填補了已有立法無法有效規制純線下、不借助網絡開展數據活動的立法空白。

從“數據活動”的定義看，采取了列舉+兜底的方式，數據全生命周期的相關活動基本都被納入數據活動的范疇。

從“數據安全”的定義看，《數據安全法》對數據安全提出了行為要求和效果要求。對于行為要求，這里的“必要措施”一般來說包括技術措施、管理措施等；對于效果要求，本條強化了安全的持續性。與網絡安全相類似，數據安全也并非一勞永逸，而是需要持續的投入和關注，以不斷應對可能出現的安全問題和漏洞。

最后，需要指出的是，結合本條對“數據活動”的定義和第53條規定的“……開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定”，《數據安全法》將如何厘清數據和個人信息關系的問題進行了明確界定，將涉及個人信息的數據活動交由《民法典》《網絡安全法》和《個人信息保護法》等有關法律和行政法規加以規范，妥善解決了法律之間的適用和協調問題。

第4條 維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。

【解讀】

本條規定了《數據安全法》的核心觀念。

數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全。因此，《數據安全法》按照總體國家安全觀的要求，通過立法加強數據安全保護，有助于更好地規制與中國國家、公民和組織相關的全部數據活動，有助于提升國家數據安全保障能力，有利于有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全和發展利益，維護公共利益和公民、組織的合法權益。

第5條 中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。

【解讀】

本條明確了數據安全管理工作的頂層設計。

中央國家安全領導機構統籌數據安全管理工作，可見數據安全的重要性和影響力，有助于建立集中統一、高效權威的數據安全領導體制。

第6條 各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。

國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。

【解讀】

本條明確了數據安全管理工作的具體分工。

整體而言，本條確立了在集中領導的基礎上由各部門、各地區分工負責的管理模式，具體體現為國家網信部門統籌網絡數據監管+公安機關、國安機關依職責監管數據安全+各地區、各部門承擔主體責任+各行業主管部門承擔本行業監管職責，強調了數據安全管理工作的統一性，也兼顧了各地區、各部門和各行業的差異性。但在實踐過程中，如何厘清各地區、各部門和各行業主管部門的職責界限，有待探索和明確。

此外，需要指出的是，《數據安全法》并未對“網絡數據”進行定義?？晒﹨⒖嫉摹熬W絡數據”的定義出現在《網絡安全法》第76條，其將“網絡數據”界定為“通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”。

最后，筆者梳理了現有各行業主管部門和各地區對于數據安全管理的相應規定供參考：

1.各行業主管部門對數據安全管理的相關規定

續表

2.各地區對數據安全管理的相關規定

第7條 國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展。

【解讀】

本條表明了對數據發展的鼓勵和保障，當然，數據發展需要在法律允許的范圍內有序發展，最大程度挖掘數據價值，打破“數據孤島”，更好地服務我國經濟社會發展。

第8條 開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

【解讀】

本條明確了開展數據處理活動的原則性要求。

對于開展數據處理活動的要求，《數據安全法》第四章對數據安全保護義務進行了具體規定，本條作為宣誓性條款明確了基本的原則，在具體規定無法有效、準確覆蓋個案時可能會適用本條進行相應認定。

第9條 國家支持開展數據安全知識宣傳普及，提高全社會的數據安全保護意識和水平，推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發展的良好環境。

【解讀】

本條明確了數據安全協同治理體系的建立要求。

數據安全與每一個個人、組織、行業組織、有關部門均息息相關，在集中領導+分工負責數據安全管理工作的基礎上，全社會協同治理數據安全，有助于群策群力，切實維護數據安全，促進數據依法有序發展。

第10條 相關行業組織按照章程，依法制定數據安全行為規范和團體標準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展。

【解讀】

本條明確了數據安全的行業自律要求。

基于各個行業自身的特殊性，對于數據安全的具體要求自然也會存在差異，相比適用“一刀切”的普遍性規范，由各行業組織自行制定適應本行業需要的行為規范和團體標準無疑是更好的選擇。同時，本條也強調了此類行為規范和團體標準必須“依法制定”，即不得以行為規范或團體標準突破國家現有的數據保護規則，損害數據安全。

