《數(shù)據(jù)安全法》要點解讀

1、數(shù)據(jù)平安法要點解讀數(shù)據(jù)平安法要點解讀2021年6月10日，第十 三屆全國人民代表大會常務(wù)委 員會第二十九次會議通過數(shù)據(jù) 平安法三審稿，該法將于 2021年9月1日起正式施行。數(shù)據(jù)平安法全文共七章五十 五條，分別從數(shù)據(jù)平安與開展、 數(shù)據(jù)平安制度、數(shù)據(jù)平安保護 義務(wù)、政務(wù)數(shù)據(jù)平安與開放的 角度對數(shù)據(jù)平安保護的義務(wù)和 相應(yīng)法律責任進行規(guī)定。本文 將對數(shù)據(jù)平安法的立法沿革 和重點條款進行解讀，以期幫 助市場參與者在新法生效前及 時做好數(shù)據(jù)平安建設(shè)，降低合 規(guī)風險。一、數(shù)據(jù)平安法 的立法沿革2020年6月28日，第十 三屆全國人大常委會第二十次 會議對數(shù)據(jù)平安法（草案） 進行了初次審議。2021年4月

2、29日，中國人大網(wǎng)公布了數(shù) 據(jù)平安法（草案）的二審稿。 二審稿的主要亮點在于將數(shù)據(jù) 分類分級制度作為數(shù)據(jù)平安的 基本核心制度，強化了等保的 基礎(chǔ)作用，提出明確數(shù)據(jù)平安 負責人和管理機構(gòu)的要求，明 確關(guān)鍵信息基礎(chǔ)設(shè)施的運營者 在重要數(shù)據(jù)的出境方面的義務(wù) 和責任，調(diào)整數(shù)據(jù)處理服務(wù)的 資質(zhì)要求，加強向涉外司法機 構(gòu)提供數(shù)據(jù)的監(jiān)管，大幅加重 不履行數(shù)據(jù)平安保護義務(wù)的法 律責任及拒不配合數(shù)據(jù)調(diào)取的 法律責任等。在近日通過的最終三審 稿中，與二審稿相比，主要 的亮點和變化表達在明確國 家機關(guān)在數(shù)據(jù)平安管理的職就中介機構(gòu)需要進行審 核的內(nèi)容而言，數(shù)據(jù)平安法 要求中介機構(gòu)審核交易雙方 的身份，關(guān)于審核的具體內(nèi)

3、 容、進行形式審核或?qū)嵸|(zhì)審 核、供需方的合規(guī)風險是否 傳導到中介機構(gòu)等內(nèi)容還有 待立法和司法的進一步明 確。就數(shù)據(jù)處理的行政許可 而言，數(shù)據(jù)平安法為后續(xù) 數(shù)據(jù)交易的準入預(yù)留了 口子。 結(jié)合近期的立法和監(jiān)管動向， 例如征信業(yè)務(wù)管理方法（征 求意見稿）和人行批準個人 征信業(yè)務(wù)許可，后續(xù)可能會 在多行業(yè)、多領(lǐng)域?qū)κ袌龅?準入等環(huán)節(jié)加強監(jiān)管。第五章第三十八條國家 機關(guān)為履行法定職責的需要 收集、使用數(shù)據(jù)，應(yīng)當在其 履行法定職責的范圍內(nèi)依照 法律、行政法規(guī)規(guī)定的條件和程序進行；對在履行職責 中知悉的個人隱私、個人信 息、商業(yè)秘密、保密商務(wù)信 息等數(shù)據(jù)應(yīng)當依法予以保密, 不得泄露或者非法向他人提 供。第五

4、章第三十九條國家 機關(guān)應(yīng)當依照法律、行政法 規(guī)的規(guī)定，建立健全數(shù)據(jù)安 全管理制度，落實數(shù)據(jù)平安 保護責任，保障政務(wù)數(shù)據(jù)安 全。10第五章第四十條國家機 關(guān)委托他人建設(shè)、維護電子 政務(wù)系統(tǒng)，存儲、加工政務(wù) 數(shù)據(jù)，應(yīng)當經(jīng)過嚴格的批準 程序，并應(yīng)當監(jiān)督受托方履 行相應(yīng)的數(shù)據(jù)平安保護義務(wù)。 受托方應(yīng)當依照法律、法規(guī) 的規(guī)定和合同約定履行數(shù)據(jù) 平安保護義務(wù)，不得擅自留 存、使用、泄露或者向他人 提供政務(wù)數(shù)據(jù)。政務(wù)數(shù)據(jù)已成為促進政 府科學決策、提高公共管理 效能的重要資源，疫情催生 的大量公共服務(wù)數(shù)據(jù)采集、 分析工具也進一步提升了政 務(wù)數(shù)據(jù)的體量和質(zhì)量。數(shù)據(jù) 平安法敏銳洞察到政府履職 過程中收集、使用數(shù)據(jù)

