2021年網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī) 新規(guī)評(píng)論文章集錦2022124215

行業(yè)文檔手冊(cè)2022年1月24日?D1ú??·?DDò챨????μμ×êá?

商業(yè)分析研究報(bào)告文檔2021年網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)

新規(guī)評(píng)論文章集錦分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告檔行業(yè)文手冊(cè)1.2.3.4.5.6.7.8.9.《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要點(diǎn)解讀“隱私”與“個(gè)人信息”別傻傻分不清個(gè)人信息保護(hù)工作機(jī)構(gòu)及負(fù)責(zé)人設(shè)置要求《個(gè)人信息保護(hù)法》八步走，落地路徑與實(shí)務(wù)解讀《重要數(shù)據(jù)識(shí)別指南》新版草案出臺(tái)，兼議十二項(xiàng)企業(yè)合規(guī)義務(wù)征信信息已成為保護(hù)重點(diǎn)——暨同步解讀《征信業(yè)務(wù)管理辦法》互聯(lián)網(wǎng)信息服務(wù)管理辦法大修，信息安全監(jiān)管釋放趨嚴(yán)信號(hào)《網(wǎng)絡(luò)交易監(jiān)督管理辦法》壓實(shí)平臺(tái)主體責(zé)任，企業(yè)未來該如何應(yīng)對(duì)？

2

24

38

45

58

76

87100

10410.

境外上市中的網(wǎng)絡(luò)安全審查11.

面對(duì)網(wǎng)絡(luò)安全審查，中概股企業(yè)需做何準(zhǔn)備？10912212.

企業(yè)數(shù)據(jù)出境評(píng)估指引暨《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》解讀

13413.

蘋果將實(shí)施史上最嚴(yán)厲隱私保護(hù)要求，定向廣告的嚴(yán)冬真的來了？14.

算法相關(guān)新型壟斷模式的法律風(fēng)險(xiǎn)15.

從《汽車數(shù)據(jù)安全管理若干規(guī)定》探索汽車數(shù)據(jù)的合規(guī)與發(fā)展附件一：《互聯(lián)網(wǎng)信息服務(wù)管理辦法》合規(guī)義務(wù)清單附件二：《網(wǎng)絡(luò)交易監(jiān)督管理辦法》合規(guī)義務(wù)清單附件三：App收集使用個(gè)人信息企業(yè)自評(píng)估核對(duì)清單

147

161

169

179194202商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

1

1

?D1ú??·?DDò챨????μμ×êá?

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)《數(shù)據(jù)安全法》正式出臺(tái)，

企業(yè)合規(guī)紅線，你了解嗎？2?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告商業(yè)市場(chǎng)調(diào)研報(bào)告是指調(diào)查和收集有關(guān)商業(yè)市場(chǎng)需求、消費(fèi)者行為、競(jìng)爭(zhēng)狀況、市場(chǎng)趨勢(shì)等方面的信息，從而為企業(yè)決策者提供有助于確定市場(chǎng)方向和制定營(yíng)銷策略的實(shí)用數(shù)據(jù)和建議。在當(dāng)今商業(yè)競(jìng)爭(zhēng)日益激烈的環(huán)境下，商業(yè)市場(chǎng)調(diào)研報(bào)告對(duì)企業(yè)的發(fā)展至關(guān)重要。商業(yè)市場(chǎng)調(diào)研報(bào)告的形式和內(nèi)容可因行業(yè)和目標(biāo)而異，通常包括市場(chǎng)情況、產(chǎn)品特色、消費(fèi)者行為和需求、競(jìng)爭(zhēng)對(duì)手及其策略等方面的信息。針對(duì)不同的信息，企業(yè)可以采用各種方式來獲取市場(chǎng)數(shù)據(jù)，如調(diào)查問卷、訪談、觀察等方式。在調(diào)研報(bào)告中，企業(yè)需要對(duì)市場(chǎng)數(shù)據(jù)和信息進(jìn)行分析，得出結(jié)論和建議，并據(jù)此提供具體的市場(chǎng)營(yíng)銷策略和行動(dòng)方案。此外，企業(yè)還應(yīng)該對(duì)己行動(dòng)的效果及時(shí)追蹤和評(píng)估，并針對(duì)性地調(diào)整和完善市場(chǎng)策略。商業(yè)市場(chǎng)調(diào)研過程中，我們首先需要考慮的是需要確定的目標(biāo)。調(diào)研目標(biāo)應(yīng)據(jù)此制定市場(chǎng)調(diào)研方案。通常包括需求滿足度、市場(chǎng)規(guī)模、產(chǎn)品可行性和客戶類型等。調(diào)研計(jì)劃的其他方面包括調(diào)研方式、調(diào)研時(shí)期和成本等。商業(yè)調(diào)研分析報(bào)告作用行業(yè)文檔手冊(cè)【前言】隨著信息技術(shù)和生產(chǎn)生活緊密融合，各行各業(yè)的數(shù)據(jù)迅猛增長(zhǎng)，并匯聚融合，對(duì)經(jīng)濟(jì)、社會(huì)和人民生活都產(chǎn)生了革命性的影響。數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與社會(huì)經(jīng)濟(jì)發(fā)展的重要課題?；诖耍?021年6月10日，第十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議審議并通過了《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱“《數(shù)據(jù)安全法》”），并于2021年9月1日起施行。《數(shù)據(jù)安全法》共七章五十五條，與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“《網(wǎng)絡(luò)安全法》”）、《數(shù)據(jù)安全管理辦法（征求意見稿）》（以下簡(jiǎn)稱“《數(shù)據(jù)安全管理辦法》”）相比，有較大的創(chuàng)新和突破，從國(guó)家法律的層面，對(duì)于國(guó)家與數(shù)據(jù)活動(dòng)實(shí)施者兩個(gè)角色，規(guī)定了一系列提升數(shù)據(jù)安全治理和數(shù)據(jù)開發(fā)利用水平的原則、制度與措施，落實(shí)主體責(zé)任；為適應(yīng)電子政務(wù)發(fā)展的需要，建立數(shù)據(jù)流通利用與安全管理的要求。正如新華社所評(píng)述，“制定數(shù)據(jù)安全法是維護(hù)國(guó)家安全的必然要求。數(shù)據(jù)是國(guó)家基礎(chǔ)性戰(zhàn)略資源，沒有數(shù)據(jù)安全就沒有國(guó)家安全。”下文將首先介紹《數(shù)據(jù)安全法》相較于二審稿的修改之處與亮點(diǎn)，其后總結(jié)了《數(shù)據(jù)安全法》的合規(guī)要點(diǎn)，以期幫助企業(yè)了解立法精神，梳理合規(guī)義務(wù)，厘清基本紅線。《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？3?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)維護(hù)和確立國(guó)家數(shù)據(jù)主權(quán)、安全和發(fā)展利益，正是當(dāng)今時(shí)代賦予的新課題。4

?D1ú??·?DDò챨????μμ×êá?

《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？商業(yè)分析研究報(bào)告文檔

一、《數(shù)據(jù)安全法》正式稿相較于

二審稿的修改亮點(diǎn)

（一）建立工作協(xié)調(diào)機(jī)制，完善數(shù)據(jù)安全領(lǐng)域治理體系

《數(shù)據(jù)安全法》第五、六條明確了數(shù)據(jù)安全領(lǐng)域內(nèi)治理體系的頂層設(shè)計(jì)，即中央國(guó)家安全領(lǐng)導(dǎo)

機(jī)構(gòu)負(fù)責(zé)國(guó)家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究和制定重大方針政策，統(tǒng)籌協(xié)調(diào)國(guó)家數(shù)據(jù)

安全的重大事項(xiàng)和重要工作，建立國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制；各地區(qū)、各部門對(duì)本地區(qū)、本

部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé)。工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國(guó)

防科技工業(yè)、金融業(yè)等行業(yè)主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)；并且，由公安機(jī)

關(guān)和國(guó)家安全機(jī)關(guān)承擔(dān)其范圍內(nèi)的監(jiān)管職責(zé)；最后由國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全的監(jiān)

督管理工作，這與國(guó)家網(wǎng)信部門的一貫職責(zé)與功能是配套和銜接的。

從以上表述可以看出，相較于《數(shù)據(jù)安全管理辦法》和《網(wǎng)絡(luò)安全法》所涉及的監(jiān)管部門權(quán)屬

劃分，《數(shù)據(jù)安全法》既有保留也有突破。在網(wǎng)絡(luò)監(jiān)管方面，《數(shù)據(jù)安全法》沿襲了“網(wǎng)信部

門+公安部門+國(guó)務(wù)院其他下屬機(jī)構(gòu)聯(lián)動(dòng)”的監(jiān)管體系，但值得注意的是，《數(shù)據(jù)安全法》首次

將數(shù)據(jù)安全全局決策統(tǒng)籌工作升格至中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)，與《國(guó)家安全法》保持一致，從

側(cè)面鞏固了數(shù)據(jù)安全在國(guó)家安全體系中的重要地位，以基本法成文化的方式將數(shù)據(jù)安全工作上

升至國(guó)家安全最高監(jiān)管和行動(dòng)決策的層級(jí)。

盡管我國(guó)近年來持續(xù)加快對(duì)數(shù)據(jù)以及個(gè)人信息保護(hù)方面的立法進(jìn)度，比如《民法典》人格權(quán)編

中對(duì)個(gè)人信息保護(hù)做出了原則性規(guī)定，出臺(tái)了包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全管理辦法》《信

息安全技術(shù)

個(gè)人信息安全規(guī)范》等一系列法律法規(guī)、部門規(guī)章和國(guó)家標(biāo)準(zhǔn)，但仍然存在法律

效力有限、規(guī)定分散、體系不完備的問題?！稊?shù)據(jù)安全法》此次將數(shù)據(jù)安全集中、專門地反映

在一部基本法中，完善了我國(guó)在數(shù)據(jù)保護(hù)領(lǐng)域的立法架構(gòu)，也為后續(xù)配套文件的跟進(jìn)提供了堅(jiān)

實(shí)的基礎(chǔ)。

總體來說，國(guó)家從戰(zhàn)略和規(guī)劃層面上重視數(shù)據(jù)的保護(hù)與應(yīng)用，也意味著企業(yè)需要更加謹(jǐn)慎地處

理數(shù)據(jù)，不但需從自身角度，還要從維護(hù)國(guó)家利益層面上履行數(shù)據(jù)安全保護(hù)義務(wù)、承擔(dān)社會(huì)責(zé)

任，不得危害國(guó)家安全與社會(huì)、公共利益。

（二）明確關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈等重要數(shù)據(jù)的重要性

《數(shù)據(jù)安全法》第四條規(guī)定，維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀。這一概念是以人民安

全為宗旨，以政治安全為根本，以經(jīng)濟(jì)安全為基礎(chǔ)，以軍事、文化、社會(huì)安全為保障，以促進(jìn)

國(guó)際安全為依托的全方位國(guó)家安全體系。這條規(guī)定呼應(yīng)了《國(guó)家安全法》第二十五條所提出的，

國(guó)家應(yīng)建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全防護(hù)能力，維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、

安全和發(fā)展利益。在各國(guó)數(shù)據(jù)博弈深化的國(guó)際背景下，主權(quán)已經(jīng)不再局限于一國(guó)領(lǐng)土而是拓展

至網(wǎng)絡(luò)空間中的數(shù)據(jù)和設(shè)施，數(shù)據(jù)要素已經(jīng)成為國(guó)家基礎(chǔ)性和戰(zhàn)略性資源，數(shù)據(jù)安全已經(jīng)成為

