9月1日，《中華人民共和國數據安全法》正式實(shí)施。數據安全法的出臺是對當前數據安全內外部形勢的積極回應，是護航數字經(jīng)濟發(fā)展的重要舉措，開(kāi)創(chuàng )了新時(shí)代數據安全治理的新局面。當下，面對大數據的洪流，數據安全問(wèn)題如何應對，國家數據安全制度怎樣布局，不僅關(guān)涉國家安全、公共安全、個(gè)人安全，也關(guān)系我國在全球新一輪信息技術(shù)變革中如何實(shí)現從跟跑、并跑到領(lǐng)跑的轉變。

隨著(zhù)人類(lèi)社會(huì )進(jìn)入數字化時(shí)代，網(wǎng)絡(luò )空間、物理世界和人類(lèi)社會(huì )開(kāi)始實(shí)現深度融合。數據不僅是網(wǎng)絡(luò )空間自身運行的產(chǎn)物，也是物理世界、人類(lèi)社會(huì )運行的數字畫(huà)像，蘊含著(zhù)數字化世界的運行規律。在數字化時(shí)代，數據同時(shí)兼具國家安全、數字經(jīng)濟、社會(huì )治理、個(gè)人隱私等多個(gè)屬性，因此，發(fā)達國家陸續開(kāi)展相關(guān)立法工作，我國數據安全立法可謂恰逢其時(shí)。

2021年6月10日，經(jīng)全國人民代表大會(huì )常務(wù)委員會(huì )審議，通過(guò)了《中華人民共和國數據安全法》（簡(jiǎn)稱(chēng)數據安全法），并于9月1日起施行。數據安全法作為國家安全法律體系的一部分，既要解決現有數據安全制度供給不足的問(wèn)題，又要符合總體國家安全觀(guān)的整體性要求，避免過(guò)度介入應由其他法律規制的領(lǐng)域。因此，數據安全法是一部數據安全領(lǐng)域基礎性、框架性的法律，為后續各類(lèi)數據領(lǐng)域配套制度、規范及標準的制定提供了依據。

主要內容

數據安全法以總體國家安全觀(guān)為指導，堅持統籌發(fā)展與安全的原則，明確了一系列數據安全制度，規定了數據處理主體的數據安全義務(wù)，并就政務(wù)數據安全與開(kāi)放提出了相關(guān)要求，此外還明確了主管部門(mén)的職責及違規的法律責任。

1.數據安全與發(fā)展。當前，數據已經(jīng)成為我國數字經(jīng)濟的核心生產(chǎn)要素之一，其有效利用事關(guān)社會(huì )和經(jīng)濟發(fā)展，同時(shí)又從微觀(guān)到宏觀(guān)層面影響國家安全。因此，數據安全法首先闡明了數據安全與發(fā)展的關(guān)系，強調“國家統籌發(fā)展和安全，堅持以數據開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數據安全，以數據安全保障數據開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”。同時(shí)，數據安全法還明確了同步促進(jìn)數據開(kāi)發(fā)利用、數據安全的技術(shù)研究與應用、標準化以及教育培訓的措施，要求鼓勵數據安全檢測評估、認證等服務(wù)的發(fā)展，支持有關(guān)專(zhuān)業(yè)機構依法開(kāi)展服務(wù)活動(dòng)；建立健全了數據交易管理制度，要求規范數據交易行為，培育數據交易市場(chǎng)。