5、的安 全合規(guī)、數(shù)據(jù)保密、數(shù)據(jù)共 享和委托第三方設(shè)計、運維 電子政務(wù)系統(tǒng)帶來的平安問 題，并要求相關(guān)國家機關(guān)制 定完善的數(shù)據(jù)平安管理制度、 嚴格的批準程序以應(yīng)對實踐 中存在的數(shù)據(jù)泄露等平安風 險。第六章第四十一條國家 機關(guān)應(yīng)當遵循公正、公平、 便民的原那么，按照規(guī)定及時、 準確地公開政務(wù)數(shù)據(jù)。依法 不予公開的除外。建統(tǒng)一規(guī)范、互聯(lián)互通、安 全可控的政務(wù)數(shù)據(jù)開放平臺, 推動政務(wù)數(shù)據(jù)開放利用。第六章第四十二條國家 制定政務(wù)數(shù)據(jù)開放目錄，構(gòu)11在數(shù)據(jù)平安保障的大前 提下，數(shù)據(jù)平安法明確了 政務(wù)數(shù)據(jù)以公開為原那么、不 公開為例外的基本理念。在 政務(wù)數(shù)據(jù)的互聯(lián)互通方面， 基于實踐中普遍存在的政務(wù) 數(shù)據(jù)”不

6、愿開放、不敢開放、 不會開放”孤島，數(shù)據(jù)平安 法要求在國家層面建立政務(wù) 數(shù)據(jù)開放平臺，并通過政務(wù) 數(shù)據(jù)開放目錄的形式應(yīng)對政 務(wù)數(shù)據(jù)領(lǐng)域數(shù)據(jù)資源碎片化、 政務(wù)開展不均衡、政務(wù)協(xié)同 缺乏互信基礎(chǔ)等現(xiàn)實問題。責和配合機制，強調(diào)對重要 數(shù)據(jù)重點保護，強調(diào)智能化 公共服務(wù)對老年人等的適用 性，完善政務(wù)數(shù)據(jù)平安保障, 并進一步加大對違法行為的 處分力度。二、數(shù)據(jù)平安法 重點條款解讀第一章第五條中央國家 平安領(lǐng)導機構(gòu)負責國家數(shù)據(jù) 平安工作的決策和議事協(xié)調(diào), 研究制定、指導實施國家數(shù) 據(jù)平安戰(zhàn)略和有關(guān)重大方針 政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安 全的重大事項和重要工作， 建立國家數(shù)據(jù)平安工作協(xié)調(diào) 機制。第一章第六條各地

7、區(qū)、 各部門對本地區(qū)、本部門工 作中收集和產(chǎn)生的數(shù)據(jù)及數(shù) 據(jù)平安負責。工業(yè)、電信、 交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管 部門承當本行業(yè)、本領(lǐng)域數(shù) 據(jù)平安監(jiān)管職責。公安機關(guān)、國家平安機 關(guān)等依照本法和有關(guān)法律、 行政法規(guī)的規(guī)定，在各自職 責范圍內(nèi)承當數(shù)據(jù)平安監(jiān)管 職責。國家網(wǎng)信部門依照本法 和有關(guān)法律、行政法規(guī)的規(guī) 定，負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù) 平安和相關(guān)監(jiān)管工作。數(shù)據(jù)平安法作為數(shù)據(jù) 平安領(lǐng)域最高位階的專門法, 與2017年6月1日起施行的 網(wǎng)絡(luò)平安法一起補充了 國家平安法框架下的平安 治理法律體系，更全面地保 障了國家平安在各行業(yè)、各 領(lǐng)域保障的有法可依。就監(jiān)管機構(gòu)而言，國家 平安機