國(guó)家安全不可或缺的組成部分。應(yīng)對(duì)數(shù)據(jù)可能帶來的非傳統(tǒng)領(lǐng)域的國(guó)家安全風(fēng)險(xiǎn)與挑戰(zhàn)，切實(shí)分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)《數(shù)據(jù)安全法》第二十一條第二款則進(jìn)一步強(qiáng)調(diào)關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。這一點(diǎn)也在罰則部分有所體現(xiàn)，《數(shù)據(jù)安全法》最終稿新增的第四十五條第二款明確，違反國(guó)家核心數(shù)據(jù)管理制度，危害國(guó)家主權(quán)、安全和發(fā)展利益的，由有關(guān)主管部門處二百萬元以上一千萬元以下的罰款，并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照；構(gòu)成犯罪的，依法追究刑事責(zé)任。（三）進(jìn)一步完善保障政務(wù)數(shù)據(jù)的規(guī)定為保障政務(wù)數(shù)據(jù)安全，并推動(dòng)政務(wù)數(shù)據(jù)開放利用，《數(shù)據(jù)安全法》第五章對(duì)國(guó)家機(jī)關(guān)收集、使用、運(yùn)用數(shù)據(jù)的行為、能力提出了要求（第三十七條到四十三條）。國(guó)家機(jī)關(guān)為履行法定職責(zé)的需要收集、使用數(shù)據(jù)時(shí)，應(yīng)當(dāng)對(duì)其在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)依法予以保密，不得泄露或者非法向他人提供（第三十八條）。其次，第四十條對(duì)國(guó)家機(jī)關(guān)委托他人存儲(chǔ)、加工或者向他人提供政務(wù)數(shù)據(jù)的審批要求和監(jiān)督義務(wù)做出了規(guī)定，并明確受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)。國(guó)家機(jī)關(guān)還應(yīng)按照規(guī)定及時(shí)準(zhǔn)確公開政務(wù)數(shù)據(jù)，制定開放目錄，構(gòu)建互聯(lián)互通、安全可控的開放平臺(tái)（第四十一、四十二條）?！稊?shù)據(jù)安全法》雖未對(duì)政務(wù)數(shù)據(jù)進(jìn)行定義，但可以根據(jù)今年6月17日浙江省發(fā)布的全國(guó)首部公共數(shù)據(jù)開放辦法《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》（下稱《公共數(shù)據(jù)暫行辦法》）對(duì)“公共數(shù)據(jù)”的界定汲取經(jīng)驗(yàn)。公共數(shù)據(jù)指各級(jí)行政機(jī)關(guān)以及具有公共管理和服務(wù)職能的事業(yè)單位，在依法履行職責(zé)過程中獲得的各類數(shù)據(jù)資源。聯(lián)系實(shí)際而言，可能包含政府才有權(quán)利采集的數(shù)據(jù)，如資源、稅收數(shù)據(jù)，政府在提供服務(wù)過程中所收集的公民消費(fèi)和檔案數(shù)據(jù)，如社會(huì)保險(xiǎn)、水電數(shù)據(jù)，政府履行監(jiān)管職責(zé)所采集的數(shù)據(jù)，如人口普查、食品藥品監(jiān)管等數(shù)據(jù)。政務(wù)數(shù)據(jù)的利用與開放是加快政府?dāng)?shù)字化轉(zhuǎn)型，推進(jìn)電子政務(wù)建設(shè)的重要步驟。在收集、使用數(shù)據(jù)時(shí)，政府必須依法定職責(zé)和法律規(guī)定，健全安全管理制度，將責(zé)任落到實(shí)處；監(jiān)督可能涉及的第三方，保障政務(wù)數(shù)據(jù)安全；遵循公正、公平、便民的原則，及時(shí)、準(zhǔn)確地公開政務(wù)數(shù)據(jù)，實(shí)施“清單式管理”，構(gòu)建統(tǒng)一互通的政務(wù)開放平臺(tái)，將政務(wù)數(shù)據(jù)賦能價(jià)值擴(kuò)到最大，利用數(shù)據(jù)更好地服務(wù)經(jīng)濟(jì)社會(huì)發(fā)展。對(duì)于企業(yè)而言，如果在實(shí)踐中遇到國(guó)家機(jī)關(guān)委托存儲(chǔ)、加工政務(wù)數(shù)據(jù)的情形，受托方應(yīng)配合國(guó)家機(jī)關(guān)完成審批程序，履行法律法規(guī)、合同約定的數(shù)據(jù)安全保護(hù)義務(wù)，采取必要的技術(shù)和組織措施保障政務(wù)數(shù)據(jù)安全，不擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)，并確保獲得委托處理政務(wù)數(shù)據(jù)方的授權(quán)同意。當(dāng)然，關(guān)于審批程序與企業(yè)關(guān)于處理政務(wù)數(shù)據(jù)的具體安全義務(wù)，還期待相關(guān)法規(guī)與標(biāo)準(zhǔn)后續(xù)進(jìn)一步細(xì)化與支撐。《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？5?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告一、市場(chǎng)調(diào)研報(bào)告是企業(yè)了解市場(chǎng)動(dòng)態(tài)的窗口。它有利于企業(yè)掌握市場(chǎng)動(dòng)態(tài)，如市場(chǎng)供求情況、市場(chǎng)最新趨勢(shì)、消費(fèi)者的要求以及本企業(yè)產(chǎn)品的銷售情況等方面的市場(chǎng)動(dòng)態(tài)。二、它為企業(yè)客觀判斷自身的競(jìng)爭(zhēng)能力，調(diào)整經(jīng)營(yíng)決策、產(chǎn)品開發(fā)和生產(chǎn)計(jì)劃提供了依據(jù)，企業(yè)在市場(chǎng)競(jìng)爭(zhēng)中要想明確自身所處的位置，就要做市場(chǎng)調(diào)查，從市場(chǎng)調(diào)查報(bào)告中獲取準(zhǔn)確的信息。企業(yè)領(lǐng)導(dǎo)層在考慮開發(fā)新產(chǎn)品，決定產(chǎn)品的生產(chǎn)數(shù)量、品種、花色時(shí)也要先做市場(chǎng)調(diào)查。三、有助于整體宣傳策略需要，為企業(yè)市場(chǎng)地位和產(chǎn)品宣傳等提供信息和支持。四、通過市場(chǎng)調(diào)查所獲得的資料，除了可供了解目前市場(chǎng)的情況之外，還可以對(duì)市場(chǎng)變化趨勢(shì)進(jìn)行預(yù)測(cè)，從而可以提前對(duì)企業(yè)的應(yīng)變作出計(jì)劃和安排，充分地利用市場(chǎng)的變化，從中謀求企業(yè)的利益。商業(yè)調(diào)研分析報(bào)告作用行業(yè)文檔手冊(cè)停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照”。6

?D1ú??·?DDò챨????μμ×êá?

《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？商業(yè)分析研究報(bào)告文檔

（四）明確對(duì)老年人的特殊保護(hù)

《數(shù)據(jù)安全法》相較于二審稿增加了第十五條，即明確提出支持智能化公共服務(wù)的發(fā)展，且要

求應(yīng)當(dāng)充分考慮老年人、殘疾人的需求，避免對(duì)老年人、殘疾人的日常生活造成障礙。這并不

是第一次專門針對(duì)老年人的利益需求提出特殊要求。例如，工業(yè)和信息化部在今年4月就發(fā)布

《互聯(lián)網(wǎng)網(wǎng)站適老化通用設(shè)計(jì)規(guī)范》和《App適老化通用設(shè)計(jì)規(guī)范》，助力老年人、殘疾人等

重點(diǎn)受益對(duì)象平等便捷地獲取、使用互聯(lián)網(wǎng)信息，充分體現(xiàn)了國(guó)家在發(fā)展過程中的人文關(guān)懷，

保障老年用戶的信息安全。

（五）加大對(duì)違法行為的處罰力度

《數(shù)據(jù)安全法》第六章規(guī)定了開展數(shù)據(jù)活動(dòng)的組織、個(gè)人、數(shù)據(jù)交易中介機(jī)構(gòu)、國(guó)家機(jī)關(guān)、監(jiān)

管工作人員等主體違反法律規(guī)定、未履行義務(wù)應(yīng)承擔(dān)的法律責(zé)任。去年公開的《數(shù)據(jù)安全管理

辦法》對(duì)于違反法律義務(wù)作出的是“一刀切”的罰則，即，“依違規(guī)情節(jié)，給予網(wǎng)絡(luò)運(yùn)營(yíng)者公

開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營(yíng)

業(yè)執(zhí)照等處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任?！北敬巍稊?shù)據(jù)安全法》的規(guī)定針對(duì)不同違法

行為設(shè)置不同的罰責(zé)，與《網(wǎng)絡(luò)安全法》體例保持基本一致，規(guī)定了各主體違反法律規(guī)定可能

承擔(dān)的不同責(zé)任。

比如，有關(guān)部門發(fā)現(xiàn)數(shù)據(jù)活動(dòng)存在較大安全風(fēng)險(xiǎn)的，可以按照規(guī)定的權(quán)限和程序約談相關(guān)組織、

個(gè)人并要求采取整改措施。這一規(guī)定旨在盡可能從源頭消除安全隱患，以最低成本預(yù)防安全事

故的發(fā)生。

開展數(shù)據(jù)活動(dòng)的組織、個(gè)人未履行數(shù)據(jù)安全保護(hù)義務(wù)或未采取必要措施的，可能遭到警告和罰

款，直接負(fù)責(zé)的主管人員個(gè)人也可能被處以罰款；如果違法行為性質(zhì)惡劣或造成嚴(yán)重后果，罰

款金額可高達(dá)一千萬元人民幣，并可能被責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證

或者營(yíng)業(yè)執(zhí)照，與《網(wǎng)絡(luò)安全法》第六章規(guī)定同步。然而這一數(shù)字與《歐盟通用數(shù)據(jù)保護(hù)條例》

（以下簡(jiǎn)稱“GDPR”）規(guī)定的最高兩千萬歐元罰款尚有一定的距離，對(duì)于掌握千萬用戶數(shù)據(jù)的

產(chǎn)業(yè)龍頭企業(yè)或采買億萬字段信息的大數(shù)據(jù)巨頭而言，威懾力度雖然也較為有限，但至少也是

一個(gè)良好示范的起步。

另外，為避免非法來源數(shù)據(jù)交易的亂象，《數(shù)據(jù)安全法》第四十七條還規(guī)定了針對(duì)數(shù)據(jù)交易中

介機(jī)構(gòu)的處罰規(guī)則，即相關(guān)機(jī)構(gòu)可能被沒收違法所得、罰款、吊銷營(yíng)業(yè)執(zhí)照，直接責(zé)任人也會(huì)

被處以罰款，重拳出擊規(guī)制數(shù)據(jù)交易行為，應(yīng)引起相關(guān)機(jī)構(gòu)的特別關(guān)注。

《數(shù)據(jù)安全法》第四十八條明確了不配合公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)因維護(hù)國(guó)家安全或者偵查犯

罪調(diào)取數(shù)據(jù)的處罰以及未經(jīng)批準(zhǔn)向境外司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的處罰?！稊?shù)據(jù)安全法》第

四十六條還明確了非法對(duì)外提供重要數(shù)據(jù)的處罰。除了對(duì)開展數(shù)據(jù)活動(dòng)的組織、個(gè)人、直接負(fù)

