数据安全立法加速——《数据安全法（草案二次审议稿）》发布

在提交至第十三届全国人大常委会第二十八次会议审议后，《数据安全法（草案二次审议稿）》（“《二审稿》”）于2021年4月29日正式发布向社会征求意见至2021年5月28日。

《数据安全法（草案）》 （“《一审稿》”）为第十三届全国人大常委会第二十次会议讨论后于2020年7月3日发布，《二审稿》在此基础上进行了相应的调整和补充。

《数据安全法》出台后将成为以《国家安全法》为代表的国家安全法律体系的重要组成部分，也将与《网络安全法》及同日发布二审稿的《个人信息保护法》一起组成信息领域的基础性法律体系。

一、《二审稿》重大变化

相比《一审稿》，《二审稿》依然保持了原有的总共七章的体例，全文共53条，相较《一审稿》仅增加了2条。

其中比较重要的改变包括：

• 《一审稿》提出国家应对数据实行分类分级保护，而《二审稿》更明确提出国家建立数据分类分级保护制度，对数据进行分级保护，并确定重要数据目录，加强对重要数据的保护（第二十条）；

• 强调网络安全等级保护制度，规定开展数据处理活动应当在网络安全等级保护制度的基础上，建立相关管理制度（第二十六条）；

• 新增关键信息基础设施运营者重要数据出境将按照《网络安全法》开展安全评估，对其他数据处理者在境内收集和产生的重要数据亦将制定专门的出境安全管理办法（第三十条）。但重要数据仍未明确定义，而是留待上述重要数据目录予以确认；

• 《一审稿》提出了限制境外执法机构调取境内数据，《二审稿》在此基础上新增了对境外司法机构调取境内数据的限制，要求必须经过主管机关批准后方可提供出境（第三十五条）；

• 违反数据安全保护义务的罚款金额显著提高，《二审稿》下违反数据安全保护义务的企业的罚款金额上限从《一审稿》的人民币100万元提高至人民币500万元，并可责令暂停业务、停业整顿、吊销许可或营业执照，对直接责任人员的罚款金额从《一审稿》的人民币10万元上调至人民币50万元（第四十四条）；

• 新增不配合公安、国安调取数据时的法律责任，最高处人民币50万元罚款，直接责任人员的罚款最高为人民币10万元（第四十六条）；

  
  

• 新增未经批准向境外司法、执法机构提供数据的法律责任，最高为人民币100万元罚款，直接责任人员的罚款最高为人民币20万元（第四十六条）。

下文我们将详细讲解《二审稿》相关内容。

二、 适用范围

《二审稿》规定，在中华共和国境内开展的数据处理活动及其安全监管，适用本法。在域外适用上，进一步规定，在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。（第二条） 但如何“依法追究法律责任”，目前在《二审稿》中并未明确说明。

《二审稿》规定，“数据”是指任何以电子或者非电子形式对信息的记录；而“数据处理”是指数据的收集、存储、使用、加工、传输、提供、公开等。（第三条）

根据上述定义，“数据”所涵盖的范围十分广泛、在目前政务、企业逐步向数字化转型的过程之中，几乎会囊括生产、经营、管理各方各面所产生的信息记录。《二审稿》附则进一步规定，涉及国家秘密与个人信息的数据处理活动，分别适用《中华人民共和国保守国家秘密法》等法律行政法规和个人信息保护法律、行政法规的规定，因此《一审稿》并不包括对于国家秘密、也不特别适用于个人信息的数据活动。但是，《二审稿》所涉及的数据的边界、特别是在实践之中如何对于企业的业务实践适用，仍需进一步界定。例如，《二审稿》要求对数据进行分级分类保护，仅针对重要数据制定了相关具体义务（如本文第六部分所述），而对于除重要数据之外的其他数据是否仍需相应规制、以及规制的重点及规则可能需后续进一步明确。

《二审稿》规定，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及保障持续安全状态的能力。（第三条）从整个《二审稿》的内容来看，此处的数据安全既包含宏观国家安全层面、亦包括组织与个人落实数据安全措施的微观层面。

相比《一审稿》，《二审稿》的本部分主要是将规制对象从“数据活动”调整为“数据处理活动”，并完善了“数据处理”、“数据安全”的定义，用词更为准确；并且明确了对数据处理活动的安全监管也适用该法。

三、 《二审稿》与网络、安全法律体系的衔接

数据安全要素是国家安全、网络安全的重要组成部分。

《国家安全法》原则性的规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现……数据的安全可控（第二十五条）。

《网络安全法》亦要求企业应履行网络安全等级保护义务，采取数据分类、重要数据备份和加密等措施（第二十一条）。我们注意到，《二审稿》与上述法律及其相关配套法规（及征求意见稿）的规定的协调及衔接仍需进一步观察，例如：