8、構(gòu)、公安機關(guān)、網(wǎng)信 部門、以及工業(yè)、電信、交 通、金融等主管部門均有權(quán) 在各自的職權(quán)范圍內(nèi)對數(shù)據(jù) 平安進行監(jiān)督和管理。因此, 數(shù)據(jù)平安法延續(xù)了網(wǎng)絡(luò) 平安法生效以來的“一軸兩 翼多級”的監(jiān)管體系?！?一 軸”指國家平安機關(guān)，兩翼 指公安機關(guān)和網(wǎng)信部門，多 級在行業(yè)橫向范圍主要表達 在工業(yè)、電信、交通、金融 等行業(yè)主管部門的共同參與, 在行政架構(gòu)方面主要表達在 各地區(qū)、各部門對工作中收 集和產(chǎn)生的數(shù)據(jù)進行平安管 理上。第一章第十條相關(guān)行業(yè) 組織按照章程，依法制定數(shù) 據(jù)平安行為規(guī)范和團體標準, 加強行業(yè)自律，指導會員加 強數(shù)據(jù)平安保護，提高數(shù)據(jù) 平安保護水平，促進行業(yè)健 康開展。第二章第十六條國家促

9、 進數(shù)據(jù)平安檢測評估、認證 等服務(wù)的開展，支持數(shù)據(jù)安 全檢測評估、認證等專業(yè)機 構(gòu)依法開展服務(wù)活動。第二章第十七條國家推 進數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù) 平安標準體系建設(shè)。國務(wù)院 標準化行政主管部門和國務(wù) 院有關(guān)部門根據(jù)各自的職責, 組織制定并適時修訂有關(guān)數(shù) 據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù) 據(jù)平安相關(guān)標準。國家支持 企業(yè)、社會團體和教育、科 研機構(gòu)等參與標準制定。在數(shù)據(jù)平安技術(shù)開展日 新月異的背景下，立法的要 求無法完全與科技開展保持 同步，行業(yè)協(xié)會、評估認證 專業(yè)機構(gòu)和標準化機構(gòu)等組 織在推動技術(shù)開展、完善合 規(guī)建設(shè)和實現(xiàn)行業(yè)自律方面的作用得到了法律的充分認 可。為了能夠及時與行業(yè)的 最新開展同步、參與

10、引領(lǐng)行 業(yè)開展的方向，建議市場參 與者積極加入有關(guān)行業(yè)協(xié)會 或組織，踴躍參與行業(yè)標準 的討論，積極提供企業(yè)在安 全合規(guī)建設(shè)中探索出的實踐 經(jīng)驗，并以行業(yè)最正確實踐為 基線實時推進企業(yè)內(nèi)部的合 規(guī)建設(shè)。行業(yè)協(xié)會也可作為 傳達行業(yè)普遍面臨的難題和 最新技術(shù)進展的重要媒介， 積極與監(jiān)管形成有益、互信 的良好互動。在評估、認證方面，專 業(yè)機構(gòu)可基于對行業(yè)的深度 認知、在咨詢過程中積累的 豐富行業(yè)經(jīng)驗，幫助行業(yè)的 新進者識別合規(guī)義務(wù)和錨定 風險隱患，有針對性地提出合規(guī)改進方案和措施，幫助 相關(guān)企業(yè)降低合規(guī)風險。第二章第十五條國家支 持開發(fā)利用數(shù)據(jù)提升公共服 務(wù)的智能化水平。提供智能 化公共服務(wù)，應(yīng)當充分

11、考慮 老年人、殘疾人的需求，避 免對老年人、殘疾人的日常 生活造成障礙。疫情期間基于大數(shù)據(jù)的 公共服務(wù)應(yīng)用得到迅速的推 廣，與個人生活的參與深度 也得到前所未有的提升。但 高齡、視障等群體由于不會 使用智能手機進行付款、預(yù) 約等操作而舉步維艱。在防 疫智能應(yīng)用迅速根據(jù)疫情需 要進行適老化調(diào)整后，大量 其他與生活息息相關(guān)的應(yīng)用 仍可能將局部人群排除在智 能化、數(shù)字化的生活之外。數(shù)據(jù)平安法將智能化公共 服務(wù)滿足老年人、殘疾人的需求列入國家重點支持的范 圍之內(nèi)，充分表達了國家對 弱勢群體需求的關(guān)注。第三章第二十一條國家 建立數(shù)據(jù)分類分級保護制度, 根據(jù)數(shù)據(jù)在經(jīng)濟社會開展中 的重要程度，以及一旦遭到