責(zé)的主管人員或直接責(zé)任人員罰款外，還可對(duì)開展數(shù)據(jù)活動(dòng)的組織、個(gè)人責(zé)令“暫停相關(guān)業(yè)務(wù)、分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)（一）以國(guó)家主權(quán)為立法出發(fā)點(diǎn)，兼顧數(shù)據(jù)保護(hù)與利用《數(shù)據(jù)安全法》第一條指出，本法的立法目的為

“保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)公民、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益”，從中可以提煉出“保護(hù)和利用并舉”與“維護(hù)國(guó)家利益”兩項(xiàng)主要的立法宗旨。具體來看：《數(shù)據(jù)安全法》第七條明確表示，“國(guó)家保護(hù)個(gè)人、組織與數(shù)據(jù)有關(guān)的權(quán)益，鼓勵(lì)數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動(dòng)，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展”?？梢?，維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用是相輔相成的車之兩輪。數(shù)據(jù)開發(fā)利用為數(shù)據(jù)安全提供了技術(shù)的支持和概念的革新，數(shù)據(jù)安全為數(shù)據(jù)開發(fā)利用提供了基礎(chǔ)的保障和穩(wěn)固的底盤。通覽全文，對(duì)于數(shù)據(jù)，《數(shù)據(jù)安全法》并非采取久束濕薪似的保護(hù)，而是鼓勵(lì)對(duì)其進(jìn)行合法利用，從數(shù)據(jù)中挖掘、開發(fā)出更大的經(jīng)濟(jì)價(jià)值。這一點(diǎn)在《數(shù)據(jù)安全法》第五章“政務(wù)數(shù)據(jù)安全與開放”中也有突出體現(xiàn)?！稊?shù)據(jù)安全法》第七條亦明確規(guī)定，國(guó)家鼓勵(lì)數(shù)據(jù)的合理有效利用、保障數(shù)據(jù)的有序自由流動(dòng)。可見，從國(guó)家層面對(duì)數(shù)據(jù)利用的態(tài)度，是審慎且包容的，采用監(jiān)管與發(fā)展并重。既不因噎廢食地完全封閉，又非不加甄別地全盤接受，通過激勵(lì)相容的制度設(shè)計(jì)，力求達(dá)到二者可持續(xù)發(fā)展的平衡，最終令數(shù)據(jù)安全和數(shù)據(jù)利用協(xié)調(diào)一致。（二）適用對(duì)象：主客體范圍廣泛《數(shù)據(jù)安全法》第二、三條規(guī)定了其適用對(duì)象為“在我國(guó)境內(nèi)開展的數(shù)據(jù)處理活動(dòng)”。其中“數(shù)據(jù)”是指任何以電子或者其他方式對(duì)信息的記錄；“數(shù)據(jù)處理”是指數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等行為。此外，《數(shù)據(jù)安全法》附則部分還明確，涉及國(guó)家秘密和軍事數(shù)據(jù)的活動(dòng)，應(yīng)分別適用《保守國(guó)家秘密法》和中央軍事委員會(huì)另行制定的規(guī)則。另外，“開展涉及個(gè)人信息的數(shù)據(jù)活動(dòng)，應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定”?？紤]到我國(guó)《個(gè)人信息保護(hù)法》也已經(jīng)提交到全國(guó)人大常委會(huì)進(jìn)行第三次審議，《數(shù)據(jù)安全法》明確規(guī)定個(gè)人信息也屬于數(shù)據(jù)的一種，將另由特別法律規(guī)制，這為即將出臺(tái)的《個(gè)人信息保護(hù)法》預(yù)留了空間。由此分析，《數(shù)據(jù)安全法》適用對(duì)象的范圍非常廣泛，對(duì)于在境內(nèi)實(shí)施任何數(shù)據(jù)收集、存儲(chǔ)、使用等行為的組織和個(gè)人，不論主體身份，不論處理的數(shù)據(jù)數(shù)量、頻率如何，均應(yīng)遵守這一法律規(guī)定?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？二、《數(shù)據(jù)安全法》重要規(guī)制與紅線要求7?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)1.

適用主體首先，《數(shù)據(jù)安全法》沒有對(duì)適用主體進(jìn)行限制?！稊?shù)據(jù)安全管理辦法》規(guī)定適用的主體主要是網(wǎng)絡(luò)運(yùn)營(yíng)者，即網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者，《網(wǎng)絡(luò)安全法》的義務(wù)主體亦然。這一表述覆蓋的范圍可能延展到網(wǎng)絡(luò)服務(wù)的方方面面，已然十分廣泛，但《數(shù)據(jù)安全法》在此基礎(chǔ)上更進(jìn)一步，對(duì)適用主體從開展數(shù)據(jù)活動(dòng)這一客觀行為入手，而非將適用主體限定在某一個(gè)類型的主體范圍內(nèi)，更加擴(kuò)大了適用的范圍，最大限度地保障不同層次的數(shù)據(jù)安全，進(jìn)而達(dá)到數(shù)據(jù)在有效保護(hù)下的合法利用目標(biāo)。國(guó)際上，對(duì)數(shù)據(jù)安全進(jìn)行專門立法的情況不多，以色列《數(shù)據(jù)安全管理?xiàng)l例》規(guī)定適用主體為數(shù)據(jù)庫控制者（Database

Controller），再細(xì)分為基礎(chǔ)、中等、嚴(yán)格三種保護(hù)水平。大多數(shù)國(guó)家的做法是將數(shù)據(jù)安全作為一個(gè)章節(jié)規(guī)制在個(gè)人信息或隱私保護(hù)法案中，如《加州消費(fèi)者隱私保護(hù)法》（以下簡(jiǎn)稱“CCPA”）和GDPR對(duì)受規(guī)制的主體提出具體要求（比如，對(duì)企業(yè)/組織有一定營(yíng)業(yè)機(jī)構(gòu)/收入的要求）；美國(guó)各州法案中也存在保障數(shù)據(jù)安全的條款，適用對(duì)象包括收集使用個(gè)人信息的組織（例如：加州民法典）、醫(yī)療健康機(jī)構(gòu)（康涅狄格州保險(xiǎn)信息和隱私保護(hù)法案）、互聯(lián)網(wǎng)服務(wù)提供者（明尼蘇達(dá)州法典）等?！稊?shù)據(jù)安全法》沒有對(duì)適用主體做出特別的設(shè)定，實(shí)際上從客觀層面能夠達(dá)到對(duì)數(shù)據(jù)保護(hù)的最大化效果?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？8?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告商品和服務(wù)是由生產(chǎn)者轉(zhuǎn)移到消費(fèi)者而形成市場(chǎng)行銷活動(dòng)的鏈接方式，或投資者對(duì)自己確立的項(xiàng)日存有疑惑，而委請(qǐng)專業(yè)的調(diào)查人員或第三者，作有系統(tǒng)地、客觀地、廣泛地且持續(xù)地搜集相關(guān)資料，加以記錄，分析，衡量與評(píng)估，提供相關(guān)分析，結(jié)論與建議，以供企業(yè)經(jīng)營(yíng)者決策參考之行為。市場(chǎng)調(diào)研范圍1·市場(chǎng)研究：市場(chǎng)潛在需求量，消費(fèi)者分布及消費(fèi)者特性研究。2.產(chǎn)品研究：產(chǎn)品設(shè)計(jì)，開發(fā)及試驗(yàn)；消費(fèi)者對(duì)產(chǎn)品形狀、包裝、品味等喜好研究；現(xiàn)有產(chǎn)品改良建議，競(jìng)爭(zhēng)產(chǎn)品的比較分析。3,銷售研究：公司總體行銷活動(dòng)研究，設(shè)計(jì)及改進(jìn)。4.消費(fèi)購(gòu)買行為研究：消費(fèi)者購(gòu)買動(dòng)機(jī)，購(gòu)買行為決策過程及購(gòu)買行為特性研究。5.廣告及促銷研究：測(cè)驗(yàn)及評(píng)估商品廣告及其它各種促銷之效果，尋求最佳促銷手法，以促進(jìn)消費(fèi)者有效購(gòu)買行為。6.行銷環(huán)境研究：依人口、經(jīng)濟(jì)、社會(huì)、政治及科技等因素變化及未來變化走勢(shì)，對(duì)市場(chǎng)結(jié)構(gòu)及企業(yè)行銷策略的影響。7.銷售預(yù)測(cè)：研究大環(huán)境演變，競(jìng)爭(zhēng)情況及企業(yè)相對(duì)競(jìng)爭(zhēng)優(yōu)勢(shì)，對(duì)于市場(chǎng)銷售量作長(zhǎng)期與短期預(yù)測(cè)，為企業(yè)擬定長(zhǎng)期經(jīng)營(yíng)計(jì)劃及短期經(jīng)營(yíng)計(jì)劃之用。商業(yè)調(diào)研分析報(bào)告作用行業(yè)文檔手冊(cè)9同時(shí)，《數(shù)據(jù)安全法》亦規(guī)定了一定的域外適用性，以應(yīng)對(duì)國(guó)際空間中數(shù)據(jù)成為各國(guó)在合作與抗衡上的博弈，具體請(qǐng)見下文分析。

?D1ú??·?DDò챨????μμ×êá?

《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？商業(yè)分析研究報(bào)告文檔

《數(shù)據(jù)安全法》對(duì)于適用客體即“數(shù)據(jù)”和“數(shù)據(jù)處理”進(jìn)行了較為寬泛的定義。在之前的法

律法規(guī)或國(guó)家標(biāo)準(zhǔn)文件中，如《網(wǎng)絡(luò)安全法》從關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的數(shù)據(jù)、重要數(shù)據(jù)、個(gè)

人信息三個(gè)類別對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行規(guī)制；而后續(xù)亟待出臺(tái)的《個(gè)人信息保護(hù)法》將側(cè)重對(duì)個(gè)人

信息進(jìn)行保護(hù)。而《數(shù)據(jù)安全法》則規(guī)定，不論呈現(xiàn)形式（電子/其他方式）、不論收集方式

（通過網(wǎng)絡(luò)/非通過網(wǎng)絡(luò)）、不論數(shù)據(jù)的內(nèi)容（可識(shí)別身份的個(gè)人信息/與國(guó)家安全、經(jīng)濟(jì)發(fā)展

以及社會(huì)公共利益密切相關(guān)的重要數(shù)據(jù)/其他數(shù)據(jù)），數(shù)據(jù)泛指一切對(duì)信息的記錄。這一定義

在我國(guó)的立法至今可屬創(chuàng)新之舉，將“數(shù)據(jù)”外延界定義為擯棄一切修飾詞的客觀載體，區(qū)分

了“數(shù)據(jù)”與“信息”的概念，有效避免了主語與賓語同一的非有效解釋?！毒W(wǎng)絡(luò)安全法》、

《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》適用客體的范圍類型如下圖：

《數(shù)據(jù)安全法》中對(duì)“數(shù)據(jù)處理”的內(nèi)涵采取了列舉式定義法，提出“收集、存儲(chǔ)、使用、加

工、傳輸、提供、公開”等一系列行為及活動(dòng)。這一定義的邏輯，基本參考了《民法典》的定

義邏輯。

聯(lián)系對(duì)比GDPR中數(shù)據(jù)“處理（process）”的概念以及《信息安全技術(shù)

個(gè)人信息安全規(guī)范》

中數(shù)據(jù)全生命周期的理解，《數(shù)據(jù)安全法》沒有明確涵蓋數(shù)據(jù)“共享”、“刪除”及“銷毀”