第11條 國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。

【解讀】

本條明確了數據領域國際合作的機制。

大數據時代和經濟全球化浪潮下，數據跨境流動日益頻繁。積極參與國際交流與合作，參與國際規則和標準的制定，能夠在推動國際合作的同時更好地維護我國的國家利益。

第12條 任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。

有關主管部門應當對投訴、舉報人的相關信息予以保密，保護投訴、舉報人的合法權益。

【解讀】

本條明確了數據安全相關的投訴、舉報機制。

從舉報主體看，任何組織和個人都可以進行舉報，意味著用戶、非用戶、競爭對手、第三方測評機構、自媒體等都可以作為舉報主體，有助于實現第9條提出的“數據安全協同治理體系”。

從舉報部門看，結合數據安全管理體系的職責分工，“有關主管部門”應該指向公安部門、國安部門、網信部門以及各地區、各部門和各行業的主管部門。以網絡數據違法為例，就應當向國家及地方網信部門進行舉報。

從舉報處理看，收到投訴、舉報的部門應當及時依法處理。也就是說，如果投訴、舉報后出現杳無音訊或怠于處理等不作為、慢作為的情形，該等部門可能需要承擔相應的責任。

第二章 數據安全與發展

第13條 國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。

【解讀】

本條明確了數據安全工作的基本原則。

數據安全和數據發展并重是《數據安全法》堅持的基本原則。但從立法體例角度看，本條規定的內容為原則性要求。

第14條 國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新應用。

省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃，并根據需要制定數字經濟發展規劃。

【解讀】

本條明確了支持數字經濟發展的配套要求。

2021年4月25日，中國信通院正式發布《中國數字經濟發展白皮書（2021年）》，報告顯示，2020年，我國數字經濟增加值規模達到39.2萬億元，占GDP比重達到38.6%，2020年我國數字經濟同比名義增長9.7%，是同期GDP名義增速的3.2倍多，數字經濟在逆勢中加速騰飛，有效支撐經濟社會發展。[1]從產業角度來看，我國已形成較為完整的數據供應鏈，在數據采集、數據標注、時序數據庫管理、數據存儲、商業智能處理、數據挖掘和分析、數據安全、數據交換等各環節形成了數據產業體系，數據管理和數據應用能力不斷提升?？梢钥闯?，數字經濟對我國國民經濟發展具有重要意義，完善數字經濟發展的配套措施有助于更好地促進數字經濟發展。

第15條 國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

【解讀】

本條明確了數據開發對公共服務的提升應當保障弱勢群體。

通過開發數據并提升公共服務的智能化程度，確實可以帶來極大的便利，但對于不擅長使用電子設備的老年人或者身體機能不便的殘疾人而言，一些無法使用的智能化設備反而可能為日常生活帶來障礙?！肮卜铡钡膶ο笫巧鐣蟊?，因此也應當考慮到弱勢群體的需求。本條為此特別強調，在提升公共服務智能化程度的同時，不能忘記保障弱勢群體的權益。

第16條 國家支持數據開發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新，培育、發展數據開發利用和數據安全產品、產業體系。

【解讀】

本條體現了促進數據資源開發利用的精神。

大數據時代，數據有價，只有不斷完善數據開發利用技術和數據安全技術，培訓發展數據開發利用和數據安全產品和產業體系，才能更好、更大程度上挖掘和實現數據的價值。

第17條 國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。

【解讀】

本條明確了數據安全與發展的標準體系建設要求。

從制定主體看，與網絡安全標準體系制定主體相類似，國務院標準化行政主管部門和國務院有關部門為數據開發利用技術、產品和數據安全相關標準的制定主體。

從參與主體看，可以預見的是，后續數據安全與發展的相關標準，將會與個人信息相關標準的制定一樣，有互聯網企業、研究機構、高校、行業協會等參與其中。

第18條 國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。

國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。

【解讀】

本條體現了國家對數據安全社會化服務體系建設的支持。

對于企事業單位而言，數據安全必將成為企事業單位的一張名牌，數據安全工作做得好，企事業單位的形象會添光加彩，反之則會影響聲譽，降低公眾的信任以及好感度。數據安全檢測評估、認證等服務構成了數據安全的社會化服務體系，有助于協助企事業單位發現數據安全方面存在的問題并加以改進和完善。

