中華人民共和國數據安全法

法律法規

《中華人民共和國數據安全法》是一部條件比較成熟、任期內擬提請審議的法律草案。

《中華人民共和國數據安全法》(草案)6月28日在第十三屆全國人大常委會第二十次會議審議。

2020年7月3日,《中華人民共和國數據安全法(草案)》全文在中國人大網公開徵求意見。草案內容共7章51條,提出國家將對數據實行分級分類保護、開展數據活動必須履行數據安全保護義務承擔社會責任等。

2021年6月10日,十三屆全國人大常委會第二十九次會議表決通過《中華人民共和國數據安全法》。

2021年9月1日,《中華人民共和國數據安全法》正式落地實施。

出台曆程


,屆委布規劃(共件),《華共據》類項:件較熟、擬提請審議律草案。
,席習近簽署八號席令,《華共據》華共屆務委二九議,予布,施。
,《華共據》(草案)屆委二議審議。,《華共據(草案)》網布,徵求。草案容共章,提據級類保護、展據必須履據保護義務承擔社責。徵求截止。

表決通過


2021年6月10日,國家主席習近平簽署了第八十四號主席令,第八十四號主席令說,《中華人民共和國數據安全法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議於2021年6月10日通過,現予公布,自2021年9月1日起施行。

主要內容


1、確立數據分級分類管理以及風險評估,檢測預警和應急處置等數據安全管理各項基本制度;
2、明確開展數據活動的組織、個人的數據安全保護義務,落實數據安全保護責任;
3、堅持安全與發展並重,鎖定支持促進數據安全與發展的措施;
4、建立保障政務數據安全和推動政務數據開放的制度措施。