 2.數據安全制度。數據安全法明確了6項數據安全制度：（1）數據分類(lèi)分級與核心數據保護制度。確立了依據對國家安全、公共利益或者個(gè)人、組織合法權益造成的危害程度進(jìn)行分類(lèi)分級的原則，要求國家網(wǎng)信部門(mén)協(xié)調編制重要數據目錄，各地區、各部門(mén)負責地方、領(lǐng)域的目錄編制和數據保護，特別強調對于關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數據，實(shí)行更加嚴格的管理制度。（2）數據安全風(fēng)險評估與工作協(xié)調機制。規定國家建立集中統一、高效權威的數據安全風(fēng)險評估、報告、信息共享、監測預警機制，建立工作協(xié)調機制統籌協(xié)調有關(guān)部門(mén)加強數據安全風(fēng)險信息的獲取、分析、研判、預警工作。（3）數據安全應急處置機制。要求對于發(fā)生數據安全事件的，主管部門(mén)應當依法啟動(dòng)應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患。（4）數據安全審查制度。要求對影響或者可能影響國家安全的數據處理活動(dòng)進(jìn)行國家安全審查。（5）數據出口管制制度。要求對與維護國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項的數據依法實(shí)施出口管制。（6）歧視反制制度。規定對我國采取相關(guān)歧視性的禁止、限制或者其他類(lèi)似措施的國家和地區，我國可以對其采取對等措施。

3.數據安全義務(wù)。數據安全法規定了4類(lèi)數據安全義務(wù)：（1）數據處理者的安全義務(wù)。重要數據處理者應明確數據安全負責人和管理機構，定期開(kāi)展風(fēng)險評估，并向主管部門(mén)報送風(fēng)險評估報告；關(guān)鍵信息基礎設施的運營(yíng)者在國內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理依據網(wǎng)絡(luò )安全法執行，其他數據處理者的數據出境管理由網(wǎng)信辦另行制定政策；組織、個(gè)人應合法、依規收集和使用數據等。（2）數據交易中介服務(wù)機構義務(wù)。數據交易中介服務(wù)機構應當要求數據提供方說(shuō)明數據來(lái)源，審核交易雙方的身份，并留存審核、交易記錄。（3）有關(guān)組織、個(gè)人的數據支持義務(wù)。公安或國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關(guān)規定，經(jīng)過(guò)嚴格的批準手續，依法進(jìn)行，有關(guān)組織、個(gè)人應當予以配合。（4）跨境司法或執法機構數據提供審批義務(wù)。未經(jīng)主管機關(guān)批準，境內的組織、個(gè)人不得向外國司法或者執法機構提供存儲于境內的數據。

4.政務(wù)數據安全與開(kāi)放。數據安全法就政務(wù)數據安全與開(kāi)放作出相應規定。（1）政務(wù)數據安全要求。一方面，國家機關(guān)應當依法合規收集、使用數據，并對履職中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密等數據予以保密。另一方面，國家機關(guān)需要建立健全數據安全管理制度，落實(shí)數據安全保護責任，保障政務(wù)數據安全。（2）外包政務(wù)系統數據安全要求。國家機關(guān)委托他人建設、維護電子政務(wù)系統，存儲、加工政務(wù)數據，應當經(jīng)過(guò)嚴格的批準程序，受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務(wù)，同時(shí)國家機關(guān)應當監督受托方履行相應的數據安全保護義務(wù)。（3）政務(wù)數據開(kāi)放要求。除依法不予公開(kāi)的數據外，國家機關(guān)應當遵循公正、公平、便民的原則，按照規定及時(shí)、準確地公開(kāi)政務(wù)數據，同時(shí)應制定政務(wù)數據開(kāi)放目錄，構建統一規范、互聯(lián)互通、安全可控的政務(wù)數據開(kāi)放平臺，推動(dòng)政務(wù)數據開(kāi)放利用。

5.法律責任。對于數據處理者與數據交易中介服務(wù)機構不履行數據安全義務(wù)、數據安全監管履職國家工作人員濫權舞弊、違法獲取或濫用數據等行為，數據安全法也作出了相應的處罰規定。其中，對于不履行數據安全義務(wù)的數據處理者除罰款外可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照，而對于違反國家核心數據管理制度且構成犯罪的可以追究刑事責任，對于違規數據出境或未經(jīng)授權向外國司法或者執法機構提供數據的，同樣會(huì )處以相應處罰。

需要關(guān)注的重點(diǎn)