第19條 國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。

【解讀】

本條明確了國家對合法數據交易的支持。

《數據安全法》作為數據領域的基本法，首次從法律層面明確了國家對合法數據交易的支持，對于數據交易而言無疑是利好消息。本條未明確數據交易的定義，可供參考的是《信息安全技術 數據交易服務安全要求》（GB/T 37932—2019，以下簡稱《數據交易服務安全要求》）將“數據交易”定義為“數據供方和需方之間以數據商品作為交易對象，進行的以貨幣或貨幣等價物交換數據商品的行為”。就數據交易管理制度而言，本條并未明確其具體內容，包括數據權屬、交易標的、定價機制等都有待后續明確。

現有的數據交易一般在大數據交易所和企業自主運營的數據交易平臺進行，其中大數據交易所主要有貴陽大數據交易所、東湖大數據交易中心、上海數據交易中心、華東江蘇大數據交易中心等，企業自主運營的數據交易平臺主要包括京東萬象、數據寶、聚合數據、優易數據、發源地、數糧等。

第20條 國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓，采取多種方式培養數據開發利用技術和數據安全專業人才，促進人才交流。

【解讀】

本條體現了國家對數據安全相關人才培養的支持。

數據安全發展離不開數據相關人才的支撐，加強數據開發利用技術和數據安全相關教育和培訓，采取多種方式培養數據安全相關人才，有助于數據安全工作的常態化發展。

第三章 數據安全制度

第21條 國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。

關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。

各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

【解讀】

本條明確了數據分類分級的制度要求。

從數據分類分級的基本要求看，《網絡安全法》第21條首次從法律層面提出了“數據分類”的要求，本條則首次從法律層面完整地提出了“數據分類分級”的要求。分類分級的標準主要包括兩個維度，一個是數據的重要程度，另一個是數據安全事件發生的危害程度?！洞髷祿踩芾碇改稀返?.1條和第7.2條明確了數據分類分級的原則和流程，筆者也整理了部分行業涉及數據分類分級的文件供參考。

從重要數據看，本條并未明確重要數據的定義和識別標準，現行文件中可供參考的“重要數據”的定義主要出現在《數據安全管理辦法（征求意見稿）》第38條，其將“重要數據”界定為“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等”。此外，《信息安全技術 數據出境安全評估指南（征求意見稿）》（以下簡稱《數據出境安全評估指南（征求意見稿）》）第3.5條對“重要數據”也進行了定義，“相關組織、機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據（包括原始數據和衍生數據）”。

同時，本條將首次提出了“核心數據”的概念，將“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據”作為國家核心數據。對于核心數據，將適用更為嚴格的管理制度。

第22條 國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。

【解讀】

本條明確了數據安全的監測預警機制。

集中統一、高效權威的公權力監測預警機制，有助于及時發現和準確識別數據安全風險，并在此基礎上有效預測事件發生的可能性、影響范圍和危害程度，準確發布避免、減輕危害的措施。

第23條 國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息。

【解讀】

本條明確了建立數據安全應急處置機制的要求。

應急處置措施的實施會較大程度地影響數據安全事件所造成的后果。建立數據安全應急機制，在數據安全事件發生后，及時啟動應急預案并采取相應的應急處置措施，并及時向社會發布與公眾有關的警示信息，能夠有效減少事件造成的損失和危害。

第24條 國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

依法作出的安全審查決定為最終決定。

【解讀】

本條明確了建立數據安全審查制度的要求。

數據安全審查制度的審查范圍和重點是“影響或者可能影響國家安全的數據活動”，但《數據安全法》對數據安全審查的審查主體、審查流程、審查期限、審查內容等未進行具體規定，具體可參照《網絡安全審查辦法（修訂草案征求意見稿）》。

此外，本條第2款規定“依法作出的安全審查決定為最終決定”，意味著數據安全審查的決定一經作出即告生效，不會進入行政復議或行政訴訟程序。

第25條 國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。

【解讀】

本條明確了數據出口管制的要求。

對于出口管制的含義，《數據安全法》未進行明確，《出口管制法》第2條將“出口管制”定義為“國家對從中華人民共和國境內向境外轉移管制物項，以及中華人民共和國公民、法人和非法人組織向外國組織和個人提供管制物項，采取禁止或者限制性措施”，可供參考。

《數據安全法》首次提出了數據出口管制的要求，管制的內容為“與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據”。但《數據安全法》并未對具體的管制范圍進行明確，有待后續配套立法明確。