全文內容


第一章:總則
第二章:數據安全與發展
第三章:數據安全制度
第四章:數據安全保護義務
第五章:政務數據安全與開放
第六章:法律責任
第七章:附則
第一章:總則
第一條:為了規範數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,制定本法。
第二條:在中華人民共和國境內開展數據處理活動及其安全監管,適用本法。
在中華人民共和國境外開展數據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。
第三條:本法所稱數據,是指任何以電子或者其他方式對信息的記錄。
數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。
數據安全,是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
第四條:維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
第五條:中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。
第六條:各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責範圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網路數據安全和相關監管工作。
第七條:國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。
第八條:開展數據處理活動,應當遵守法律、法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。
第九條:國家支持開展數據安全知識宣傳普及,提高全社會的數據安全保護意識和水平,推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作,形成全社會共同維護數據安全和促進發展的良好環境。
第十條:相關行業組織按照章程,依法制定數據安全行為規範和團體標準,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。
第十一條:國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。
第十二條:任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。
有關主管部門應當對投訴、舉報人的相關信息予以保密,保護投訴、舉報人的合法權益。
第二章:數據安全與發展
第十三條:國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。
第十四條:國家實施大數據戰略,推進數據基礎設施建設,鼓勵和支持數據在各行業、各領域的創新應用。
省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃,並根據需要制定數字經濟發展規劃。
第十五條:國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
第十六條:國家支持數據開發利用和數據安全技術研究,鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新,培育、發展數據開發利用和數據安全產品、產業體系。
第十七條:國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定並適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。
第十八條:國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防範、處置等方面開展協作。
第十九條:國家建立健全數據交易管理制度,規範數據交易行為,培育數據交易市場。
第二十條:國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓,採取多種方式培養數據開發利用技術和數據安全專業人才,促進人才交流。
第三章:數據安全制度
第二十一條:國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。
關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據,實行更加嚴格的管理制度。
各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
第二十二條:國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。
第二十三條:國家建立數據安全應急處置機制。發生數據安全事件,有關主管部門應當依法啟動應急預案,採取相應的應急處置措施,防止危害擴大,消除安全隱患,並及時向社會發布與公眾有關的警示信息。
第二十四條:國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
依法作出的安全審查決定為最終決定。
第二十五條:國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的數據依法實施出口管制。
第二十六條:任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。
第四章:數據安全保護義務
第二十七條:開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施,保障數據安全。利用網際網路等信息網路開展數據處理活動,應當在網路安全等級保護制度的基礎上,履行上述數據安全保護義務。
重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
第二十八條:開展數據處理活動以及研究開發數據新技術,應當有利於促進經濟社會發展,增進人民福祉,符合社會公德和倫理。
第二十九條:開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告。
第三十條:重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。
風險評估報告應當包括處理的重要數據的種類、數量,開展數據處理活動的情況,面臨的數據安全風險及其應對措施等。
第三十一條:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
第三十二條:任何組織、個人收集數據,應當採取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
法律、行政法規對收集、使用數據的目的、範圍有規定的,應當在法律、行政法規規定的目的和範圍內收集、使用數據。
第三十三條:從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,並留存審核、交易記錄。
第三十四條:法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。
第三十五條:公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批准手續,依法進行,有關組織、個人應當予以配合。
第三十六條:中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。
第五章:政務數據安全與開放
第三十七條:國家大力推進電子政務建設,提高政務數據的科學性、準確性、時效性,提升運用數據服務經濟社會發展的能力。
第三十八條:國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的範圍內依照法律、行政法規規定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供。
第三十九條:國家機關應當依照法律、行政法規的規定,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。
第四十條:國家機關委託他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批准程序,並應當監督受託方履行相應的數據安全保護義務。受託方應當依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。
第四十一條:國家機關應當遵循公正、公平、便民的原則,按照規定及時、準確地公開政務數據。依法不予公開的除外。
第四十二條:國家制定政務數據開放目錄,構建統一規範、互聯互通、安全可控的政務數據開放平台,推動政務數據開放利用。
第四十三條:法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動,適用本章規定。
第六章:法律責任
第四十四條:有關主管部門在履行數據安全監管職責中,發現數據處理活動存在較大安全風險的,可以按照規定的許可權和程序對有關組織、個人進行約談,並要求有關組織、個人採取措施進行整改,消除隱患。
第四十五條:開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重後果的,處五十萬元以上二百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
第四十六條:違反本法第三十一條規定,向境外提供重要數據的,由有關主管部門責令改正,給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節嚴重的,處一百萬元以上一千萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。
第四十七條:從事數據交易中介服務的機構未履行本法第三十三條規定的義務的,由有關主管部門責令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得或者違法所得不足十萬元的,處十萬元以上一百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十八條:違反本法第三十五條規定,拒不配合數據調取的,由有關主管部門責令改正,給予警告,並處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
違反本法第三十六條規定,未經主管機關批准向外國司法或者執法機構提供數據的,由有關主管部門給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重後果的,處一百萬元以上五百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
第四十九條:國家機關不履行本法規定的數據安全保護義務的,對直接負責的主管人員和其他直接責任人員依法給予處分。
第五十條:履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的,依法給予處分。
第五十一條:竊取或者以其他非法方式獲取數據,開展數據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照有關法律、行政法規的規定處罰。
第五十二條:違反本法規定,給他人造成損害的,依法承擔民事責任。
違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第七章:附則
第五十三條:開展涉及國家秘密的數據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。
在統計、檔案工作中開展數據處理活動,開展涉及個人信息的數據處理活動,還應當遵守有關法律、行政法規的規定。
第五十四條:軍事數據安全保護的辦法,由中央軍事委員會依據本法另行制定。
第五十五條:本法自2021年9月1日起施行。

價值意義


數據安全法的獨特價值與深遠影響
第一,《數據安全法》獨特的立法定位,與其他法律迥然不同。此次《數據安全法》將數據和個人信息區分開來,不再沿用此前徵求意見時的立法思路。《數據安全法》與《個人信息保護法》兩者二分天下,《個人信息保護法》也在立法進程中,與《民法典》對“個人信息保護”立法思路一脈相承,與已有的《網路安全法》也有立場和體系的不同安排。這一立法思路更加科學清楚地劃分了不同法律的規範對象,相比較而言,《數據安全法》更加強調總體國家安全觀,對國家利益、公共利益和個人、組織合法權益給予全面保護,而《個人信息保護法》側重於對個人信息、隱私等涉及公民自身安全的保護。
第二,《數據安全法》與《網路安全法》的保護內容及範圍也各有差異。前者更加強調以數據為核心的對信息社會、數據時代的基礎性支持作用,與後者偏重於網際網路全網體系和設施安全形成鮮明對比;前者將“任何以電子或者非電子形式對信息的記錄”定義為數據,並不局限於網際網路和電子形式,比後者規範的範圍似乎更為廣泛。但是,上述三部法律又有共同之處,都是信息社會各社會主體行使權力或者權利、履行義務的最重要法律規範。
第三,《數據安全法》名為“安全法”,實質上是“促進法”。“安全法”是《數據安全法》之名稱,但其本質上是以安全為基礎和起點,根本目標或者終極目標是為數據作為生產要素能夠順暢加速流通,提供底線規範。無論是《數據安全法》第一條對立法目的的闡明,還是第二章以“數據安全與發展”說明不僅僅是為了保護數據安全,更重要的是為了保護數據安全與平衡發展。《數據安全法》通篇內容和具體條文上大量出現鼓勵性表達,都沒有將追求“絕對安全”、“完全無風險”、“封閉社會”和“保密文化”作為目標,而更多體現了以安全為基礎,為社會發展、產業勃興提供堅實保障的思想。從其立法目標和效果上來講,實為“數據時代促進法”。正如第十二條所言,“國家堅持維護數據安全和促進數據開發利用並重,以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。”
第四,《數據安全法》是承上啟下、承前啟後最重要的數據時代立法。在《數據安全法》之前,已經有不少行政法規、部門規章和地方性法規、地方政府規章等對涉及到數據安全問題有相應規定,數據企業、社會主體和各類機構也探索出很多維護數據安全的經驗做法,有些做法作為探索性做法,還缺乏法律依據,此次《數據安全法》在《憲法》《民法典》《行政處罰法》等基本法律的基礎上,對一系列重要制度作出規定,可謂“承上啟下”,為後續各類立法提供了法律依據。而且,還創設出一些新的制度安排,有待進一步細化,可謂“承前啟後”。