1.基礎性與可實(shí)施性的關(guān)系。數據安全法是我國數據安全領(lǐng)域的一部基礎性法律，系統地搭建了一系列的制度框架，但目前在數據分類(lèi)分級與重要數據保護、數據安全風(fēng)險評估與工作協(xié)調、數據安全應急處置、數據安全審查、數據出口管制、歧視反制等方面的制度建設都尚處于初級階段，在執行層面還需要制定大量的配套法規、制度、標準，以保障法律的細化實(shí)施。

2.主權性與全球化的關(guān)系。數據安全法涉及的數據絕大部分處于高度全球化的網(wǎng)絡(luò )空間，各大互聯(lián)網(wǎng)巨頭的數據處理都是全球化的，而數據本身無(wú)論作為數字經(jīng)濟的要素還是國家安全的重要資源都具有強烈的主權屬性。我國必將成為全球最大的數據生產(chǎn)與消費國，因此必須具備域外執法能力，同時(shí)也要有效限制境外的長(cháng)臂管轄，這也是應對全球數據競爭的需要。數據安全法賦予了我國司法機構域外管轄權，同時(shí)還加強了對向境外司法或執法機構提供數據的監管，以封堵境外機構的長(cháng)臂管轄。在未來(lái)執法實(shí)踐過(guò)程中，我國與美歐等發(fā)達國家在數據管轄權爭奪上必然是長(cháng)期激烈博弈。

3.戰略打壓與反制的關(guān)系。與數據安全法同時(shí)頒布的反外國制裁法明確規定，外國以各種借口或者依據其本國法律對我國進(jìn)行遏制、打壓，對我國公民、組織采取歧視性限制措施，干涉我國內政的，我國有權采取相應反制措施。同時(shí)數據安全法明確規定，任何國家或者地區在與數據和數據開(kāi)發(fā)利用技術(shù)等有關(guān)的投資、貿易等方面對中國采取歧視性的禁止、限制措施的，中國可以對該國家或者地區采取對等措施。這表明我國既堅持數據自由流動(dòng)，又對他國不正當的歧視行為作出了有力的回應。

4.信息基礎設施依賴(lài)與數據安全的關(guān)系。隨著(zhù)云計算、大數據的快速普及，個(gè)人、企業(yè)、政務(wù)等各類(lèi)系統開(kāi)始日益依賴(lài)信息基礎設施，然而這些信息基礎設施大多由國內外大型信息技術(shù)企業(yè)運營(yíng)維護的。部署于這些信息基礎設施之上的系統及其數據控制權實(shí)際為這些大型企業(yè)所擁有。數據安全法規定，擁有國家機關(guān)數據控制權的企業(yè)必須履行數據保護義務(wù)。然而，目前對這些擁有國家機關(guān)數據控制權的企業(yè)很難進(jìn)行有效監督，也很難有效追究其數據泄露責任。因此，國家還需要進(jìn)一步明確信息基礎設施運營(yíng)者的數據安全責任，同時(shí)針對信息基礎設施運營(yíng)者建立行之有效的數據安全監管機制，以切實(shí)保障數據安全。

 對保密工作的啟示

 首先，可借鑒數據安全法統籌發(fā)展和安全的理念，在涉密的政務(wù)、軍工、科研等領(lǐng)域，引進(jìn)和研發(fā)新型數據處理基礎設施，推動(dòng)數據的高效利用與開(kāi)發(fā)，同時(shí)構建新型安全保密技術(shù)體系，保障重要數據的安全保密。

 其次，鑒于當前在線(xiàn)數據處理全面采用云計算或大數據等信息基礎設施，傳統基于網(wǎng)絡(luò )和終端的監管能力已力不從心，建議系統性構建面向新型信息基礎設施的數據安全保密監管體系，提升對網(wǎng)絡(luò )空間的安全保密監管能力。

 最后，隨著(zhù)“一帶一路”倡議的推進(jìn)，以及我國各個(gè)領(lǐng)域的全球影響力提升，我國涉密數據處理也必然要實(shí)現全球化布局，在這樣的格局下，域外數據處理的保密管理也需要從法律、法規到技術(shù)體系的有力支撐。

（轉載自《保密工作》雜志2021年第9期）