這幾種典型的數(shù)據(jù)處理活動(dòng)。其次，“加工”、“交易”等名詞可能源于企業(yè)實(shí)務(wù)中的說法，

但在法律層面上，對(duì)這些概念的內(nèi)涵及適用情形有待后續(xù)在配套的法規(guī)、國(guó)家標(biāo)準(zhǔn)中進(jìn)一步明

確。

如上所述，《數(shù)據(jù)安全法》所規(guī)定的適用范圍非常廣泛，除了大數(shù)據(jù)公司等視數(shù)據(jù)為“血液”

進(jìn)行運(yùn)營(yíng)的企業(yè)需要特別關(guān)注以外，一切可能處理數(shù)據(jù)的政府、組織和個(gè)人也都落在了《數(shù)據(jù)

安全法》規(guī)制的范圍之內(nèi)。

技術(shù)的更新與普及使人們普遍享受到大數(shù)據(jù)帶來的快捷與便利，但一些組織為了獲得更多的經(jīng)

濟(jì)利益，將數(shù)據(jù)采集、加工和利用等準(zhǔn)入門檻卻越降越低。如果監(jiān)管缺乏有力的法律依據(jù)，更

難以實(shí)現(xiàn)對(duì)數(shù)據(jù)市場(chǎng)有效的調(diào)控和管理。因此，《數(shù)據(jù)安全法》的出臺(tái)將所有與數(shù)據(jù)有關(guān)的活

動(dòng)均納入調(diào)整范圍之中，能在基本法層級(jí)系統(tǒng)、集中地規(guī)范數(shù)據(jù)安全和利用，為有效監(jiān)管數(shù)據(jù)

活動(dòng)提供強(qiáng)有力的法律基礎(chǔ)。分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)（三）明確域外效力《數(shù)據(jù)安全法》第二條規(guī)定，“在中華人民共和國(guó)境內(nèi)開展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管，適用本法。在中華人民共和國(guó)境外開展數(shù)據(jù)處理活動(dòng)，損害中華人民共和國(guó)國(guó)家安全、公共利益或者公民、組織合法權(quán)益的，依法追究法律責(zé)任”。這一規(guī)定體現(xiàn)了維護(hù)國(guó)家安全和數(shù)據(jù)主權(quán)的立法宗旨，賦予《數(shù)據(jù)安全法》以必要的域外適用效力。隨著數(shù)據(jù)競(jìng)爭(zhēng)的日益激烈，各國(guó)都在試圖擴(kuò)大數(shù)據(jù)方面的管轄權(quán)。2018年3月，美國(guó)通過《澄清域外合法使用數(shù)據(jù)法》（The

Clarifying

Lawful

Overseas

Use

of

Data

Act,

CLOUD

Act，以下簡(jiǎn)稱“《云法案》”），使得執(zhí)法部門可依據(jù)搜查令直接調(diào)取境外數(shù)據(jù)。從美國(guó)司法部對(duì)外公布的白皮書對(duì)《云法案》適用范圍作出的官方解釋中[1]可以看出，《云法案》絕不僅僅適用于在美國(guó)注冊(cè)成立的公司，境外的公司只要在經(jīng)營(yíng)活動(dòng)中與美國(guó)有足夠的聯(lián)系（contacts），就可能觸發(fā)美國(guó)法律的管轄權(quán)。歐盟則于2019年7月發(fā)布了《美國(guó)云法案對(duì)于歐盟個(gè)人信息保護(hù)法律框架以及歐盟-美國(guó)關(guān)于跨境電子取證協(xié)議談判影響的初步法律評(píng)估》（Initial

legalassessment

of

the

impact

of

the

US

CLOUD

Act

on

the

EU

legal

framework

for

the

protectionof

personal

data

and

the

negotiations

of

an

EU-US

Agreement

on

cross-border

access

toelectronic

evidence，以下簡(jiǎn)稱“《評(píng)估》”）?！对u(píng)估》明確指出，根據(jù)歐盟GDPR的規(guī)定，《云法案》并不能成為向美國(guó)傳輸個(gè)人數(shù)據(jù)的合法性基礎(chǔ)。除此之外，去年11月，歐洲數(shù)據(jù)保護(hù)委員會(huì)（EDPB）對(duì)GDPR第三條進(jìn)行統(tǒng)一解釋，并發(fā)布了GDPR地域適用的指南，明確了符合“營(yíng)業(yè)機(jī)構(gòu)”標(biāo)準(zhǔn)或“目標(biāo)指向”標(biāo)準(zhǔn)其中之一的數(shù)據(jù)處理者和控制者，均需要遵守GDPR的規(guī)定。向歐盟居民提供服務(wù)、對(duì)歐盟居民進(jìn)行監(jiān)控、數(shù)據(jù)處理活動(dòng)由設(shè)立在歐盟境內(nèi)的營(yíng)業(yè)機(jī)構(gòu)進(jìn)行或與其有緊密聯(lián)系的情形均受到GDPR制約。因此，數(shù)據(jù)處理活動(dòng)不以物理邊界為限，具有抽象的超越國(guó)界和領(lǐng)土的特質(zhì)。各國(guó)為有效保障數(shù)據(jù)安全、維護(hù)國(guó)家利益，除了通過國(guó)際條約與雙邊/多邊協(xié)議進(jìn)行約定，還通過擴(kuò)大其國(guó)內(nèi)法的適用范圍，以求最大程度地降低跨境數(shù)據(jù)活動(dòng)給本國(guó)帶來的安全風(fēng)險(xiǎn)。全球各國(guó)政府跨法域調(diào)取數(shù)據(jù)的情況也越來越常見，根據(jù)蘋果公司2020年的透明度報(bào)告，僅2020年上半年，蘋果公司就收到來自超過50個(gè)國(guó)家及地區(qū)的執(zhí)法機(jī)構(gòu)，共計(jì)28,276個(gè)數(shù)據(jù)調(diào)取請(qǐng)求。越來越多的中國(guó)科技公司走向世界，在主要的經(jīng)濟(jì)區(qū)都擁有重要的市場(chǎng)份額，故進(jìn)一步完善對(duì)于境外執(zhí)法機(jī)構(gòu)調(diào)取數(shù)據(jù)的規(guī)制尤為重要?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？10?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)《數(shù)據(jù)安全法》現(xiàn)行規(guī)定以“后果論”為標(biāo)準(zhǔn)，即如果數(shù)據(jù)活動(dòng)造成了對(duì)我國(guó)國(guó)家、社會(huì)、公民利益損害的，相關(guān)組織和個(gè)人應(yīng)被追究法律責(zé)任，確認(rèn)了我國(guó)掌握主動(dòng)權(quán)，以國(guó)家利益為主導(dǎo)監(jiān)管各類數(shù)據(jù)活動(dòng)的鮮明立場(chǎng)。然而，《數(shù)據(jù)安全法》未規(guī)定我國(guó)執(zhí)法機(jī)構(gòu)能對(duì)境外組織或個(gè)人調(diào)取信息或要求協(xié)助配合的權(quán)限，且相比美國(guó)《云法案》（即只要在經(jīng)營(yíng)活動(dòng)中與美國(guó)有足夠的聯(lián)系（contacts）便可觸發(fā)美國(guó)法律的管轄權(quán)）與GDPR（即向歐盟數(shù)據(jù)主體提供商品或服務(wù)或監(jiān)控歐盟數(shù)據(jù)主體）的“行為論”，這一規(guī)定并沒有將我國(guó)對(duì)數(shù)據(jù)管轄權(quán)的手臂伸得那么長(zhǎng)。然而，《數(shù)據(jù)安全法》未對(duì)第二條適用范圍中的“境內(nèi)開展數(shù)據(jù)活動(dòng)”概念進(jìn)行定義，筆者認(rèn)為可能會(huì)在具體執(zhí)行上存在一定問題。例如某一德國(guó)公司開發(fā)的App在我國(guó)境內(nèi)投放運(yùn)營(yíng)后，用戶在使用過程中出現(xiàn)軟件崩潰，發(fā)送故障報(bào)告至德國(guó)公司的過程即構(gòu)成在我國(guó)境內(nèi)收集數(shù)據(jù)的活動(dòng)。雖然德國(guó)公司屬于境外組織，其主要營(yíng)業(yè)機(jī)構(gòu)、存儲(chǔ)服務(wù)器均不在國(guó)內(nèi)，但仍然可能受到《數(shù)據(jù)安全法》的約束?！稊?shù)據(jù)出境安全評(píng)估指南（征求意見稿）》將“境內(nèi)運(yùn)營(yíng)”定義為在中華人民共和國(guó)境內(nèi)開展業(yè)務(wù)，提供產(chǎn)品或服務(wù)的活動(dòng)，而不論運(yùn)營(yíng)者是否在境內(nèi)注冊(cè)。另外，還提出了幾項(xiàng)參考因素以幫助判斷，包括但不限于：使用中文；以人民幣作為結(jié)算貨幣；向中國(guó)境內(nèi)配送物流等。筆者認(rèn)為，對(duì)“境內(nèi)開展數(shù)據(jù)活動(dòng)”的理解可以基于該理解類推借鑒，但期待在后續(xù)制定相關(guān)的配套政策和辦法中進(jìn)行進(jìn)一步明確?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？（四）提出“數(shù)據(jù)分類分級(jí)保護(hù)制度”，明確重要數(shù)據(jù)的界定責(zé)任一審稿即提出了國(guó)家應(yīng)對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)，二審稿進(jìn)則明確提出了“數(shù)據(jù)分類分級(jí)保護(hù)制度”的建立及重要數(shù)據(jù)目錄的確定，發(fā)布的正式稿對(duì)“數(shù)據(jù)分類分級(jí)保護(hù)制度”及“重要數(shù)據(jù)目錄”做出了更為清晰的規(guī)定。對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)的主要標(biāo)準(zhǔn)為“數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度、以及一旦遭到篡改、破壞或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度”，這也呼應(yīng)了《數(shù)據(jù)安全法》以維護(hù)國(guó)家安全和網(wǎng)絡(luò)空間主權(quán)為根本的基調(diào)，這在數(shù)據(jù)主權(quán)博弈激烈的當(dāng)下顯得尤為重要。同時(shí)，根據(jù)第二十一條，重要數(shù)據(jù)是數(shù)據(jù)分類分級(jí)中一個(gè)類別，由于其關(guān)鍵性和敏感性需要額外的保護(hù)。數(shù)據(jù)分類分級(jí)保護(hù)制度的提出是現(xiàn)有數(shù)據(jù)保護(hù)制度框架的一個(gè)重要補(bǔ)充。相信在后續(xù)配套的法律法規(guī)及國(guó)家標(biāo)準(zhǔn)出臺(tái)后，數(shù)據(jù)分類分級(jí)保護(hù)制度將與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等類似，成為數(shù)據(jù)保護(hù)工作綱領(lǐng)性的要求與指引。第二十一條明確了國(guó)家將統(tǒng)籌協(xié)調(diào)有關(guān)部門在宏觀層面確定重要數(shù)據(jù)目錄，并且要求各地區(qū)、各部門應(yīng)制定適應(yīng)于地區(qū)、部門及相關(guān)行業(yè)的重要數(shù)據(jù)具體目錄，這種雙層保護(hù)結(jié)構(gòu)也與《重要數(shù)據(jù)識(shí)別指南（征求意見稿）》的思路相一致。這對(duì)于厘清何為重要數(shù)據(jù)并進(jìn)一步推進(jìn)重要數(shù)據(jù)保護(hù)工作而言至關(guān)重要。此前，《網(wǎng)絡(luò)安全法》中雖然提到了重要數(shù)據(jù)，但并未對(duì)其進(jìn)行展開的闡釋或定義，《數(shù)據(jù)安全管理辦法（征求意見稿）》和《信息安全技術(shù)