待完善


數據安全法有待細化和完善之處
《數據安全法》所規定的範圍不僅僅涉及安全問題,還對諸多與數據的收集、存儲、加工、使用、提供、交易、公開等行為,即“數據活動”作出規定,是規範數據活動的基本大法,細緻梳理全文,還有如下問題需要進一步予以明確,或者在相關下位法中做出細化規定。
第一,重要數據和數據分級分類管理制度有待健全。《數據保護法》全文有三個條款對“重要數據”做出規定,延續中國對數據分級分類管理的思路,如何為“重要數據”確定邊界。2017年5月27日全國信息安全標準化技術委員會曾公布的《信息安全技術數據出境安全評估指南》(徵求意見稿)中認為,“重要數據是指相關組織、機構和個人在境內收集、產生的不涉及國家秘密,但與國家安全、經濟發展以及公共利益密切相關的數據(包括原始數據和衍生數據)”。《數據安全法》對“重要數據”的界定採用兩個方法,一是在第十九條第一款,用概念表述來明晰確立數據分級分類管理,即“國家根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者公民、組織合法權益造成的危害程度”,僅從這一表述,還不足以認定哪一類或者哪些數據就是“重要數據”,重要到何種程度,必須結合具體分級分類認定。二是在第十九條二款以法律明確授權給多主體來參與到認定中來,貫穿了所謂“從上至下”又“從下至上”的多元治理,多主體包括各地區、各部門要確定本地區、本部門、本行業重要數據保護目錄。接下來的問題是,保護目錄本身的制定程序和目錄公布,也需要規範,必要情況下,可以考慮設置備案制度,對重要數據保護目錄規定要向省級部門備案,以防止在各地或者各行業制定目錄時,發生擴張權力或者放任權力的現象。三是該法第二十八條還規定了風險評估報告制度。重要數據處理者要定期報送風險評估報告,如何將這一行為義務轉化為真正對風險有所控制的制度,還需要其他制度支撐。倒推回來看,第二十五條規定,要求重要數據的處理者設立數據安全負責人和管理機構,來落實數據安全保護責任,應當是支撐制度之一,實踐中還需要探索更為多元有效的措施和辦法。
第二,政務數據開放制度措施有待細化。《數據安全法》將政務數據安全和數據開放在中央立法層面第一次做出清晰規定是本法的一大亮點,同樣貫穿了“以安全保障發展、以安全促進流動”的思路。比如第三十八條規定,“國家機關應當遵循公正、公平、便民的原則,按照規定及時、準確地公開政務數據。依法不予公開的除外”,就不是數據安全問題,而是數據開放問題。政務數據開放就全國範圍而言,一直是雷聲大、雨點小,與數據安全問題直接相關,受制於數據安全問責壓力,諸多政府及其部門對數據開放缺乏動力。貴州、浙江、重慶、上海等多地已經立法並對政務數據開放做出規定,但是國家尚未制定法律統一部署。此政務數據共享開放中的安全問題通過具體的法律義務設定,來免除疑慮、凝聚共識,為後續制定法規、規章提供法律依據,此次在《數據安全法》中做出制度安排,既體現立法者的智慧,更凸顯執政者的擔當。本次草案還可以再多一些規定,比如第三十九條所規定的,“構建統一規範、互聯互通、安全可控的政務數據開放平台”在其他相關文件中已有表述,本次上升為法律,還可以進一步規定,比如授權有條件省、自治區、直轄市,建立省內政務數據共享平台,進一步打破數據壁壘,解決條塊分割矛盾在政務數據應用中的問題。
第三,數據交易管理制度有待進一步規範。數據活動中,數據交易是極為關鍵的環節,對建立數字社會、打造數字城市、全面進入數字時代至關重要,但是由於學理上和法律上無法清晰界定數據權利邊界,數據交易也尚未能如願展開,制度上的障礙已經嚴重影響到現實發展。《數據安全法》在這一問題上也沒有囿於“安全”的狹窄範圍,延續了進一步促進數據流動的思路,大膽對數字交易管理作出了一些簡明扼要又切中要害的規定,比如第十七條明確提出國家要健全數據交易管理制度,規範數據交易行為,培育數據交易市場。第三十條規定了從事數據交易中介服務的機構的法定義務,第四十三條則規定了違反法定義務要承擔的法律責任,從而為數據交易中介服務機構的健康有序成長提供了堅實的法律保障。下一步可以以行政法規的形式對數據交易制度作出更為全面規定,並在自由貿易區自由貿易港等試驗區授權更大範圍、更具有前瞻性的數據交易做法。
第四,數據跨境執法規定有待落實。《數據保護法》第二條所規定的“中華人民共和國境外的組織、個人開展數據活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任”可以看作是近幾年對美國和歐盟相關法律將其本國執法延伸向外的回應,中國數據安全執法也將數據主權的問題第一次明確予以規定,意在創設與美國和歐盟不同的執法管轄,並且在主張數據主權和兼顧執法效果之間求得平衡。本條規定將通過具體執法案例發揮效力,下一步最為重要和關鍵的是建立健全數據執法體制機制,規範執法程序和流程,貫徹行政法律制度中的基本原則和精神,在具體案件執法中做到“公正、公平、公開”,以若干數據執法典型案件樹立法律權威,從而真正在主張數據主權時體現中國國家治理現代化的能力和水平。