第26條 任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。

【解讀】

本條明確了數據方面的國際對等反制，以有效應對數據方面的限制、打壓、歧視等措施，有助于維護我國數據主權和國家利益。

第四章 數據安全保護義務

第27條 開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。

重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

【解讀】

本條明確了數據安全保護義務的基本要求。

對于建立全流程數據安全管理制度，結合第3條對于“數據活動”的定義，數據安全管理制度應覆蓋數據收集、存儲、加工、使用、提供、交易、公開等流程。

對于數據安全教育培訓，從培訓時間點看，在新員工入職培訓時，就應當將數據保護作為培訓內容之一，后續每年定期或不定期進行數據安全培訓。從培訓內容看，數據保護的相關法律法規規定、內部制度、操作流程等都應該納入培訓內容，特別是最新出臺的規定和內部制度流程等的重要修訂。從培訓對象看，這里的員工不應限于基層員工，而應是包含高層員工在內的全體員工，領導層高度重視、基層員工嚴格踐行，方能更好地開展數據保護工作。

對于采取相應的技術措施和其他必要措施，這里使用的是“相應”和“必要”，而非統一提出某些技術措施和其他措施要求，這有助于企事業單位根據數據的重要性、數據安全事件發生后的危害程度等采取相對應的措施。

設立數據安全負責人和管理機構并非是一項對所有企事業單位均提出的要求，而是針對重要數據的處理者，后續可能會有配套文件對于數據安全負責人的資質、職責等提出要求。

第28條 開展數據處理活動以及研究開發數據新技術，應當有利于促進經濟社會發展，增進人民福祉，符合社會公德和倫理。

【解讀】

本條要求數據活動和數據技術應符合社會公德和倫理。

新技術發展在推動社會進步的同時，也出現被用于違反社會公德和倫理的實驗、商業行為等情況。因此，《數據安全法》強調數據活動和數據技術應符合社會公德和倫理，雖然更多是宣誓性的意義，但能夠寫入法律條文，本身已經體現出國家對該問題的重視。

第29條 開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

【解讀】

本條明確了數據安全風險監測和后續處置要求。

與《網絡安全法》第22條第1款對網絡安全風險監測和后續處置的要求相類似，本條對數據安全風險監測和后續處置提出了要求，以便企事業單位可以及時發現數據安全風險并采取補救措施。如果發生數據安全事件，還應及時通過公告、站內信等方式告知用戶，并向有關主管部門報告。

第30條 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

【解讀】

本條對重要數據處理者提出了定期開展風險評估和報送評估報告的要求。

從定期開展風險評估看，本條并未明確限定評估主體。結合第18條的規定，可以理解為重要數據的處理者可以自行評估，也可以委托數據安全檢測評估專業機構進行評估。

從風險評估報告的內容看，本條第2款采用“列舉+兜底”的方式提出了內容要求，包括重要數據的種類、開展數據處理活動的情況，面臨的數據安全風險及其應對措施都被列入了風險評估報告的范圍內。

第31條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。

【解讀】

本條對重要數據的出境安全管理提出了要求。

首先，就關鍵信息基礎設施的定義，可以參考《關鍵信息基礎設施安全保護條例》第2條的規定，即“關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”。對于此類設施運營者在中國境內運營收集和產生的重要數據，應當根據《網絡安全法》第37條的規定，按照國家網信部門會同國務院有關部門制定的辦法進行安全評估，或依據法律、行政法規的另行規定執行。

其次，對于其他數據處理者，未來可能由國家網信部門會同國務院有關部門制定專門的出境安全管理辦法。在此之前，監管部門已經發布了《個人信息出境安全評估辦法（征求意見稿）》《數據出境安全評估指南（征求意見稿）》等文件，可以作為參考。

第32條 任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。

法律、行政法規對收集、使用數據的目的、范圍有規定的，應當在法律、行政法規規定的目的和范圍內收集、使用數據。

【解讀】

本條明確了收集數據的合法、正當要求。

相較于收集個人信息的合法、正當、必要要求，對于收集數據，本條未當然強調必要的要求，而是在“法律、行政法規對收集、使用數據的目的、范圍有規定的”情況下才強調收集數據不得超過必要的限度，這里也體現出對于數據和個人信息的差異管理。對于“合法、正當”的理解，筆者認為，主要包括不得從非法的渠道收集數據、不得隱秘收集數據、不得以欺詐、誘騙、誤導的方式收集數據等。