數(shù)據(jù)出境安全評(píng)估指南（草案）》雖有對(duì)重要數(shù)據(jù)有定義，但定義也沒那么清晰且兩者都未生效，指南也不具有法律效力。這對(duì)于企業(yè)進(jìn)行重要數(shù)據(jù)保護(hù)工作而言造成了較大的不確定性和操作上的困難。相信隨著本法的通過，后續(xù)各地區(qū)、各部門制定的重要數(shù)據(jù)具體目錄能成為有效的參考，進(jìn)一步增強(qiáng)數(shù)據(jù)分類分級(jí)保護(hù)制度的落地性與實(shí)踐性。11?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告隨著各種問題的不斷出現(xiàn)，對(duì)策建議類調(diào)研報(bào)告成為了越來越重要的工具，可以幫助企業(yè)和組織制定有效的戰(zhàn)略和方案。本次調(diào)研共收集了31篇有關(guān)對(duì)策建議類調(diào)研報(bào)告，發(fā)現(xiàn)了一些有趣且關(guān)鍵的共性和差異。首先，從研究?jī)?nèi)容來看，這些報(bào)告所關(guān)注的問題是非常多樣化的。其中有些報(bào)告關(guān)注的是社會(huì)問題和政策，如貧困和教育問題，而另外一些報(bào)告則更加關(guān)注企業(yè)和組織的內(nèi)部問題，如管理和市場(chǎng)營(yíng)銷。這種多樣性并不能算是這些報(bào)告的缺陷，相反，它說明我們的社會(huì)和組織面臨的挑戰(zhàn)十分繁多，需要我們從各個(gè)方面入手才能夠解決問題。其次，這些報(bào)告在調(diào)查方法和數(shù)據(jù)分析方面也存在差異。大部分的報(bào)告采用了定性和定量結(jié)合的方式，通過問卷調(diào)查、實(shí)地考察和專家訪談等方式收集數(shù)據(jù)。然而，也有一些報(bào)告采用了更為創(chuàng)新的技術(shù)，如大數(shù)據(jù)分析和人工智能技術(shù)。這些新技術(shù)雖然還處于試驗(yàn)階段，但它們可能會(huì)以越來越多的方式成為調(diào)研方法的重要組成部分。最后，這些報(bào)告在對(duì)策和建議方面表現(xiàn)出了不同的風(fēng)格和實(shí)用性。有些報(bào)告提出了具有長(zhǎng)遠(yuǎn)發(fā)展戰(zhàn)略的行動(dòng)方案，而另外一些則更注重于針對(duì)特定問題提供現(xiàn)實(shí)可行的解決方案。這些不同的風(fēng)格反映了報(bào)告的作者們的不同經(jīng)驗(yàn)和專業(yè)背景，并吸引了各個(gè)方面的讀者。商業(yè)調(diào)研分析報(bào)告作用行業(yè)文檔手冊(cè)（五）對(duì)于外國(guó)歧視性行動(dòng)的反制裁措施，維護(hù)中國(guó)企業(yè)利益《數(shù)據(jù)安全法》第二十六條強(qiáng)化了應(yīng)對(duì)態(tài)度，將根據(jù)實(shí)際情況采取“對(duì)等措施”。當(dāng)下，騰訊、華為等企業(yè)不時(shí)面臨境外采取的限制性或者歧視性經(jīng)濟(jì)制裁措施，意圖打壓中國(guó)企業(yè)在外國(guó)的發(fā)展，該條款明確了我國(guó)維護(hù)中國(guó)企業(yè)利益的決心，無疑給中國(guó)企業(yè)打了一枚強(qiáng)心劑。隨著我國(guó)科技企業(yè)的興起和5G等尖端技術(shù)的開發(fā)，各國(guó)針對(duì)我國(guó)企業(yè)的限制性措施層出不窮。僅在過去的一周內(nèi)，美國(guó)聯(lián)邦通信委員會(huì)（FCC）將中國(guó)兩大電信巨頭企業(yè)列為國(guó)家安全威脅名單，禁止美國(guó)公司利用八十三億美元的政府資金購(gòu)買這兩家公司的設(shè)備；印度電子信息技術(shù)部以“有損印度主權(quán)、國(guó)防、國(guó)家安全和公共秩序”為由宣布禁用TikTok、微信等59款中國(guó)應(yīng)用，且嚴(yán)格管控檢查所有從中國(guó)購(gòu)買的電力設(shè)備，以確認(rèn)其中是否存在惡意軟件或木馬病毒。一方面可見，數(shù)據(jù)安全、網(wǎng)絡(luò)安全已經(jīng)成為國(guó)際社會(huì)普遍認(rèn)可的國(guó)家安全版圖之一；另一方面可見，我國(guó)所面臨的挑戰(zhàn)和困難也是十分艱巨的。數(shù)據(jù)已經(jīng)成為“黃金”、“石油”，也必然成為新興“兵家必爭(zhēng)之地”。全球圍繞數(shù)據(jù)的爭(zhēng)奪日益深化，《數(shù)據(jù)安全法》的制定不僅需要解決國(guó)內(nèi)數(shù)據(jù)安全管理的問題，還要為數(shù)據(jù)出境、跨境合作設(shè)計(jì)等相關(guān)規(guī)則制定策略。針對(duì)歧視的反制裁措施在國(guó)際私法、貿(mào)易等領(lǐng)域已有先例，此次在涉及數(shù)據(jù)安全、國(guó)家安全的基本法中重申這一原則，既表明我國(guó)擁護(hù)數(shù)據(jù)自由流動(dòng)、跨境安全的堅(jiān)定立場(chǎng)，又對(duì)他國(guó)如有不正當(dāng)?shù)钠缫暣鲂袨樽龀隽擞辛Φ幕貞?yīng)。此外，《數(shù)據(jù)安全法》第三十六條對(duì)處理外國(guó)司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供數(shù)據(jù)的請(qǐng)求做出了規(guī)定。非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的組織、個(gè)人不得向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)的數(shù)據(jù)。即企業(yè)在面臨境外監(jiān)管機(jī)構(gòu)的直接執(zhí)法時(shí)，不能直接提供境外監(jiān)管機(jī)構(gòu)要求的數(shù)據(jù)，而是需要先行上報(bào)給我國(guó)主管機(jī)關(guān)，獲得批準(zhǔn)后方才可提供。例如，當(dāng)中國(guó)企業(yè)雖未在歐盟設(shè)有實(shí)體，但直接向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或監(jiān)控歐盟數(shù)據(jù)主體時(shí)，受到GDPR域外管轄。在此情況下，如歐盟的數(shù)據(jù)保護(hù)機(jī)構(gòu)依據(jù)其職權(quán)對(duì)企業(yè)進(jìn)行調(diào)查，要求企業(yè)提供存儲(chǔ)于我國(guó)境內(nèi)的相關(guān)數(shù)據(jù)時(shí)，中國(guó)企業(yè)在向我國(guó)主管機(jī)關(guān)報(bào)批獲準(zhǔn)后方可提供。從實(shí)踐的角度來說，受限于管轄的限制，即便GDPR規(guī)定了自身的域外效力，考慮到現(xiàn)實(shí)執(zhí)法的困難程度，實(shí)踐中也少有案例直接對(duì)在歐盟境內(nèi)沒有實(shí)體的公司進(jìn)行處罰?！稊?shù)據(jù)安全法》的第三十六條無疑顯示出對(duì)部分國(guó)家域外長(zhǎng)臂管轄執(zhí)法進(jìn)行有禮有節(jié)的回應(yīng)態(tài)度。只是日后，需要相關(guān)部門規(guī)章或者國(guó)家標(biāo)準(zhǔn)進(jìn)一步細(xì)化具體報(bào)批的機(jī)關(guān)以及相關(guān)流程?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？12?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)（六）強(qiáng)調(diào)對(duì)數(shù)據(jù)出口的管制《數(shù)據(jù)安全法》第三十條明確了有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的其他重要數(shù)據(jù)處理者將所收集的重要數(shù)據(jù)出境的規(guī)定，要求適用國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的管理辦法。我們?cè)凇陡鲊?guó)個(gè)人信息出境實(shí)況——兼評(píng)<個(gè)人信息出境安全評(píng)估辦法（征求意見稿）>》文中提到過，個(gè)人信息與重要數(shù)據(jù)出境將采用“二軌制”評(píng)估的方式，但此前，重要數(shù)據(jù)出境監(jiān)管制度并未特別詳細(xì)地得到明確，且多為征求意見稿的狀態(tài)，除了《網(wǎng)絡(luò)安全法》第三十七條較為概括地要求重要數(shù)據(jù)本地化，只有有極其特殊情況下方才申請(qǐng)主管部門審批出境（實(shí)踐中估計(jì)也鮮有行業(yè)主管部門有審批的流程和經(jīng)驗(yàn)），其他尚無現(xiàn)行有效的法律法規(guī)、國(guó)家標(biāo)準(zhǔn)明確數(shù)據(jù)出境的具體合規(guī)方案，從而給企業(yè)帶來了較大的不確定性。在尚無針對(duì)重要數(shù)據(jù)的專門評(píng)估辦法出臺(tái)前，各企業(yè)預(yù)備重要數(shù)據(jù)評(píng)估的，目前仍然參考的是《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》。其中，第九條規(guī)定了六類涉及重要數(shù)據(jù)出境時(shí)應(yīng)提交行業(yè)主管部門或監(jiān)管部門進(jìn)行安全評(píng)估得情境，包括：

含有或累計(jì)含有50萬人以上的個(gè)人信息；

數(shù)據(jù)量超過1000GB；

包含核設(shè)施、化學(xué)生物、國(guó)防軍工、

人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動(dòng)、

海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；

包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護(hù)等網(wǎng)絡(luò)安全信息；

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供重要數(shù)據(jù)；

其他行業(yè)主管或監(jiān)管部門認(rèn)為可能影響國(guó)家安全和社會(huì)利益的?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？13?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)用、侵犯隱私、造成嚴(yán)重社會(huì)負(fù)面影響等問題進(jìn)行了回應(yīng)。然而，《數(shù)據(jù)安全法》本身沒有

對(duì)違反此條款規(guī)定法律責(zé)任，可能實(shí)際震懾力較為有限。14

?D1ú??·?DDò챨????μμ×êá?