專家解讀


《日本經濟新聞》報道,中國的《數據安全法》旨在加強數據管控,通過健全相關法律來促進國內對數據的使用,進而實現有序發展。該法是中國首部有關數據的全面法律,而數據決定著企業和國家的競爭力。報道還指出,中國政府將推進有關數據的基礎設施建設,確立數據安全標準和數據交易管理制度,培育數據交易市場。
路透社指出,《數據安全法》將是未來監管中國網際網路的重要法規之一,它為企業根據經濟價值和對中國國家安全的重要性對數據進行分類設定了框架。
數字經濟時代,數據已經成為基礎性、戰略性生產要素,成為決定各國數字經濟發展水平和競爭力的核心資源。9月1日正式實施的《中華人民共和國數據安全法》(以下簡稱《數據安全法》)是中國實施數據安全監督和管理的一部基礎法律,其根本目的就是要提升國家數據安全的保障能力和數字經濟的治理能力。《數據安全法》與已實施的《網路安全法》、《密碼法》及同時實施的《個人信息法》相輔相成,共同構成了中國數據安全的法律保障體系,成為推動我國數字經濟持續健康發展的堅實“防火牆”。
隨著數字經濟日益成為國際競爭的制高點,數據安全治理、數據安全保護立法也成為大國競爭和爭奪數字經濟領先地位的重要標誌。從全球範圍看,近年來,數據安全形勢日益嚴峻,損害個人隱私,攫取、破壞和濫用數據資源時有發生,嚴重危害社會公共利益乃至國家安全。許多國家都認識到數據安全的重要性,逐步開始實施相關法律,加大了數據安全治理力度。同時,在數據安全保護等方面的國際合作也在不斷加強。
近年來,中國數字經濟快速發展。相關數據顯示,2020年中國數字經濟規模已達到39.2萬億元人民幣,佔GDP的38.6%,居世界第二位,已成為中國經濟增長的重要引擎。因此,防範數據安全風險、構建數據安全保護體系、完善數據安全治理機制的重要性日益凸顯。《數據安全法》的實施,將改變長期以來對數據的“重搜集、輕保護”現象,樹立全民數據安全保護理念,為企業數據安全“保駕護航”,全面提升政府數據安全保護和數字經濟治理能力,推動數字經濟的國際合作和高質量發展,更好服務構建新發展格局,保障國家經濟安全。
《數據安全法》是兼顧發展與安全,深入、全面的數據安全保護法律規範,向世界展示了數據安全保護的“中國方案”。《數據安全法》不僅關注了與數據安全保護息息相關的重大問題,同時也闡明了數據安全與發展的關係,明確了未來數據治理的方向。一是要開展數據領域國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。二是要全面加強數據開放利用,推進數據開放利用技術和安全標準體系建設,建立健全數據交易管理制度。三是要建立分類分級數據保護制度,形成集中、統一、權威的數據安全機制,建立數據安全應急處理機制、數據安全審查制度、數據安全出口管制以及根據實際情況採取數據投資貿易反制措施等。四是明確數據安全保護義務,落實數據保護責任,加強數據安全風險監測、評估等。五是國家機關政務數據要建立健全數據安全管理制度,落實數據安全保護責任,及時、準確公開政府數據,構建統一、規範、互聯互通、安全可控的政務數據開放平台,推動政府數據開放利用。
《數據安全法》的實施有利於管理好、利用好數據資源,形成全社會共同維護數據安全和促進發展的良好環境。隨著該法深入實施和全社會數據安全保護理念和措施的不斷加強,其積極影響會全面顯現。一是有利於構建實質有效的個人信息和數據安全合規體系,為個人信息安全提供保護依據,減少個人隱私數據的泄露,切實保護中國企業和公民的信息及數據安全合法權益。二是促進以數據為核心資源的相關行業發展,尤其是5G、人工智慧、雲計算、大數據、區塊鏈等數字經濟產業的健康發展,杜絕數據的“地下黑色產業”以及各種盜用數據、買賣數據的非法行為。三是穩步推進數字強國建設,通過構建數據安全保障體系,充分發揮數據的基礎資源作用和引擎作用,形成數字經濟創新發展、傳統產業數字化轉型加快推進、新業態新模式不斷湧現的數字強國建設新局面。