第33條 從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。

【解讀】

本條明確了數據交易中介服務機構的服務要求。

《數據安全法》并未對“數據交易中介服務”進行定義，可供參考的是，《數據交易服務安全要求》第3.4條將“數據交易服務”定義為“幫助數據供方和需方完成數據交易的活動”。結合本條對數據交易中介服務機構的服務要求，數據交易中介服務機構應該主要指向《數據交易服務安全要求》第3.6條定義的“數據交易服務平臺”，即“為數據交易提供各項服務的信息化平臺”，實踐中主要包括大數據交易所和企業自營的數據交易平臺。對此，前面已經進行介紹，不再贅述。

從數據交易中介服務機構的服務要求看，主要包括說明來源+審核身份+留存記錄三項要求。而三項要求是否妥善履行，將決定數據交易中介服務機構是否會依據第47條承擔相應的法律責任。

第34條 法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。

【解讀】

本條提出了數據處理相關服務經營者的許可或備案要求。

目前實踐中，典型的需要取得許可的數據處理者包括《電信業務分類目錄》中B21類別的“在線數據處理與交易處理業務”服務的提供者。未來法律、行政法規也可能進一步擴大需要取得行政許可和備案的行業范疇。

第35條 公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。

【解讀】

本條明確了組織、個人配合調取數據的要求。

從有權調取數據的機關和調取數據的條件看，限定在公安機關和國家安全機關，在依法維護國家安全或者偵查犯罪需要的情況下，可以調取數據。

從調取數據的程序要求看，相較于《網絡安全法》第28條的規定，《數據安全法》增加了“按照國家有關規定，經過嚴格的批準手續，依法進行”的規定，有助于依法行政的落實，避免有權機關濫用權力。

第36條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。

【解讀】

本條明確了組織及個人向中國境外司法、執法機構提供數據需經報批的原則性要求。

對于向境外機構提供證據材料、文件和資料，《國際刑事司法協助法》第4條第3款和《證券法》第177條第2款已經分別從刑事角度和證券監督管理角度提出了未經境內有關主管部門同意不得向境外機構提供證據材料、文件和資料等的要求?！稊祿踩ā窂臄祿O管的角度，通過本條明確了組織及個人向中國境外司法、執法機構提供數據需經報批的原則性要求，旨在一定程度上封堵境外機構的長臂管轄，有助于維護數據主權和國家安全。同時，明確了本條規定的例外情形，即我國締結或參加的國際條約、協定對此有規定的，依照其規定，妥善解決了法律與國際條約、協定的適用問題。

此外，對于本條規定，《數據安全法》規定了相應的、明確的罰則，面對境外執法機構調查取證的要求，如果企業未經主管機關批準向外國司法或者執法機構提供數據的，可能將按照第48條的規定承擔法律責任。

第五章 政務數據安全與開放

第37條 國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力。

【解讀】

本條明確了國家對于電子政務建設的支持和對政務數據的要求。

電子政務建設的推進，有助于更好地提升行政效率，進一步降低行政成本，更好地發揮社會管理職能。而電子政務的推進，政務數據的數量、廣度等都會進一步提升，但如果要最大程度上發揮政務數據的價值，需要確保政務數據滿足科學性、準確性和時效性的要求，否則如數據存在遺漏、錯誤、延遲等問題，可能會讓政務數據的價值大打折扣，甚至出現負面作用。

第38條 國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。

【解讀】

本條對國家機關收集使用數據提出了規范化要求。

從規范化要求看，主要包括以下兩點：第一，基于履行法定職責的需要并在履行法定職責的范圍內收集、使用數據，避免隨意收集、使用數據；第二，需要依照法律、行政法規規定的條件和程序進行，也就是說，如未經法定條件和程序，即使在法定職責范圍內也不得收集、使用數據。例如，根據《刑事訴訟法》第128條第1款規定，進行搜查，必須向被搜查人出示搜查證。一般情況下，需要出示搜查證才能進行搜查，這里的出示搜查證就是法律規定的搜查程序要求。

第39條 國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。

【解讀】

本條對國家機關提出了數據安全保護的要求。

政務數據數量龐大，關系國計民生、國家安全和國家主權，如果出現數據安全事件，其后果可能不堪設想。因此，《數據安全法》對國家機關提出了數據安全保護的要求，強調保障政務數據安全。

