继欧盟GDPR、美国CCPA等法案之后，2021年6月10日，《中华人民共和国数据安全法》正式表决通过，公布出台。

      随着《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将“数据”作为一种新型生产要素，数据与其他传统要素并列成为生产要素之一。同时，在全球数字经济高速发展的时代，国家之间也业已将数据作为核心竞争要素。面对数字经济迎来新的发展机遇的同时，数据安全也与国家安全和经济发展相关，通过立法实现数据安全也是必然。

      笔者凝取了《中华人民共和国数据安全法》的要点，分析了其中与企业相关的规定，以期企业主理解与企业相关的条文，梳理企业数据合规要点。

      一、《数据安全法》要点分析

       《数据安全法》共计五十五条，其中涉及的要点、亮点颇多，以下仅以数据处理活动涉及的主体、数据的开发利用及数据产业发展、数据分类分级保护制度、数据安全监管主体、政务数据及电子政务、违反规定的法律责任六个要点为主进行了分析，具体分析如下：

      （一）数据处理活动定义广泛，涉数据处理主体全面

      《数据安全法》第二、三条规定了适用对象为“在我国境内开展数据处理活动及其安全监管”，其中“数据”是指任何以电子或者其他方式对信息的记录；“数据处理活动”是指数据的收集、存储、使用、加工、传输、提供、公开等；“数据安全”是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

      此外，《数据安全法》附则部分还明确，开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定，军事数据安全保护，由中央军事委员会负责。

      因此，《数据安全法》的适用对象范围非常广泛，对于在境内实施任何数据收集、存储、使用、加工、传输、提供、公开等行为的组织和个人，不论主体身份，均应遵守这一法律规定。

      （二）以数据的开发利用和产业发展促数据安全

      当前数字经济的发展正成为我国在国际社会中的一大竞争力。《数据安全法》第七条规定，国家鼓励数据依法合理有效利用，并保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展，第十三条规定，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

      《数据安全法》的正式实施将有利于促进数据的流动，产生数据流动价值，以数据分析、运算，大数据平台等数据开发处理为业务的方向，将可能在开发利用上具有国家或者地方的扶持政策，数字产业的发展也可能迎来春天。

      （三）国家建立数据分类分级保护制度及安全机制

     《数据安全法》第二十一条规定国家建立数据分类分级保护制度。深信服企业在数据智能分类分级已经进行了探索，其数据分类分级平台引入了人工智能与机器学习算法，采用机器学习技术，在数据分类分级上作了一次有效实践。至于数据如何进行分类分级，以及分类分级的标准如何确定相信国家也会借鉴行业先行者的经验出台相应的措施和规定。

      （四）数据监管层级高且全面，涉中央及各地区部门

      《数据安全法》第五、六条明确了数据安全领域内治理体系的顶层设计，由中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策；由公安机关和国家安全机关承担其范围内的监管职责；由各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。最后由国家网信部门统筹协调网络数据安全的监督管理工作。

       《数据安全法》以“网信部门+公安部门+国安机关+地区部门”的体系组成，形成了层级高且全面的方式。国家将数据安全全局决策统筹工作升格至中央国家安全领导机构，与《国家安全法》一致，这也反映了数据安全在国家安全体系中的地位。

      （五）电子政务建设加强，政务数据按规定公开

      《数据安全法》第三十七条规定，国家大力推进电子政务建设，提升运用数据服务经济社会发展的能力。第四十一、四十二条规定，国家机关应当按照规定及时、准确地公开政务数据，依法不予公开的除外。国家制定政务数据开放目录，构建政务数据开放平台，推动政务数据开放利用。

      政务数据的公开有助于民众更加便捷的获取和了解与其相关的信息，政务数据的利用与开放能够加快政府数字化转型，推进电子政务建设。构建统一规范、互联互通、安全可控的政务开放平台，将政务数据的价值利用最优化，政府和社会也能利用数据更好地服务和促进经济发展。

      （六）数据处理活动主体履行义务严，违法成本高

      《数据安全法》对违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任；同时对开展数据处理活动的组织、个人，从事数据交易中介服务的机构及履行数据安全监管职责的国家工作人员等均规定了违反《数据安全法》的处罚措施。

     二、企业数据合规分析

      《数据安全法》第四章规定了数据安全保护义务，本文以该部分的规定结合企业数据合规义务进行分析。笔者从企业数据收集过程的合规义务、数据交易中介服务机构的要求和审核义务、企业需建立数据安全管理制度及采取措施保障数据安全义务、在应取得行政许可下的数据服务申请许可义务、境内配合义务、域外跨境需经批准六个方面，对企业在数据合规方面进行了分析，具体如下：

      （一）企业需确保数据收集过程合法、正当，目的、范围合法合规

      《数据安全法》第三十二条规定，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

      该规定对企业在数据收集活动中提出了明确的要求，企业在收集数据时，手段、方式需具有合法、正当性不得危害国家安全、公共利益，不得损害个人、组织的合法权益，在对数据收集目的及范围有明确规定下并，需审查自身获取数据的目的和范围是否合规。

      （二）数据交易中介服务的机构审核交易过程，确定交易合法性

      《数据安全法》第三十三条规定，从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

      《数据安全法》本身并未对“数据交易中介服务机构”进行定义。据东方财富网报道，2021年3月，北京市经济和信息化局会同市金融局、市商务局、市委网信办等部门等部门，组织北京金控集团牵头发起成立北京国际大数据交易所。笔者认为北京国际大数据交易所即属于此处的“数据交易中介服务机构”，由此也可见数据交易中介服务机构的成立及服务提供也可能非一般企业可为。

      （三）设立数据安全管理制度，采取技术和必要措施保障数据安全

      《数据安全法》第二十七条规定，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

      依据上述规定，企业在数据处理活动中应当建立健全全流程数据安全管理制度，采取技术措施，保障数据安全。笔者认为企业数据安全可能涉及外部的合作伙伴、竞争对手等，内部的在职技术人员、在职、离职和待离职员工等。企业可以考虑从组织架构、员工制度、数据保密、定期检查、安全教育、数据维护、防止黑客等方面入手，将数据安全管理贯穿企业的内外，以保护数据安全。

      （四）提供数据处理相关服务应取得行政许可的，应依法取得许可

      《数据安全法》第三十四条规定法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。

      虽然《数据安全法》并未规定哪些涉及数据的服务应当取得许可，但相信随着《数据安全法》的出台，负有相应责任的部门也会制定与之匹配的制度，对于应当取得许可的服务类型进行明确的规定。

      （五）遇境内公安机关、国家安全机关依法需要调取数据的，应当配合

      《数据安全法》第三十五条规定，公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

      实践中存在大型企业、金融机构等不配合提供相应数据的情况，该规定确立了有关组织、个人遇境内公安机关、国家安全机关依法需要调取数据时，应当配合的义务。

      （六）遇域外执法提供数据请求时，需经主管机关批准，不得私自跨境

      《数据安全法》第三十六条规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

作者 | 王生忠律师

四川恒和信律师事务所律师、专利代理师

      王生忠律师为四川大学法律硕士，工科，法学双学士。擅长涉高新技术，新兴行业法律服务。执业期间，为数家著名高校、科技企业、国有企业、上市公司提供过企业股权架构设计、商事诉讼等法律服务，参与了高科技环保企业在瑞士ICC知识产权仲裁等案件。