• 《二审稿》规定的重要数据相关保护义务与《网络安全法》、《数据安全管理办法（征求意见稿）》中相关定义及规定的衔接；

• 《二审稿》规定的数据出口管制制度与2020年出台的《出口管制法》的出口管制要求、《网络安全法》、《数据安全管理办法（征求意见稿）》及《个人信息保护法（草案二审稿）》规定的数据出境的相关要求的衔接；

• 《二审稿》规定的数据安全审查制度与《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》的关联。

四、 数据安全与发展并行的原则

《二审稿》在总则之中首先明确了国家保护个人、组织与数据有关的权益，鼓励数据合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展（第五条）。

接着，《二审稿》在第二章中明确对于数据开发利用的支持，强调数据安全和促进数据开发利用并重。相关支持措施包括实施大数据战略、推进数据基础设施建设、制定数字经济发展规划（第十四条）；加强数据开发利用和数据安全技术研究（第十五条）；促进数据人才培养（第十九条）等鼓励和支持数字经济发展、数据开发利用的总体战略和方针，也同时要求推进数据开发利用技术和数据安全标准体系建设（第十六条）；促进数据安全检测评估及认证（第十七条）、建立健全数据交易管理制度（第十八条）。

可见，从《二审稿》的制度设计，意在鼓励和建立各种数据相关的制度支持措施，并结合对于数据的管理和要求，以促进和协调数字经济与数据安全之间的平衡有序发展。

本部分《二审稿》并未在《一审稿》基础上作出实质性变动。

五、数据安全执法主体及工作职责

《二审稿》第六条、第七条明确了数据安全的监管与不同执法单位的工作职责。中央国家安全领导机构承担数据安全工作的决策与统筹协调作用，并制定、指导实施国家数据安全战略和重大方针政策。此外：

• 各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任；

• 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等行业主管部门承担本行业、本领域数据安全监管职责；

• 公安机关、国家安全机关在各自职责范围内承担数据安全监管职责；

• 国家网信部门负责统筹协调网络数据安全和相关监管工作。

相较于《一审稿》，《二审稿》本部分增加了交通行业主管部门承担行业内数据安全监管职责，我们理解该变化与自动驾驶、网联汽车的蓬勃发展有密切关联；《二审稿》还将“国防科技工业”修改为“科技”，扩大了对科技领域的数据监管范围。

六、数据安全的基本制度体系

作为数据安全领域的基本法律，《二审稿》创设了一系列数据领域的基本制度，构建我国数据安全制度的基本框架，为未来数据安全制度体系的发展与完善奠定基础。这些基本制度与《一审稿》基本保持一致，具体包括：

1.数据分级分类保护及重要数据保护制度

《二审稿》规定国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。（第二十条）

《二审稿》未明确数据分级分类保护的具体要求，但对于重要数据的处理提出了特别的要求：（1）重要数据的处理者应明确数据安全负责人和管理机构（第二十六条）；（2）重要数据处理者应定期对数据活动开展风险评估，并向有关主管部门报送风险评估报告，评估报告应包含所掌握的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等（第二十九条）； （3）关键信息基础设施的运营者出境重要数据适用《网络安全法》；其他数据处理者出境重要数据将由国家网信部门会同国务院有关部门制定出境安全管理办法（第三十条）。如上文第一部分所述，第（3）点为《二审稿》新增内容。

对重要数据的规制由《网络安全法》于2016年首次提出，主要对关键信息基础设施运营者收集的重要数据提出数据本地化及重要数据出境安全评估的要求。此后发布的相关征求意见稿，例如《信息安全技术 数据出境安全评估指南》（征求意见稿）、《数据安全管理办法（征求意见稿）》对各类重要数据进行了列举及定义，《数据安全管理办法（征求意见稿）》对重要数据的处理也提出了相应要求。

《二审稿》将建立对重要数据的处理规则，体现了重要数据管理制度的不断深化。但《二审稿》仍未能对重要数据做出明确的定义，而是留待各地区、部门、行业出台相关清单，反映了在实践中对数据进行分类、定义的复杂性。

2.数据安全风险管控制度

《二审稿》要求国家建立统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险信息的获取、分析、研判、预警工作。（第二十一条）此制度的具体内容及相关政府部门及企业的义务仍有待于未来相关配套法规的细化和补充。

3.数据安全应急处置机制

国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息（第二十二条）。此规定如何与《突发事件应对法》等现有法规的衔接需进一步观察。

4.数据安全审查制度

国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。（第二十三条）。

《二审稿》未明确数据安全审查制度的具体内容。进一步的，其与现有《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》中规定的针对关键信息基础设施运营者的相关安全审查制度的关系需进一步观察。

5.数据出口管制制度

国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制度。2020年10月17日发布的《出口管制法》规定了对货物、技术、服务等物项的出口管制要求，并对出口管制进行了定义。

此外，《网络安全法》、《数据安全管理办法（征求意见稿）》及《个人信息保护法（草案二审稿）》分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求，但相关具体细则尚未明确。数据出口管制及数据出境安全评估制度之间的配合及衔接有待未来立法的进一步明确。