第40條 國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。

【解讀】

本條對國家機關委托存儲、加工、向他人提供政務數據提出了規范性要求。

實踐中，為了對數據進行分析整理或者基于提供公共職能服務需要，國家機關委托存儲、加工或向他人提供政務數據的情形并不少見。由于此前規制較少，不乏未經審批程序而直接通過微信對外發送數據等政務數據不規范對外提供的案例。《數據安全法》通過本條強化了委托存儲、加工，向他人提供政務數據的審批要求和監督履行數據安全保護義務的要求，旨在降低政務數據在該等環節出現數據安全事件的概率。

第41條 國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外。

【解讀】

本條明確了政務數據公開為常態、不公開為例外的要求。

《政府信息公開條例》第5條規定了政府信息公開為常態、不公開為例外的要求，本條明確了政務數據公開為常態、不公開為例外的要求。實踐中，部分省市已經開始了政務數據公開的探索，筆者整理了現有的地方政務數據公開方面的規定供參考：

續表

第42條 國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用。

【解讀】

本條明確了政務數據開放平臺的構建要求。

通過構建統一規范、互聯互通、安全可控的政務數據開放平臺，有助于統一規范政務數據的開放與管理，依法有序進行政務數據的開放利用。從實踐探索角度，

貴陽市政府數據開放平臺（網址：data.guiyang.gov.cn/city/index.htm）于2017年1月初正式上線運營，根據平臺數據顯示，截至2021年8月17日，平臺已提供1413792次下載服務，涉及2728個數據集，380個API。[2]

第43條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動，適用本章規定。

【解讀】

本條明確了對具有公共事務管理職能的組織開展數據活動的要求。

《數據安全法》第37～42條規制的主體均為國家機關，本條將具有公共事務管理職能的組織履行法定職責開展數據處理活動的情形也納入前述規定的適用范圍。舉例來說，國家科技管理信息系統公共服務平臺（網址：https：//service.most.gov.cn/）由中國科學技術信息研究所建設運行并提供相關技術服務，負責對中央財政科技計劃（專項、基金等）的需求征集、指南發布、項目申報、立項和預算安排、監督檢查、驗收結果等進行全過程信息管理，并主動向社會公開非涉密信息。這里所說的中國科學技術信息研究所為運行該平臺開展數據活動，應該適用前述規定。

第六章 法律責任

第44條 有關主管部門在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照規定的權限和程序對有關組織、個人進行約談，并要求有關組織、個人采取措施進行整改，消除隱患。

【解讀】

本條明確了數據安全監管的約談制度。

與《網絡安全法》第56條規定的網絡安全監管的約談制度相類似，數據安全監管也將約談制度法定化。

第45條 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。

【解讀】

本條明確了未履行數據安全保護義務的法律責任。

從法律責任形式看，本條基本借鑒了《網絡安全法》第59條對于未履行網絡安全保護義務的法律責任的規定，主要包括責令改正、警告、對組織罰款和對直接負責的主管人員罰款等。

就罰款的金額而言，相較于草案二審稿，《數據安全法》對于法人與個人的罰款上限有所調整。就一般違反數據安全保護義務的行為，《數據安全法》降低了法人和個人的罰款上限。同時，增加了“違反國家核心數據管理制度，危害國家主權、安全和發展利益”的法律責任，并將罰款金額確定為“二百萬元以上一千萬元以下”，這一區間明顯高于草案二審稿規定的違反數據安全保護義務的法律責任。上述調整使不同行為的法律責任差異更為明顯，進而可以使行政處罰與違法行為的程度更為匹配。

第46條 違反本法第三十一條規定，向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

【解讀】

本條明確了重要數據違規出境的法律責任。

相較于草案二審稿，本條為新增條款。對于違反《數據安全法》規定向境外提供重要數據的，可對企業處以10萬到100萬的罰款，對直接負責的主管人員和其他直接責任人員處以1萬到10萬的罰款。如果涉及嚴重的情節，那么企業將可能被處以100萬到1000萬的罰款，且可能被責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，而直接負責的主管人員和其他直接責任人員將面臨10萬到100萬的罰款。其中吊銷相關業務許可證或者吊銷營業執照的處罰最重，可能直接導致企業無法開展任何業務。這在另一方面也體現了國家保護重要數據的決心。

第47條 從事數據交易中介服務的機構未履行本法第三十三條規定的義務的，由有關主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上一百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

