简评《中华人民共和国数据安全法》

2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》，距离4月26日的二审稿才过去40多天，立法进程不可谓不快，足可见现实数据领域的迫切需求以及立法层面对于数据领域的密切关注。本文主要通过六个模块来分析数安法。

一、立法目的的细化

数安法第一条规定“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”相对于GDPR的表述，我国数安法立法目的的表述无疑更加详细和具体，特别是将“规范数据处理活动”作为第一项，可见侧重。总结来说，数安法的立法目的还是立足于数据保护和数据流动。

二、三个重要定义

数安法第三条对于数据、数据处理、数据安全给出了明确的定义，特别是将数据活动清晰的分解为数据处理和数据安全。本文侧重数据安全领域，对于数据处理的规定要等《个人信息保护法》的出炉—《个人信息保护法》的二审稿已经于2021年4月29日公布—参照数安法的立法进程，可以预估《个人信息保护法》将很快出炉。

三、监管部门的组成

数安法第五、六条规定了数据安全领域的监管部门，可以理解为一轴多翼的监管模式。国家网信办作为轴位，负责统筹协调网络数据安全和相关监管工作。国家各部门按照行业、领域以及特殊职责范围承担具体的监管职责，比如公安部门负责网络安全的保卫、数据黑产、数据非法交易等涉及违法犯罪的事项。

四、数据分类分级保护和重要数据目录

数安法第二十一条规定了数据分类分级保护制度和重要数据目录。数据的分类分级保护制度是必要的，数据因重要性、危害程度等会存在不同的数据类型，对于不同规定数据类型如果不加区分，采取一刀切的方式不利于数据安全和数据保护的有效开展。等国家的数据分类分级保护制度具体作出后，企业可以根据相关规定，进一步的制定契合企业自身实际情况的数据分类分级制度，对不同的数据类型制定与其所属级别对应的规则进行保护和处理。结合目前多部数据领域法律，已有数据类型包括个人信息、重要数据等。

其中对于重要数据的判断尤为重要。数安法规定将制定重要数据目录，一方面国家层面会制定具体的目录，另一方面各地区、各部门也会根据行业、领域的不同制定不同的重要数据具体目录。因此企业可根据所属行业、领域，参照重要数据具体目录，制定公司的数据分类分级制度和重要数据目录，进行分类分级保护。

五、重要数据的“守门员”、风险评估、数据跨境

守门员。根据数安法第二十七条第二款“重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”考虑到第二十一条已经规定了重要数据的重点保护规则，为落实重点保护工作，数安法要求数据处理者应当明确数据安全的负责人和管理机构，相当于在对重要数据进行汇总后，添加具体的“守门员”，来守护重要数据。一旦重要数据发生泄露等安全问题，将对于“守门员”进行追责，该责任和后续直接负责的主管人员和其他直接责任人员”责任相衔接。

风险评估。数安法第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。”除制度数据的分级分类保护和设置守门员外，还需要定期对于数据处理活动开展风险评估工作，保障重要数据保护机制的常态化。同时，对于风险评估报告的具体要点进行了解释，主要分为三个部分：1、处理的重要数据的种类、数量；2、开展数据处理活动情况；3、面临的数据安全风险及其应对措施。将来企业在应对定期风险评估时，可借助第三方的专业机构，对企业的重要数据进行评估。

数据跨境。数安法对于重要数据的数据跨境问题，也做了区分。对于关键信息基础设施的运营者（CIIO）和其他数据处理者予以不同的规定，前者适用《网络安全法》，后者根据网信办的具体规定。因此对于需要数据跨境的企业来说，关键信息基础设施的识别就显得格外重要，目前可以根据《网络安全法》、《国家网络空间安全战略》、《关键信息基础设施安全保护条例（征求意见稿）》、《信息安全技术关键信息设施网络安全保护要求（征求意见稿）》、《关键信息基础设施确定指南》等规定，通过领域识别、风险识别等方法识别关键信息基础设施。

而CII的数据跨境问题可对接到《网络安全法》第31-39条，特别是第三十七条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”也就是说原则上境内存储，若需出境，需要开展安全评估。具体如何开展安全评估工作，可具体参照《个人信息和重要数据出境安全评估办法（征求意见稿）》，该办法规定了重点评估的内容、禁止出境的数据等。对于数据控制者和处理者来说，在确定数据重要目录、建立守门员制度以及区分CII和其他数据后，还需要对于境内数据存储进行分析、出台数据出境管理办法等。

六、法律责任

来源：德恒南京律师事务所 作者：吴慧康

本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除