6.歧视性措施反制机制

对在数据和数据开发利用技术等有关投资、贸易方面对我国采取歧视性措施的，根据实际情况采取反制措施（第二十五条）。

七、 数据安全保护义务

《二审稿》第四章规定了单位及个人在国家数据安全保护体系下应遵守的各项义务，这些基本义务包括：

• 开展数据处理活动应依照法律、法规的规定，在网络安全等级保护制度的基础上，建立健全流程数据安全管理制度、组织开展数据安全教育培训、采取相应的技术措施和其他必要措施，保障数据安全（第二十六条）；

• 对数据活动进行风险监测，发现数据安全缺陷、漏洞等风险时立即采取补救措施；发生数据安全事件发生后应立即采取处置措施，按照规定及时告知用户并向主管部门报告（第二十八条）；

• 采取合法、正当的方式获取数据（第三十一条）；

• 配合公安、国家安全机关因维护国家安全或侦察犯罪调取数据的要求（第三十四条）；

• 境外司法、执法机构要求调取存储于境内数据的，非经主管机关批准，不得提供（第三十五条）。

除上述基本义务外，《二审稿》提出，法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。（第三十三条）但《二审稿》并未说明什么样的数据处理服务需要取得许可，这一点仍有待于立法机关的解释和配套法规予以明确。

《二审稿》还对数据交易中介服务商提出了特别的数据安全义务：

• 从事数据交易中介服务的机构应要求数据提供方说明数据来源并审核交易双方身份、留存审核、交易记录；我们认为：从事数据业务的供应商及数据业务交易的中介平台应充分关注此项要求（第三十二条）。

八、政务数据的开放与安全要求

在我国电子政府稳步推进的大背景下，政务数据的安全保护刻不容缓，一方面需要不断推进政务数据的透明开放，提升社会治理水平；一方面政务数据因其特殊性，同样关系到国家安全一旦被滥用或非法泄露，也会对国家和社会产生危害。在此背景下，《二审稿》第五章对政务数据的安全与开放做出了明确要求。包括国家机关应在法定职责范围内从事数据活动、应建立健全数据安全管理制度、及时准确公开政务数据、建设安全可控的政务数据开放平台等。

特别需要注意的是，第三十九条、第四十二条规定，国家机关、或法律法规授权的具有管理公共事务职能的组织为履行法定职责而委托他人建设、维护电子政务系统，存储、加工政务数据，或者向他人提供政务数据，应经过严格的批准程序，并应当监督受托方、数据接收方履行相应的数据安全保护义务。基于此，与政府机关或上述组织进行合作，或为其提供服务的第三方供应商应特别关注此项审批要求，具体的审批程序有待进一步观察。

九、 违反数据安全义务的法律责任

如上文所述，《二审稿》第六章大幅提高了违反各项数据安全义务所对应的法律责任。第四十三条规定了主管部门在监管过程中发现数据活动有较大安全风险的，可对相关组织与个人进行约谈。此外，该章针对开展数据处理活动的组织与个人、数据交易中介机构的经营者、国家机关及国家工作人员等不同主体违反《二审稿》中规定的相应义务所承担的法律责任进行了详细规定。相比起《一审稿》，《二审稿》还对不配合公安、国安机关的数据调取要求，或未经批准向境外司法、执法机构提供数据的情形，规定了明确的法律责任。

十、我们的观察

《数据安全法》作为我国第一部有关数据安全的专门法律，为我国数据安全治理体系建立了立法基础及制度框架，确立了数据安全保护和基本思路和大致方针。

考虑到《二审稿》所涉及领域的广泛性、复杂性，在《二审稿》原则规定的基础上，其如何与现有《网络安全法》、正在起草的《个人信息保护法》等法律及其配套规定的衔接，如何相应配套设计、落地各项具体的数据安全制度，如何在数据安全的前提下、实现数字经济的稳步有序发展，都是巨大的挑战、也可以预见未来实践之中的诸多议题。

数据活动对于企业的经营、城市的发展、政务的推进，尤其是在大数据、人工智能、云计算、区块链等新型科技领域和数字经济领域不断快速发展的大背景下至关重要。《网络安全法》于2017年生效后，为企业的数据活动已提出了新的合规框架。但规制主要集中于个人信息与重要数据领域，尚未进行统一的数据安全立法，且对于重要数据领域的法律和执法框架也一直仍在探索和形成。

《二审稿》的出台无疑将为各类企事业单位、以及政务过程之中合法、安全的利用、处理数据提供基本的法律依据与参考，将进一步促进内外部的数据安全合规工作、落实各项数据安全义务。

对于各行业，尤其是可能涉及重要数据的金融、能源、水利等关键行业的企业而言，需要紧密关注数据分类及重要数据保护制度，完善数据安全风险预防机制、数据安全事件应急处理机制等；就交易平台而言，应加强对于数据来源及交易双方的审核机制；对于为各类企事业单位提供数据处理和服务的企业而言，《二审稿》规定的各项制度也将直接影响其未来的经营模式和义务。

我们将持续关注《二审稿》的进展。