12、篡改、破壞、泄露或者非法 獲取、非法利用，對國家安 全、公共利益或者個人、組 織合法權(quán)益造成的危害程度, 對數(shù)據(jù)實行分類分級保護。 國家數(shù)據(jù)平安工作協(xié)調(diào)機制 統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要 數(shù)據(jù)目錄，加強對重要數(shù)據(jù) 的保護。關(guān)系國家平安、國民經(jīng) 濟命脈、重要民生、重大公 共利益等數(shù)據(jù)屬于國家核心 數(shù)據(jù)，實行更加嚴格的管理 制度。各地區(qū)、各部門應(yīng)當按 照數(shù)據(jù)分類分級保護制度， 確定本地區(qū)、本部門以及相 關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具 體目錄，對列入目錄的數(shù)據(jù) 進行重點保護。網(wǎng)絡(luò)平安法第21條 首次提出了數(shù)據(jù)分類分級保 護制度，數(shù)據(jù)平安法進一 步明確了相關(guān)部門在分類分 級保護和重要數(shù)據(jù)保護中的 職能。數(shù)據(jù)平安

13、法原那么性 規(guī)定了數(shù)據(jù)分類分級的依據(jù) 為在經(jīng)濟社會開展中的重要 程度和遭到篡改、泄露等情 形時的危害程度。由于不同 行業(yè)、不同地區(qū)數(shù)據(jù)分類分 級的具體規(guī)那么和考慮因素差 異巨大，數(shù)據(jù)平安法將重 要數(shù)據(jù)具體目錄和具體分類 分級保護制度的制定權(quán)限下 放到行業(yè)主管部門和各地區(qū) 國家機關(guān)，充分平衡了法律 規(guī)定的普適性和靈活性。對 于市場參與者而言，我們建 議首先關(guān)注工業(yè)數(shù)據(jù)分級分 類指南(試行)、基礎(chǔ)電 信企業(yè)數(shù)據(jù)分類分級方法 (YD / T3813-2020)、個 人金融信息保護技術(shù)規(guī)范(JR / T0171-2020)等行業(yè) 數(shù)據(jù)分級分類的國家標準， 另外也需要密切關(guān)注地方行 業(yè)主管部門發(fā)布的數(shù)據(jù)

14、分類 分級目錄等要求。第三章第二十二條國家 建立集中統(tǒng)一、高效權(quán)威的 數(shù)據(jù)平安風險評估、報告、 信息共享、監(jiān)測預(yù)警機制。 國家數(shù)據(jù)平安工作協(xié)調(diào)機制 統(tǒng)籌協(xié)調(diào)有關(guān)部門加強數(shù)據(jù) 平安風險信息的獲取、分析、 研判、預(yù)警工作。第三章第二十三條國家 建立數(shù)據(jù)平安應(yīng)急處置機制。 發(fā)生數(shù)據(jù)平安事件，有關(guān)主管部門應(yīng)當依法啟動應(yīng)急預(yù) 案，采取相應(yīng)的應(yīng)急處置措 施，防止危害擴大，消除安 全隱患，并及時向社會發(fā)布 與公眾有關(guān)的警示信息。第三章第二十四條國家 建立數(shù)據(jù)平安審查制度，對 影響或者可能影響國家平安 的數(shù)據(jù)處理活動進行國家安 全審查。依法作出的平安審 查決定為最終決定。數(shù)據(jù)平安法提出建立 數(shù)據(jù)平安風險評估、

15、平安事 件報告制度、監(jiān)測預(yù)警機制 應(yīng)急處置機制和平安審查等 制度，有望在后期逐步推出 具體機制體制的主管機構(gòu)、 適用范圍、評估審查模式等 配套制度。值得注意的是， 國家依法作出的數(shù)據(jù)平安審 查決定為最終決定，這意味 著相關(guān)具體行政行為將無法 通過行政復議、行政訴訟等 形式進行救濟。第三章第二十五條國家 對與維護國家平安和利益、 履行國際義務(wù)相關(guān)的屬于管 制物項的數(shù)據(jù)依法實施出口 管制。第三章第二十六條任何 國家或者地區(qū)在與數(shù)據(jù)和數(shù) 據(jù)開發(fā)利用技術(shù)等有關(guān)的投 資、貿(mào)易等方面對采取歧視 性的禁止、限制或者其他類 似措施的，可以根據(jù)實際情 況對該國家或者地區(qū)對等采 取措施。在國際競爭逐步蔓延到 數(shù)據(jù)