《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？商業(yè)分析研究報(bào)告文檔

在較大的不確定性，對(duì)于企業(yè)進(jìn)行重要數(shù)據(jù)出境安全管理工作帶來較大的挑戰(zhàn)。數(shù)據(jù)安全法

通過區(qū)分主體的方式，對(duì)于重要數(shù)據(jù)出境的監(jiān)管辦法進(jìn)行了進(jìn)一步的明確和補(bǔ)充。關(guān)鍵信息

基礎(chǔ)設(shè)施運(yùn)營(yíng)者出境重要數(shù)據(jù)適用《網(wǎng)絡(luò)安全法》的規(guī)定，其他主體出境重要數(shù)據(jù)則適用國(guó)

家網(wǎng)信部門會(huì)同國(guó)務(wù)院制定的管理辦法，這樣的監(jiān)管思路也使得數(shù)據(jù)分類分級(jí)保護(hù)制度能夠

更好地與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求相協(xié)調(diào)。

此外，該條款明確制定數(shù)據(jù)出境規(guī)則的主體為“國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門”，可以

體現(xiàn)未來對(duì)于數(shù)據(jù)出境進(jìn)行規(guī)制的法律文件其法律位階與效力基本是在部門規(guī)章的級(jí)別，從

而加強(qiáng)企業(yè)遵守相關(guān)義務(wù)的必要性。

值得注意的是，除了《網(wǎng)絡(luò)安全法》及《數(shù)據(jù)安全法》，一些重要數(shù)據(jù)的出境還需要重點(diǎn)關(guān)

注行業(yè)監(jiān)管的要求。比如，《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》規(guī)

定健康醫(yī)療大數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)安全可信的服務(wù)器上，因業(yè)務(wù)需要確需向境外提供的，應(yīng)

當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估審核。《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做

好個(gè)人金融信息保護(hù)工作的通知》第六條更是規(guī)定，在中國(guó)境內(nèi)收集的個(gè)人金融信息的儲(chǔ)存、

處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行，且除法律法規(guī)及中國(guó)人民銀行另有規(guī)定外，銀行業(yè)金融機(jī)

構(gòu)不得向境外提供境內(nèi)個(gè)人金融信息。

根據(jù)《數(shù)據(jù)安全法》第四十六條規(guī)定，非法向境外提供重要數(shù)據(jù)的，“由有關(guān)主管部門責(zé)令

改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直

接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，處一百萬元以上一千萬元以下

罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直

接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款”。

（七）明確企業(yè)合規(guī)義務(wù)

《數(shù)據(jù)安全法》第四章落實(shí)了數(shù)據(jù)活動(dòng)主體的具體安全保護(hù)義務(wù)與責(zé)任，列舉了一系列需要

遵守的合規(guī)義務(wù)，包括開展安全培訓(xùn)、完善制度建設(shè)、風(fēng)險(xiǎn)評(píng)估監(jiān)測(cè)、報(bào)告安全事件、落實(shí)

數(shù)據(jù)分類分級(jí)等制度等。具體請(qǐng)參見本文第三部分的分析。

（八）強(qiáng)調(diào)數(shù)據(jù)新技術(shù)應(yīng)當(dāng)符合社會(huì)公德與倫理

《數(shù)據(jù)安全法》第二十八條要求開展數(shù)據(jù)活動(dòng)以及研究開發(fā)數(shù)據(jù)新技術(shù)應(yīng)當(dāng)符合社會(huì)公德與

倫理，這一條款則對(duì)應(yīng)了近些年諸多頗具爭(zhēng)議的數(shù)據(jù)新技術(shù)，例如醫(yī)療AI、Deepfake、ZAO

換臉技術(shù)等。不可否認(rèn)的是該等技術(shù)的背后是數(shù)據(jù)活動(dòng)方面的蓬勃?jiǎng)?chuàng)新，但其所導(dǎo)致的倫理

道德問題也一直是社會(huì)討論的重點(diǎn)。例如，2017年一位匿名用戶使用“Deepfake”技術(shù)將

《神奇女俠》中女主蓋爾·加朵的臉移植到了一部成人電影的女主身上，再輔以技術(shù)手段將其

完美的融合，之后將其上傳到了Reddit成人交流社區(qū)，最終因侵犯?jìng)€(gè)人隱私導(dǎo)致視頻下架；

2019年3月報(bào)道，犯罪分子利用Deepfake技術(shù)，冒充英國(guó)某能源公司母公司CEO的聲音，成

功詐騙了二十二萬歐元?！稊?shù)據(jù)安全法》的第二十八條正是針對(duì)此種新技術(shù)所帶來的身份冒分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)（九）明確數(shù)據(jù)處理活動(dòng)不應(yīng)排除、限制競(jìng)爭(zhēng)對(duì)于違反其他法律、行政法規(guī)的援引條款，《數(shù)據(jù)安全法》第五十一條明確開展數(shù)據(jù)處理活動(dòng)“限制、排除競(jìng)爭(zhēng)”的場(chǎng)景。當(dāng)下，隨著《國(guó)務(wù)院反壟斷委員會(huì)關(guān)于平臺(tái)經(jīng)濟(jì)領(lǐng)域的反壟斷指南》的出臺(tái)以及罰款金額的震懾性，平臺(tái)反壟斷也成為企業(yè)的熱點(diǎn)話題，該條款明確了數(shù)據(jù)處理活動(dòng)也不應(yīng)該排除、限制競(jìng)爭(zhēng)，對(duì)于怎樣的數(shù)據(jù)處理活動(dòng)可以產(chǎn)生排除、限制競(jìng)爭(zhēng)的效果，留待反壟斷局或在個(gè)案中進(jìn)一步說明。（十）建立與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相銜接的數(shù)據(jù)安全管理制度《數(shù)據(jù)安全法》第二十七條同時(shí)強(qiáng)調(diào)了數(shù)據(jù)安全管理制度的建立和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，這使得《數(shù)據(jù)安全法》能夠更好地與現(xiàn)有的數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)及規(guī)制思路相配適。已經(jīng)建立網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的企業(yè)能夠更好地銜接數(shù)據(jù)安全管理制度的要求，進(jìn)一步提升整體的網(wǎng)絡(luò)安全及數(shù)據(jù)保護(hù)水平。（十一）鼓勵(lì)行業(yè)自律，建立行業(yè)規(guī)范《數(shù)據(jù)安全法》第十條指出“相關(guān)行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自律，指導(dǎo)會(huì)員加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展”，強(qiáng)調(diào)了行業(yè)自律在數(shù)據(jù)安全規(guī)范方面的作用，提出了行業(yè)數(shù)據(jù)安全行為規(guī)范這一概念，并鼓勵(lì)各行業(yè)組織積極制定適用于本行業(yè)的數(shù)據(jù)安全行為規(guī)范，加強(qiáng)行業(yè)自律，通過行業(yè)內(nèi)的指導(dǎo)進(jìn)一步提升數(shù)據(jù)保護(hù)水平。筆者認(rèn)為這雖然不是一個(gè)強(qiáng)制要求，但也將是未來數(shù)據(jù)安全保護(hù)監(jiān)管及合規(guī)自證體系中一個(gè)重要的部分。由于數(shù)據(jù)處理活動(dòng)本身對(duì)應(yīng)的場(chǎng)景極具多樣性與專業(yè)性，法律法規(guī)進(jìn)行落地時(shí)可能會(huì)存在天然的障礙。該條款通過凸顯行業(yè)自律的作用，讓行業(yè)作為規(guī)制的一環(huán)，從而加強(qiáng)規(guī)則的適用性以及與時(shí)俱進(jìn)的能力。行業(yè)自律也為世界其他主要法域國(guó)家常見的規(guī)制手段。例如，GDPR第四十條及四十一條就早已提出了行為準(zhǔn)則（Code

of

Conduct）這一理念，鼓勵(lì)有起草行為準(zhǔn)則的行業(yè)協(xié)會(huì)或者其他實(shí)體制定適合行業(yè)的最佳實(shí)踐。這樣的行業(yè)最佳實(shí)踐在通過認(rèn)證之后，可以成為一個(gè)有效的自愿性問責(zé)工具。除此之外，這對(duì)于一些小微型企業(yè)而言也是一個(gè)能夠有效降低合規(guī)成本的方案。數(shù)據(jù)安全法這一概念的提出，也是數(shù)據(jù)安全監(jiān)管思路與框架向國(guó)際社會(huì)中數(shù)據(jù)保護(hù)監(jiān)管水平較高的地區(qū)看齊的重要一步?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？15?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)（十）建立與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相銜接的數(shù)據(jù)安全管理制度《數(shù)據(jù)安全法》第二十七條同時(shí)強(qiáng)調(diào)了數(shù)據(jù)安全管理制度的建立和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，這使得《數(shù)據(jù)安全法》能夠更好地與現(xiàn)有的數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)及規(guī)制思路相配適。已經(jīng)建立網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的企業(yè)能夠更好地銜接數(shù)據(jù)安全管理制度的要求，進(jìn)一步提升整體的網(wǎng)絡(luò)安全及數(shù)據(jù)保護(hù)水平。（十一）鼓勵(lì)行業(yè)自律，建立行業(yè)規(guī)范《數(shù)據(jù)安全法》第十條指出“相關(guān)行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自律，指導(dǎo)會(huì)員加強(qiáng)數(shù)據(jù)安全保護(hù)，提高數(shù)據(jù)安全保護(hù)水平，促進(jìn)行業(yè)健康發(fā)展”，強(qiáng)調(diào)了行業(yè)自律在數(shù)據(jù)安全規(guī)范方面的作用，提出了行業(yè)數(shù)據(jù)安全行為規(guī)范這一概念，并鼓勵(lì)各行業(yè)組織積極制定適用于本行業(yè)的數(shù)據(jù)安全行為規(guī)范，加強(qiáng)行業(yè)自律，通過行業(yè)內(nèi)的指導(dǎo)進(jìn)一步提升數(shù)據(jù)保護(hù)水平。筆者認(rèn)為這雖然不是一個(gè)強(qiáng)制要求，但也將是未來數(shù)據(jù)安全保護(hù)監(jiān)管及合規(guī)自證體系中一個(gè)重要的部分。由于數(shù)據(jù)處理活動(dòng)本身對(duì)應(yīng)的場(chǎng)景極具多樣性與專業(yè)性，法律法規(guī)進(jìn)行落地時(shí)可能會(huì)存在天然的障礙。該條款通過凸顯行業(yè)自律的作用，讓行業(yè)作為規(guī)制的一環(huán)，從而加強(qiáng)規(guī)則的適用性以及與時(shí)俱進(jìn)的能力。行業(yè)自律也為世界其他主要法域國(guó)家常見的規(guī)制手段。例如，GDPR第四十條及四十一條就早已提出了行為準(zhǔn)則（Code

of

Conduct）這一理念，鼓勵(lì)有起草行為準(zhǔn)則的行業(yè)協(xié)會(huì)或者其他實(shí)體制定適合行業(yè)的最佳實(shí)踐。這樣的行業(yè)最佳實(shí)踐在通過認(rèn)證之后，可以成為一個(gè)有效的自愿性問責(zé)工具。除此之外，這對(duì)于一些小微型企業(yè)而言也是一個(gè)能夠有效降低合規(guī)成本的方案。數(shù)據(jù)安全法這一概念的提出，也是數(shù)據(jù)安全監(jiān)管思路與框架向國(guó)際社會(huì)中數(shù)據(jù)保護(hù)監(jiān)管水平較高的地區(qū)看齊的重要一步。《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？16?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)三、企業(yè)配套合規(guī)義務(wù)對(duì)于企業(yè)在《數(shù)據(jù)安全法》項(xiàng)下的合規(guī)義務(wù)，可以區(qū)分為一般企業(yè)的合規(guī)義務(wù)以及處理重要數(shù)據(jù)的企業(yè)的額外義務(wù)。（一）一般企業(yè)的合規(guī)義務(wù)1.

明確企業(yè)自身所控制的受規(guī)制數(shù)據(jù)如前所述，《數(shù)據(jù)安全法》所規(guī)制的數(shù)據(jù)極為廣泛，不僅包括電子的數(shù)據(jù)，還包括其他形式的數(shù)據(jù)，例如員工填表所得的數(shù)據(jù)。因此，企業(yè)首先需要明確企業(yè)自身所受《數(shù)據(jù)安全法》約束的數(shù)據(jù)范圍，并在“數(shù)據(jù)”這一基本類型的基礎(chǔ)上，識(shí)別除《數(shù)據(jù)安全法》外是否須額外受《網(wǎng)絡(luò)安全法》、日后出臺(tái)的《個(gè)人信息保護(hù)法》的規(guī)定。2.

