隨著信息技術和人類生產生活交匯融合，各類數據迅猛增長、海量聚集，對經濟發(fā)展、人民生活產生了重大而深刻的影響。數據安全已成為事關國家安全與經濟社會發(fā)展的重大問題。黨中央高度重視，就加強數據安全工作和促進數字化發(fā)展作出一系列重要部署。按照黨中央決策部署，貫徹總體國家安全觀的要求，全國人大常委會積極推動數據安全立法工作。經過三次審議，2021年6月10日，《數據安全法》經十三屆全國人大常委會第二十九次會議通過并正式發(fā)布，將于2021年9月1日起施行。

作為我國數據安全領域的基礎性法律，《數據安全法》主要有以下三個特點：一是堅持安全與發(fā)展并重。設專章對支持促進數據安全與發(fā)展的措施作了規(guī)定，保護個人、組織與數據有關的權益，提升數據安全治理和數據開發(fā)利用水平，促進以數據為關鍵生產要素的數字經濟發(fā)展；二是加強具體制度與整體治理框架的銜接。從基礎定義、數據安全管理、數據分類分級、重要數據出境等方面，進一步加強與《網絡安全法》等法律的銜接，完善我國數據治理法律制度建設；三是回應社會關切。加大數據處理違法行為處罰力度，建設重要數據管理、行業(yè)自律管理、數據交易管理等制度，回應實踐問題及社會關切。

《數據安全法》完善了國家數據安全工作體制機制，規(guī)定中央國家安全領導機構負責國家數據安全工作的決策和議事協(xié)調等職責，并提出建立國家數據安全工作協(xié)調機制。在網絡數據安全工作方面，專門明確國家網信部門依照本法和有關法律、行政法規(guī)的規(guī)定，負責統(tǒng)籌協(xié)調網絡數據安全和相關監(jiān)管工作。

《數據安全法》重點確立了數據安全保護的各項基本制度，完善了數據分類分級、重要數據保護、跨境數據流動和數據交易管理等多項重要制度，形成了我國數據安全的頂層設計。

《數據安全法》對數據分類分級制度進行了探索。《數據安全法》第二十一條規(guī)定，根據數據在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護，并明確加強對重要數據的保護，對關系國家安全、國民經濟命脈、重要民生、重大公共利益等內容的國家核心數據，實行更加嚴格的管理制度。《數據安全法》針對重要數據在管理形式和保護要求上提出了嚴格和明確的保護制度。在管理形式上，《數據安全法》采用目錄管理的方式，明確將“確定重要數據目錄”納入國家層面管理事項，國家數據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數據目錄。而各地區(qū)、各部門制定本地區(qū)、本部門及相關行業(yè)、領域的重要數據具體目錄，有利于形成國家與各地方、各部門管理權限之間的合理協(xié)調機制，推動重要數據統(tǒng)一認定標準的建立。在保護要求上，《數據安全法》在一般保護之外，強化了重要數據、核心數據的保護要求。一是規(guī)定數據處理者開展數據處理活動應當依照法律法規(guī)的規(guī)定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全；二是規(guī)定了重要數據處理者“明確數據安全負責人和管理機構”的義務，要求重要數據處理者在內部作出明確的責任劃分，落實數據安全保護責任；三是規(guī)定了重要數據處理者進行風險評估的要求，重要數據處理者應當按照規(guī)定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

《數據安全法》建立數據安全風險評估、報告、信息共享、監(jiān)測預警和應急處置機制，通過對數據安全風險信息的獲取、分析、研判、預警以及數據安全事件發(fā)生后的應急處置，實現數據安全事前、事中和事后的全流程保障?！稊祿踩ā返诙l規(guī)定：“國家建立集中統(tǒng)一、高效權威的數據安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。”第二十九條規(guī)定：“開展數據處理活動應當加強風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險時，應當立即采取補救措施……”從制度銜接上看，數據安全風險評估、報告、信息共享、監(jiān)測預警機制是國家安全制度的組成部分。《國家安全法》第四章第三節(jié)建立了風險預防、評估和預警的相關制度，規(guī)定國家制定完善應對各領域國家安全風險預案。數據安全風險評估、報告、信息共享、監(jiān)測預警機制是《國家安全法》規(guī)定的風險預防、評估和預警相關制度在數據安全領域的具體落實。從保護階段上看，數據安全風險評估、報告和信息共享構成了數據安全保護的事前保護義務，監(jiān)測預警機制構成了數據安全保護的事中保護義務，數據安全事件的應急處置機制形成了對數據安全的事后保護。

《數據安全法》對數據的出境管理進行了補充和完善。一是針對重要數據完善了跨境數據流動制度，《數據安全法》在《網絡安全法》第三十七條的基礎之上，規(guī)定“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。”既與《網絡安全法》相銜接，也實現了對所有重要數據出境的安全保障。二是通過出口管制的形式限制了管制物項數據的出口，《數據安全法》第二十五條規(guī)定“國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制”，明確將數據出口管制納入數據安全管理工作中，實現了與《出口管制法》的銜接，有利于從維護國家安全的角度限制相關數據的出境，對整體跨境數據流動制度進行補充。三是對外國司法、執(zhí)法機構調取我國數據的情況進行了規(guī)定。《數據安全法》第三十六條首先明確“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數據的請求。”同時規(guī)定“非經中華人民共和國主管機關批準”不得向境外執(zhí)法或司法機構提供境內數據，并對違法違規(guī)提供數據的行為，明確了包括警告、罰款等在內的行政處罰措施。這一制度的設置體現了對于合法合規(guī)向外國司法或者執(zhí)法機構提供數據的重視，明確了我國處理外國司法或者執(zhí)法機構關于提供數據請求的一般原則，同時也是依法應對少數國家肆意濫用長臂管轄，防范我國境內數據被外國司法或執(zhí)法機構不當獲取。

數據交易制度的確立使得數據依法有序流動成為現實。數據是數字經濟時代的重要生產要素，而數據交易則是滿足數據供給和需要的最主要方式，明確數據交易的法律地位，是滿足現實需求、助力數字經濟發(fā)展的重要表現，是當前數據交易制度發(fā)展的制度基礎?！稊祿踩ā返谑艞l規(guī)定國家建立健全數據交易管理制度，規(guī)范數據交易行為，培育數據交易市場。此外，《數據安全法》還在第三十三條規(guī)定了數據交易中介服務機構的主要義務，規(guī)定從事數據交易中介服務的機構在提供交易中介服務時，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。《數據安全法》為數據交易制度提供了兼顧安全和發(fā)展的原則性規(guī)定，有利于在保障安全基礎上，促進數據有序流動，激勵相關主體參與到數據交易活動中來，充分釋放數據紅利。

隨著《數據安全法》的正式出臺，我國網絡法律法規(guī)體系實現進一步完善，為后續(xù)立法、執(zhí)法、司法相關實踐提供了重要法律依據，為數字經濟的安全健康發(fā)展提供了有力支撐。（作者：方禹，中國信息通信研究院互聯網法律研究中心主任）