【解讀】

本條明確了數據交易中介機構相關的法律責任。

若數據交易中介機構未要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄，且導致非法來源數據交易的，需要根據本條承擔責令改正、沒收違法所得、罰款、吊銷相關業務許可證或者吊銷營業執照的法律責任。與上一條類似，本條同樣設置了吊銷相關業務許可證或者吊銷營業執照的處罰，對于數據交易中介機構而言是處罰最重，將直接導致數據交易中介機構無法繼續從事數據交易中介服務。

第48條 違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

違反本法第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。

【解讀】

本條明確了未經許可或備案專門提供在線數據處理等服務的法律責任。

提供數據處理等服務需要取得許可或備案方能進行。未經許可或備案，可能面臨責令改正、沒收違法所得、罰款的法律責任，甚至被吊銷相關業務許可證或者吊銷營業執照，與前幾條類似，本條的法律責任相對較重，因此數據處理者也應當重視此類問題。

第49條 國家機關不履行本法規定的數據安全保護義務的，對直接負責的主管人員和其他直接責任人員依法給予處分。

【解讀】

本條明確了國家機關不履行數據安全保護義務的法律責任。

從條文對應上，本條主要規定的是第39條的相應法律責任。但第40條，也就是委托存儲、加工、向他人提供政務數據，也可能納入本條法律責任的適用范圍。需要指出的是，本條并未限制條件，即未要求造成數據安全事件等嚴重后果才適用本條，也就意味著，如果在日常數據安全檢查中發現國家機關不履行本法規定的數據安全保護義務的，就可能觸發本條的法律責任。

第50條 履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的，依法給予處分。

【解讀】

本條規定了國家工作人員玩忽職守、濫用職權、徇私舞弊的法律責任。

《刑法》第397條對濫用職權罪、玩忽職守罪進行了規定，并對徇私舞弊情況下犯前述罪進行了規定。履行數據安全監管責任的國家工作人員，玩忽職守、濫用職權、徇私舞弊觸犯刑事犯罪的，依照前述《刑法》規定承擔相應責任；尚不構成犯罪的，依法給予處分，本條旨在督促國家工作人員切實履行數據安全監管責任。

第51條 竊取或者以其他非法方式獲取數據，開展數據處理活動排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規的規定處罰。

【解讀】

本條明確了數據活動危害國家安全、公共利益、公民、組織合法權益的法律責任。

本條并未直接規定數據活動危害國家安全、公共利益、公民、組織合法權益情況下具體的法律責任，而是適用有關法律、行政法規的規定處罰。但本條使用的詞語是“處罰”，相對應的應該是承擔行政責任，而民事責任、刑事責任都不適用“處罰”的表述。推測是依據《國家安全法》《網絡安全法》等相關法律、行政法規進行處罰。

第52條 違反本法規定，給他人造成損害的，依法承擔民事責任。

違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

【解讀】

本條明確了民事、刑事責任及治安管理處罰的銜接性規定。

本條與《網絡安全法》第74條“違反本法規定，給他人造成損害的，依法承擔民事責任。違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任”基本一致，明確了民事、刑事責任及治安管理處罰的銜接性規定。

第七章 附則

第53條 開展涉及國家秘密的數據處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

在統計、檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。

【解讀】

本條明確了涉及國家秘密的數據活動和涉及個人信息的數據活動的法律適用。

通過本條的規定，妥善解決了涉及國家秘密的數據活動的和涉及個人信息的數據活動的法律適用，避免了法律之間的交叉和沖突。

第54條 軍事數據安全保護的辦法，由中央軍事委員會依據本法另行制定。

【解讀】

本條明確了軍事數據安全保護的適用規定。

同《網絡安全法》第78條規定“軍事網絡的安全保護，由中央軍事委員會另行規定”相類似，本條規定軍事數據安全保護的辦法由中央軍事委員會另行制定。

第55條 本法自2021年9月1日起施行。

【解讀】

本條規定了法律的施行時間。

結語

作為我國數據領域的基礎性法律，《數據安全法》對于護航數據安全，助力數字經濟發展具有重要意義，其相關規定對于企業在經營過程中開展的相關數據處理活動亦可能產生重大影響?？紤]到《數據安全法》項下的違法成本相對較高，建議企業應結合《數據安全法》的相關條文，充分梳理業務開展過程中既有數據活動的合規性，并及時做好相應的合規安排。