確保數(shù)據(jù)收集的合法、正當(dāng)與必要性根據(jù)《數(shù)據(jù)安全法》第三十二條的規(guī)定，任何組織、個(gè)人收集數(shù)據(jù)，都必須采取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。法律、行政法規(guī)對(duì)收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,

應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)，不得超過必要的限度。除了直接收集外，企業(yè)需要特別注意從第三方間接收集數(shù)據(jù)時(shí)，也需要核實(shí)第三方數(shù)據(jù)來源的合法性、正當(dāng)性，例如進(jìn)行前期安全盡調(diào)、要求第三方簽訂承諾書、保證書等，并審查自身獲取數(shù)據(jù)是否符合必要性要求。未能履行合法、正當(dāng)、必要收集數(shù)據(jù)要求的企業(yè)，則根據(jù)《數(shù)據(jù)安全法》第五十一條的規(guī)定，竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)活動(dòng)排除、限制競(jìng)爭(zhēng)，或者損害個(gè)人、組織合法權(quán)益的，按照有關(guān)法律、行政法規(guī)的規(guī)定處罰，從而進(jìn)一步援引至《網(wǎng)絡(luò)安全法》、《刑法》、《反壟斷法》以及未來出臺(tái)的《個(gè)人信息保護(hù)法》等規(guī)定?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？17?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告手冊(cè)行業(yè)文檔3.

數(shù)據(jù)中介服務(wù)機(jī)構(gòu)確定交易主體與交易合法性根據(jù)《數(shù)據(jù)安全法》第三十三條的規(guī)定，從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)在提供服務(wù)時(shí)，應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,

審核交易雙方的身份,并留存審核、交易記錄?！稊?shù)據(jù)安全法》本身并沒有對(duì)何為“數(shù)據(jù)交易中介服務(wù)”的定義進(jìn)行規(guī)定，我們結(jié)合相關(guān)實(shí)踐，初步分析可能是指《信息安全技術(shù)

數(shù)據(jù)交易服務(wù)安全要求》中的“數(shù)據(jù)交易服務(wù)平臺(tái)”（例如上海數(shù)據(jù)交易中心等提供數(shù)據(jù)交易平臺(tái)的企業(yè)）等企業(yè)。對(duì)于此類企業(yè)，根據(jù)《數(shù)據(jù)安全法》的規(guī)定，需要數(shù)據(jù)交易一方說明數(shù)據(jù)來源，審查交易雙方的主體身份以及過往是否存在違規(guī)交易記錄，并對(duì)交易記錄進(jìn)行留存。未能按照《數(shù)據(jù)安全法》要求進(jìn)行交易數(shù)據(jù)提供方的背景審核、記錄留存的，則根據(jù)《數(shù)據(jù)安全法》第四十七條的規(guī)定，導(dǎo)致非法來源數(shù)據(jù)交易的,由有關(guān)主管部門責(zé)令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得的,處十萬元以上一百萬元以下罰款,并可以由有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。從落地的角度來說，“數(shù)據(jù)交易中介服務(wù)”概念（例如是否支持民營(yíng)企業(yè)做成數(shù)據(jù)交易中介等）、交易記錄留存時(shí)間等尚未明確規(guī)定，可能對(duì)實(shí)踐帶來一定的障礙，建議相關(guān)企業(yè)密切關(guān)注相關(guān)配套法規(guī)動(dòng)態(tài)，以便完成相關(guān)合規(guī)舉措?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？4.

設(shè)立數(shù)據(jù)安全管理制度，采取技術(shù)和必要措施保障數(shù)據(jù)安全根據(jù)《數(shù)據(jù)安全法》第二十七條的規(guī)定，開展數(shù)據(jù)活動(dòng)應(yīng)依照法律法規(guī)規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度,

組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全，利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。對(duì)于企業(yè)而言，一方面需要在企業(yè)內(nèi)部設(shè)置相應(yīng)的數(shù)據(jù)安全管理制度，例如《數(shù)據(jù)訪問權(quán)限管理制度》、《IT管理制度》《外部人員訪問審批管理流程》等，對(duì)涉及處理數(shù)據(jù)的員工進(jìn)行專項(xiàng)培訓(xùn)等；另一方面，需要采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全，例如采取進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)認(rèn)證，采取數(shù)據(jù)分類分級(jí)存儲(chǔ)、加密傳輸、保存等措施。在這里法案并沒有要求公司采取企業(yè)所能實(shí)現(xiàn)的“最高的”技術(shù)措施，而是采取“相應(yīng)的”措施，沒有為企業(yè)的合規(guī)落地設(shè)置過高的要求與挑戰(zhàn)。因此，企業(yè)可能需要結(jié)合不同類別數(shù)據(jù)的情況、風(fēng)險(xiǎn)等級(jí)、技術(shù)手段與成本，對(duì)數(shù)據(jù)采取技術(shù)和安全保障措施。根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，未能設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的重要數(shù)據(jù)處理者，由有關(guān)主管部門責(zé)令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄漏等嚴(yán)重后果的,處五十萬元以上二百萬元以下罰款，并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。18?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)5.

對(duì)數(shù)據(jù)分類分級(jí)保護(hù)對(duì)于數(shù)據(jù)分類分級(jí)制度，《數(shù)據(jù)安全法》借鑒了今年2月工信部印發(fā)的《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》，以一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度作為標(biāo)準(zhǔn)之一，輔以該數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù)。相對(duì)應(yīng)地，企業(yè)在開展業(yè)務(wù)的過程中也針對(duì)數(shù)據(jù)的重要程度、敏感程度對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)的保護(hù)，例如對(duì)兒童的個(gè)人信息應(yīng)當(dāng)加密存儲(chǔ)。信安標(biāo)委也正在研發(fā)《重要數(shù)據(jù)分類分級(jí)指南》；各行業(yè)也在研制本行業(yè)的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，企業(yè)也可以關(guān)注相關(guān)動(dòng)態(tài)，以便提前規(guī)劃合規(guī)義務(wù)的落地。6.

按照要求進(jìn)行安全檢測(cè)與評(píng)估認(rèn)證《數(shù)據(jù)安全法》第十八條指明了國(guó)家對(duì)安全檢測(cè)評(píng)估、認(rèn)證服務(wù)的支持態(tài)度。目前我國(guó)是通過中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，將強(qiáng)制測(cè)評(píng)與自愿測(cè)評(píng)相結(jié)合進(jìn)行定期和年度檢測(cè)認(rèn)證或自愿認(rèn)證，企業(yè)可以根據(jù)自身業(yè)務(wù)所對(duì)應(yīng)的要求進(jìn)行相關(guān)檢測(cè)與評(píng)估。筆者認(rèn)為，對(duì)于自愿認(rèn)證的項(xiàng)目，未來也可考慮采取類似司法鑒定機(jī)構(gòu)清單式管理的做法，由國(guó)家有關(guān)部門對(duì)機(jī)構(gòu)的資質(zhì)、能力進(jìn)行考核，認(rèn)證，并將有權(quán)開展評(píng)估服務(wù)的專業(yè)機(jī)構(gòu)予以公告?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？19?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)7.

發(fā)生數(shù)據(jù)安全事件的報(bào)告義務(wù)根據(jù)《數(shù)據(jù)安全法》第二十九條的規(guī)定，開展數(shù)據(jù)活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，在發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取處置措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告?！稊?shù)據(jù)安全法》本身并沒有對(duì)“數(shù)據(jù)安全事件”進(jìn)行明確的規(guī)定，可參考其他法律法規(guī)、國(guó)家標(biāo)準(zhǔn)?！毒W(wǎng)絡(luò)安全法》第四十二條說明“在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”。《數(shù)據(jù)安全管理辦法》第三十五條也采取了類似的表述，即發(fā)生個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件，或者發(fā)生數(shù)據(jù)安全事件風(fēng)險(xiǎn)明顯加大時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)立即采取補(bǔ)救措施，及時(shí)以電話、短信、郵件或信函等方式告知個(gè)人信息主體，并按要求向行業(yè)主管監(jiān)管部門和網(wǎng)信部門報(bào)告?！稊?shù)據(jù)安全法》本條款目前的寫法雖然呼應(yīng)了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全管理辦法》的表述，但可能存在以下問題：“數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)”與“數(shù)據(jù)安全事件”之間的關(guān)系較為模糊：如果前者只需要立即采取補(bǔ)救措施而不需要上報(bào)主管機(jī)構(gòu)的話，那么在《數(shù)據(jù)安全法》并未對(duì)“數(shù)據(jù)安全事件”作出明確定義的前提下，對(duì)于企業(yè)落實(shí)相關(guān)的上報(bào)/告知要求存在一定的不確定性；此外，這里沒有明確“數(shù)據(jù)安全事件”是否僅局限于中國(guó)境內(nèi)運(yùn)營(yíng)所發(fā)生的數(shù)據(jù)安全事件。如果中國(guó)企業(yè)在境外發(fā)生了數(shù)據(jù)安全事件是否需要上報(bào)？從《網(wǎng)安法》角度看，可能并不需要上報(bào)，但如果事件結(jié)果也同時(shí)影響了中國(guó)境內(nèi)用戶呢？再則，《數(shù)據(jù)安全法》尚未對(duì)上報(bào)的時(shí)間進(jìn)行要求，而是采用了較為模糊的“及時(shí)告知”的表述。作為參考，GDPR在規(guī)制數(shù)據(jù)泄露時(shí)，則明確要求數(shù)據(jù)控制者在可行的情況下，應(yīng)當(dāng)在知悉數(shù)據(jù)泄露事件后的

72

小時(shí)內(nèi)告知。如果僅停留在“及時(shí)”上報(bào)的層面可能難以有效實(shí)現(xiàn)對(duì)國(guó)家有效控制數(shù)據(jù)安全事件的目的。期待《數(shù)據(jù)安全法》后續(xù)的配套法律法規(guī)、國(guó)家標(biāo)準(zhǔn)等文件能夠?qū)η笆鰡栴}進(jìn)一步澄清與細(xì)化。根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，未能設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的重要數(shù)據(jù)處理者，由有關(guān)主管部門責(zé)令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄漏等嚴(yán)重后果的,處五十萬元以上二百萬元以下罰款，并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款?！稊?shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？20?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)8.

境內(nèi)執(zhí)法的配合義務(wù)根據(jù)《數(shù)據(jù)安全法》第三十五條規(guī)定，公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)因依法維護(hù)國(guó)家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，有關(guān)組織、個(gè)人應(yīng)當(dāng)予以配合。此條款則是從法律的層面明確企業(yè)面臨公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)執(zhí)法調(diào)查時(shí)的配合義務(wù)。需要提示的是，企業(yè)在收到來自公安等其他有關(guān)部門協(xié)助調(diào)查的請(qǐng)求時(shí)，應(yīng)要求其出具相關(guān)的執(zhí)法函件，比如企業(yè)可以要求出具《協(xié)查函》等方式讓公安等文件后進(jìn)行存檔，以便日后作為企業(yè)履行企業(yè)配合義務(wù)提供數(shù)據(jù)的證明、而非不經(jīng)查驗(yàn)輕易對(duì)外提供用戶個(gè)人信息。根據(jù)《數(shù)據(jù)安全法》第四十八條第一款規(guī)定，拒不配合數(shù)據(jù)調(diào)取的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款。9.