社會評價


2021年2月,由中國計算機學會主辦、中國計算機學會計算機安全專業委員會承辦的2020年中國網路安全大事在京發布。通過對2020年重大網路安全事件的梳理,評選出10件2020年中國網路安全大事件。其中:數據安全法(草案)面向社會公眾徵求意見。2020年6月28日,《中華人民共和國數據安全法(草案)》在第十三屆全國人大常委會第二十次會議審議;7月2日,中國人大網公布了數據安全法(草案),並於7月3日至8月16日期間對大眾進行意見徵求。本法規草案主要是對數據、數據活動、數據安全給出了明確的定義,從總體國家安全觀的視角提出要求,建立健全數據安全協同治理體系,提高數據安全保障能力,促進數據開發利用,保護公民、組織的合法權益,維護國家主權、安全和發展利益。草案明確了數據安全主管機構的監管職責,建立健全了數據安全協同治理體系,提高了數據安全保障能力,促進了數據出境安全和自由流動,讓數據安全有法可依、有章可循,為數字化經濟的安全健康發展提供了有力支撐。(2020年中國網路安全大事件評)

草案二審


2021年4月26日,數據安全法草案提請十三屆全國人大常委會二次審議。草案充實數據出境安全管理的內容,明確了未經批准擅自向境外提供數據的處罰情況。
根據草案一審稿,網路安全法關於重要數據出境的安全評估等要求限於關鍵信息基礎設施。有的地方、部門提出,應根據實踐發展和數據安全管理工作的需要,相應擴大範圍。對此,二審稿增加一條規定:關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據的出境安全管理,適用網路安全法的規定;其他數據處理者在中國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
草案一審稿規定,境外司法和執法機構要求調取境內數據的,未經主管機關批准,不得提供。有的部門、專家建議,增加未經批准擅自提供數據的處罰規定,為有關組織、個人拒絕外國不合理要求提供更為充分的法律依據。
草案就此增加規定:未經主管機關批准向境外的司法或者執法機構提供數據的,由有關主管部門責令改正,給予警告,可以並處十萬元(人民幣,下同)以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處二萬元以上二十萬元以下罰款。

全國實施


深圳

2021年6月1日,深圳政府公布《深圳經濟特區數據條例(徵求意見稿)》(以下簡稱“《徵求意見稿》”),針對個人數據和公共數據的處理利用、數據市場的交易競爭以及數據安全等方面都作出了相應規定。《徵求意見稿》提到,“對交易條件相同的交易相對人實施差別待遇”的企業,如果情節嚴重或者造成嚴重後果,可由深圳市市場監督管理部門責令立即改正,沒收違法所得,並處以五千萬元以下或者上一年度營業額百分之五以下罰款。