16、、網(wǎng)絡(luò)領(lǐng)域后，各國之 間的摩擦頻發(fā)。例如2020年8 月，美國以保護國家平安為 由，要求字節(jié)跳動出售 TikTok應(yīng)用程序及業(yè)務(wù)。美 國對TikTok的封殺反映了外 國投資審查現(xiàn)代化法對涉及 美國公民敏感信息和來自于 特殊國家投資工程嚴加審查 的立法和執(zhí)法態(tài)度。我國數(shù) 據(jù)平安法一方面明確維護國 家平安和利益、履行國際義 務(wù)可作為禁止相關(guān)數(shù)據(jù)出口 的合法依據(jù)，另一方面明確 了對外國在數(shù)據(jù)領(lǐng)域的投資、 貿(mào)易歧視可采取對等反制措 施的立法主張，充分表達了 我國在網(wǎng)絡(luò)數(shù)據(jù)空間主張數(shù) 據(jù)主權(quán)的立法思想。第四章第二十七條開展 數(shù)據(jù)處理活動應(yīng)當依照法律、 法規(guī)的規(guī)定，建立健全全流 程數(shù)據(jù)平安管理制度，組織

17、開展數(shù)據(jù)平安教育培訓，采 取相應(yīng)的技術(shù)措施和其他必 要措施，保障數(shù)據(jù)平安。利 用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù) 據(jù)處理活動，應(yīng)當在網(wǎng)絡(luò)安 全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)平安保護義 務(wù)。重要數(shù)據(jù)的處理者應(yīng)當 明確數(shù)據(jù)平安負責人和管理 機構(gòu)，落實數(shù)據(jù)平安保護責 任。第四章第二十九條開展 數(shù)據(jù)處理活動應(yīng)當加強風險 監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)平安缺陷、 漏洞等風險時，應(yīng)當立即采 取補救措施；發(fā)生數(shù)據(jù)平安 事件時，應(yīng)當立即采取處置 措施，按照規(guī)定及時告知用 戶并向有關(guān)主管部門報告。第四章第三十條重要數(shù) 據(jù)的處理者應(yīng)當按照規(guī)定對 其數(shù)據(jù)處理活動定期開展風 險評估，并向有關(guān)主管部門 報送風險評估報告。風險評估報告應(yīng)當包括

18、 處理的重要數(shù)據(jù)的種類、數(shù) 量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)平安風險及 其應(yīng)對措施等。第四章第三十一條關(guān)鍵 信息基礎(chǔ)設(shè)施的運營者在境 內(nèi)運營中收集和產(chǎn)生的重要 數(shù)據(jù)的出境平安管理，適用 網(wǎng)絡(luò)平安法的規(guī)定；其他 數(shù)據(jù)處理者在境內(nèi)運營中收 集和產(chǎn)生的重要數(shù)據(jù)的出境 平安管理方法，由國家網(wǎng)信 部門會同國務(wù)院有關(guān)部門制 定。數(shù)據(jù)平安法明確了開 展數(shù)據(jù)處理活動的市場參與 者應(yīng)當建立完善的數(shù)據(jù)平安 管理制度、進行平安教育培 訓、風險監(jiān)測和報告，采用 技術(shù)手段落實內(nèi)部制度的規(guī) 定。因此，數(shù)據(jù)平安合規(guī)制 度的建設(shè)已成為企業(yè)應(yīng)當履 行的法律義務(wù)。數(shù)據(jù)平安法 延續(xù)網(wǎng)絡(luò)平安法的規(guī)定， 對重要數(shù)據(jù)提出更高的數(shù)據(jù) 保護要求，具體的法律義務(wù) 包括明確數(shù)據(jù)平安負責人和 管理機構(gòu)、開展風險評估并 報送報告、符合數(shù)據(jù)出境安 全管理要求等。就風險評估 本身而言，關(guān)于評估的具體 主體、報告報送的對象、評 估的頻率有待后續(xù)立法進一 步明確。數(shù)據(jù)平安法也在法律 責任的局部明確了不履行第 二十七、二十九、三十條規(guī) 定的數(shù)據(jù)平安保護義務(wù)、尚 未造成數(shù)據(jù)泄露等后果的， 主管部門也可以采取責令改 正、警告、罰款等行政處分 措施。在相關(guān)制度不健全， 且拒不改正或造成大量數(shù)據(jù) 泄露等嚴重