遇域外執(zhí)法時(shí)的先行報(bào)告義務(wù)根據(jù)《數(shù)據(jù)安全法》第三十六條規(guī)定，境外執(zhí)法機(jī)構(gòu)要求提供數(shù)據(jù)的請(qǐng)求，非經(jīng)中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)，我國(guó)境內(nèi)的組織、個(gè)人不得提供。例如，當(dāng)中國(guó)企業(yè)直接向歐盟境內(nèi)的數(shù)據(jù)主體提供商品、須受到GDPR域外管轄時(shí)，如歐盟的數(shù)據(jù)保護(hù)機(jī)構(gòu)依據(jù)其職權(quán)對(duì)企業(yè)進(jìn)行調(diào)查，要求企業(yè)提供相關(guān)的數(shù)據(jù)時(shí)，不能徑直按照境外執(zhí)法機(jī)構(gòu)的要求，提供相關(guān)的數(shù)據(jù)，應(yīng)當(dāng)先向主管機(jī)關(guān)報(bào)批方可提供。根據(jù)《數(shù)據(jù)安全法》第四十八條第二款規(guī)定，未經(jīng)主管機(jī)關(guān)批準(zhǔn)向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的，由有關(guān)主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；造成嚴(yán)重后果的，處一百萬元以上五百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上五十萬元以下罰款。《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？21?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)元以上二十萬元以下罰款。22

?D1ú??·?DDò챨????μμ×êá?

《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？商業(yè)分析研究報(bào)告文檔

（二）處理重要數(shù)據(jù)的企業(yè)的額外義務(wù)

1.

設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)義務(wù)

根據(jù)《數(shù)據(jù)安全法》第二十七條的規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理

機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任?！稊?shù)據(jù)安全法》將必須明確數(shù)據(jù)安全負(fù)責(zé)人的企業(yè)限定在掌握

“重要數(shù)據(jù)”這個(gè)范疇。對(duì)于設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)義務(wù)雖非一項(xiàng)嶄新規(guī)定，但在

設(shè)置的要求與對(duì)應(yīng)規(guī)制的對(duì)象上，與以往的法規(guī)還是有所不同?！毒W(wǎng)絡(luò)安全法》第二十一條

規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)確定網(wǎng)絡(luò)安全負(fù)責(zé)人；第三十四條要求關(guān)鍵基礎(chǔ)信息設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)

設(shè)定專門的安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見

稿）》第二十四條要求關(guān)鍵基礎(chǔ)信息設(shè)施的運(yùn)營(yíng)者設(shè)置專門網(wǎng)絡(luò)安全管理機(jī)構(gòu)和網(wǎng)絡(luò)安全管

理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查；《信息安全技術(shù)

個(gè)人信息安全

規(guī)范》（2020版）第11.1條則要求個(gè)人信息控制者應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保

護(hù)工作機(jī)構(gòu)。

如前所述，《數(shù)據(jù)安全法》并沒有對(duì)受《數(shù)據(jù)安全法》規(guī)制的公司或個(gè)人作明確的限定，

“重要數(shù)據(jù)的處理者”、“關(guān)鍵基礎(chǔ)信息設(shè)施的運(yùn)營(yíng)者”、“個(gè)人信息的控制者”所涵蓋的

范圍，相互間既有所交織，又略有不同，因此企業(yè)在落地實(shí)踐中，應(yīng)當(dāng)更加明確自身處理的

數(shù)據(jù)類型，將主要數(shù)據(jù)類型視為重點(diǎn)合規(guī)的對(duì)象，設(shè)置相關(guān)的負(fù)責(zé)人與保護(hù)機(jī)構(gòu)。當(dāng)然，在

企業(yè)內(nèi)部，為了避免多頭設(shè)置不同類型數(shù)據(jù)保護(hù)的虛擬部門與負(fù)責(zé)人員，可以設(shè)置一套機(jī)構(gòu)

管理企業(yè)內(nèi)部不同類型的數(shù)據(jù)安全。具體可以參閱《國(guó)內(nèi)企業(yè)的DPO工作現(xiàn)狀與能力發(fā)展》

一文。

2.

定期開展風(fēng)險(xiǎn)評(píng)估義務(wù)設(shè)立

根據(jù)《數(shù)據(jù)安全法》第三十條的規(guī)定，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開

展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括本組織掌握的重

要數(shù)據(jù)的種類、數(shù)量、收集、存儲(chǔ)、加工、使用數(shù)據(jù)的情況、面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)

措施等。

企業(yè)如果處理的是重要數(shù)據(jù)，則需要按照要求定期開展風(fēng)險(xiǎn)評(píng)估，并向主管部門報(bào)告。因此

實(shí)施本條仍然是定義并識(shí)別重要數(shù)據(jù)為前提。

未能履行此義務(wù)的，根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，未能設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管

理機(jī)構(gòu)的重要數(shù)據(jù)處理者，由有關(guān)主管部門責(zé)令改正,給予警告,可以并處五萬元以上五十萬元

以下罰款,對(duì)直接負(fù)責(zé)的主管人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)

據(jù)泄漏等嚴(yán)重后果的,處五十萬元以上二百萬元以下罰款，并可責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、

吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)3.

合法開展數(shù)據(jù)出境活動(dòng)義務(wù)《數(shù)據(jù)安全法》第三十一條明確了重要數(shù)據(jù)出境時(shí)的合規(guī)義務(wù)，對(duì)于屬于關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)，則需要根據(jù)《網(wǎng)絡(luò)安全法》的要求，履行相關(guān)合規(guī)義務(wù)；對(duì)于其他主體出境重要數(shù)據(jù)則適用國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院制定的管理辦法。由于目前與數(shù)據(jù)出境相關(guān)的配套法規(guī)、國(guó)家標(biāo)準(zhǔn)尚處于征求意見狀態(tài)，建議公司密切關(guān)注相關(guān)立法動(dòng)態(tài)，特別是行業(yè)內(nèi)對(duì)于本行業(yè)數(shù)據(jù)出境的特殊要求（例如對(duì)于特定數(shù)據(jù)的本地化存儲(chǔ)要求）。根據(jù)《數(shù)據(jù)安全法》新增的第四十六條的規(guī)定，違法向境外提供重要數(shù)據(jù)的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，處一百萬元以上一千萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處十萬元以上一百萬元以下罰款。注釋：[1]

網(wǎng)安尋路人美國(guó)司法部“云法案”白皮書中文全文翻譯?！懊绹?guó)對(duì)外國(guó)公司管轄權(quán)的法律限制是基于美國(guó)憲法中的約束，并且是美國(guó)法院多年來制定的。當(dāng)公司位于美國(guó)時(shí)，屬人管轄權(quán)是最容易確立的。位于美國(guó)境外但在美國(guó)提供服務(wù)的外國(guó)公司是否與美國(guó)有足夠的聯(lián)系且受美國(guó)管轄，是基于對(duì)個(gè)案中該公司與美國(guó)的聯(lián)系的性質(zhì)、數(shù)量和質(zhì)量的考查。公司越是有目的地將其行為引導(dǎo)到美國(guó)，法院就越有可能認(rèn)定該公司受美國(guó)管轄。例如，美國(guó)法院將這一分析應(yīng)用于涉及網(wǎng)站的民事案件，重點(diǎn)關(guān)注網(wǎng)站與其轄區(qū)內(nèi)的客戶的互動(dòng)程度，同時(shí)考慮到網(wǎng)站的功能和機(jī)制、對(duì)客戶的任何特定促銷、通過網(wǎng)站招攬業(yè)務(wù)以及客戶的實(shí)際使用情況等因素。”《數(shù)據(jù)安全法》正式出臺(tái)，企業(yè)合規(guī)紅線，你了解嗎？23?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告文檔手冊(cè)行業(yè)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要點(diǎn)解讀環(huán)球律師事務(wù)所孟潔

|

高亞鵬24?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告文行業(yè)檔手冊(cè)【前言】2021年4月27日，國(guó)務(wù)院第133次常務(wù)會(huì)議通過《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱“《關(guān)基條例》”）。2021年7月30日，國(guó)務(wù)院第745號(hào)令公布了《關(guān)基條例》，并將于2021年9月1日起與《中華人民共和國(guó)數(shù)據(jù)安全法》一起正式實(shí)施?！蛾P(guān)基條例》的出臺(tái)，旨在落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱“CIIO”）的合規(guī)要求，為我國(guó)深入開展關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡(jiǎn)稱“CII”）安全保護(hù)工作提供有力保障。由于《關(guān)基條例》最終稿方才面世，本文將主要從如何認(rèn)定CII、監(jiān)管部門有哪些、企業(yè)義務(wù)有哪些、違規(guī)責(zé)任是什么，以及保障促進(jìn)措施怎么做等角度進(jìn)行第一時(shí)間的解讀?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要點(diǎn)解讀25?D1ú??·?DDò챨????μμ×êá?商業(yè)分析研究報(bào)告文檔分析報(bào)告文檔

商業(yè)調(diào)研公司分析報(bào)告行業(yè)文檔手冊(cè)《關(guān)基條例》特別明確了重新認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的期限，即關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大

變化，可能影響認(rèn)定結(jié)果的，保護(hù)工作部門應(yīng)當(dāng)自收到關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者報(bào)告之日起

3個(gè)月內(nèi)完成重新認(rèn)定。26

?D1ú??·?DDò챨????μμ×êá?

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要點(diǎn)解讀商業(yè)分析研究報(bào)告文檔

根據(jù)《關(guān)基條例》第二條開宗明義，關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、

交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦

遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)

設(shè)施、信息系統(tǒng)等。這與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第31條的定義方式保持了一致，采用

的仍是舉例+后果概括的方式，修正了2017年國(guó)家互聯(lián)網(wǎng)信息辦公室公布的《關(guān)鍵信息基礎(chǔ)設(shè)

施安全保護(hù)條例（征求意見稿）》（以下簡(jiǎn)稱“《關(guān)基條例（征求意見稿）》”）對(duì)行業(yè)進(jìn)行

具體列舉的方式，有利于對(duì)更大范圍的基礎(chǔ)網(wǎng)絡(luò)設(shè)施及重要信息系統(tǒng)進(jìn)行保護(hù)。

針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施邊界的認(rèn)定，此前已陸續(xù)公布過《信息安全技術(shù)

關(guān)鍵信息基礎(chǔ)設(shè)施邊

界確定方法》征求意見稿?！蛾P(guān)基條例》此次從行政法規(guī)的角度給出了詳細(xì)指南，第九條規(guī)定，

《關(guān)基條例》第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門需要根據(jù)本行業(yè)、本領(lǐng)

域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并報(bào)國(guó)務(wù)院公安部門備案。主要考慮因素包括：

（一）正向角度：網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；

（二）負(fù)向角度：網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危

害程度；

（三）關(guān)聯(lián)角度：對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。因?yàn)殛P(guān)鍵信息基礎(chǔ)設(shè)施的對(duì)象是一個(gè)整體

的系統(tǒng)，在不同的行業(yè)呈現(xiàn)不同的形態(tài)結(jié)構(gòu)。有些系統(tǒng)自身的安全等級(jí)不高，但會(huì)影響關(guān)鍵業(yè)

務(wù)的整體安全，因此由主管部門與監(jiān)管部門動(dòng)態(tài)裁減不同行業(yè)不同領(lǐng)域在實(shí)際狀況中針對(duì)CII

自身安全基線的要求可