2021年6月10日《數(shù)據(jù)安全法》正式通過，并將于同年9月1日正式施行。我國數(shù)據(jù)安全法治框架的帷幕即將拉開，數(shù)據(jù)安全法治進程正式掛擋上路。可以預(yù)期，在《數(shù)據(jù)安全法》的大框架下，更多規(guī)范與法規(guī)等配套實施細則將陸續(xù)頒布。

《數(shù)據(jù)安全法》的立法是總體國家安全觀的重要組成部分，旨在保護數(shù)據(jù)這一新型生產(chǎn)要素的安全。

《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》關(guān)系尤其密切，二者相輔相成，分別從數(shù)據(jù)與安全的角度為機構(gòu)設(shè)定了大量的合規(guī)要求。

值得關(guān)注的是，對個人信息這一特殊類型數(shù)據(jù)的保護，不僅是安全的需要，也與人格權(quán)保護的角度息息相關(guān)，即機構(gòu)需要考慮用戶個人行使訪問、修改、刪除等權(quán)利時，如何進行協(xié)助。

下面將《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》兩部法律的合規(guī)框架進行了簡單梳理，幫助機構(gòu)更全面地理解自己的合規(guī)義務(wù)：

除了與《網(wǎng)絡(luò)安全法》關(guān)系密切，《數(shù)據(jù)安全法》還預(yù)留了大量接口與其他法律相銜接，如《刑法》、《保守國家秘密法》、《出口管制法》、《檔案法》等，都會在不同情況下予以交叉。

在《數(shù)據(jù)安全法》中，管轄覆蓋了境內(nèi)與境外兩個層面：

相較于《網(wǎng)絡(luò)安全法》，《數(shù)據(jù)安全法》在境外管轄上實現(xiàn)了突破。

《數(shù)據(jù)安全法》不會僅在中國境內(nèi)具有效力，部分境外的數(shù)據(jù)處理行為同樣可以依據(jù)《數(shù)據(jù)安全法》進行規(guī)制。

比如境內(nèi)組織或個人開展跨境電信詐騙、網(wǎng)絡(luò)賭博活動中在境外生成的數(shù)據(jù)，就可能會依據(jù)《數(shù)據(jù)安全法》第35條要求有關(guān)機構(gòu)配合調(diào)取境外的數(shù)據(jù)。

但這可能會需要《數(shù)據(jù)安全法》承擔(dān)美國CLOUD法案（《澄清境外合法使用數(shù)據(jù)法》）的相關(guān)職責(zé)，未來少不了在國際間的運用。

在《網(wǎng)絡(luò)安全法》的未來修訂中，管轄問題也可能仿照《數(shù)據(jù)安全法》，將危害中國國家安全、公共利益或者公民、組織合法權(quán)益的境外網(wǎng)絡(luò)活動列入管轄范圍。

《數(shù)據(jù)安全法》中的“數(shù)據(jù)”，不僅包括電子形式，也包括以其他方式記錄的信息。即無論是電子形式，或是紙質(zhì)形式的數(shù)據(jù)都需要受到《數(shù)據(jù)安全法》的管轄，范圍相當(dāng)寬泛。

此外，“重要數(shù)據(jù)”自《網(wǎng)絡(luò)安全法》以來備受關(guān)注，關(guān)于重要數(shù)據(jù)定義、范圍、目錄的討論從未間斷。此次《數(shù)據(jù)安全法》仍未明確重要數(shù)據(jù)的概念，僅明確重要數(shù)據(jù)的目錄將由國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)，并由各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。

預(yù)期，隨著《數(shù)據(jù)安全法》的實施，各部門、各地區(qū)的重要數(shù)據(jù)目錄也會加速制定。

“核心數(shù)據(jù)”是《數(shù)據(jù)安全法》三審中新增的內(nèi)容，在此前的兩次審議中均未出現(xiàn)?！稊?shù)據(jù)安全法》將“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)”列為國家核心數(shù)據(jù)。

目前尚不清楚核心數(shù)據(jù)與重要數(shù)據(jù)會是何種關(guān)系，是核心數(shù)據(jù)是重要數(shù)據(jù)中的特殊類別，或是重要數(shù)據(jù)是除核心數(shù)據(jù)以外、需要重點保護的數(shù)據(jù)?？赡茉诤罄m(xù)法規(guī)中會逐漸予以明確。

在2020年4月中共中央與國務(wù)院發(fā)布的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》中，明確提出通過推進政府?dāng)?shù)據(jù)開放共享、提升社會數(shù)據(jù)資源價值、加強數(shù)據(jù)資源整合和安全保護加快培育數(shù)據(jù)要素市場，并引導(dǎo)培育大數(shù)據(jù)交易市場，依法合規(guī)開展數(shù)據(jù)交易，建立健全數(shù)據(jù)產(chǎn)權(quán)交易和行業(yè)自律機制。

在2021年生效的《民法典》中，未對數(shù)據(jù)權(quán)益的保護有更多關(guān)注，僅規(guī)定“法律對數(shù)據(jù)、網(wǎng)絡(luò)虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定?！保ǖ?27條）這樣的規(guī)定連原則性的保護都算不上，只是提供了未來立法銜接開放性的接口。

《數(shù)據(jù)安全法》首次以法律的形式明確了對數(shù)據(jù)權(quán)益的保護，第7條規(guī)定：“國家保護個人、組織與數(shù)據(jù)有關(guān)的權(quán)益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動，促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展?！?nbsp;

《數(shù)據(jù)安全法》在第33條中關(guān)于數(shù)據(jù)交易的要求，對數(shù)據(jù)權(quán)益的規(guī)則進行細化：“從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。”

《數(shù)據(jù)安全法》主要關(guān)注的是安全問題，而非權(quán)益問題，但仍然會成為未來數(shù)據(jù)權(quán)益保護的重要法律依據(jù)。

數(shù)據(jù)權(quán)益保護的基本規(guī)則目前仍然主要通過司法案例進行提煉，判斷數(shù)據(jù)權(quán)益的邊界。大量關(guān)于網(wǎng)絡(luò)爬蟲、API、賬號共享的司法案例將會逐漸“凝固”為確定的規(guī)則，并在未來立法工作中予以體現(xiàn)。而這也是法律工作中會越來越多介入數(shù)據(jù)安全工作的原因之一。

從法律的角度，沒有救濟就沒有權(quán)利，沒有責(zé)任就沒有義務(wù)。因此《數(shù)據(jù)安全法》第六章法律責(zé)任中配備有罰則的義務(wù)也可以被看作合規(guī)的重點，主要涉及：

除了設(shè)定具體罰則的合規(guī)項目，有關(guān)部門如果發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風(fēng)險的，還可以按照規(guī)定的權(quán)限和程序?qū)τ嘘P(guān)組織、個人進行約談，并要求有關(guān)組織、個人采取措施進行整改，消除隱患。這意味著像《數(shù)據(jù)安全法》第28條這樣要求數(shù)據(jù)新技術(shù)符合社會公德與倫理這樣的原則性要求，也可能成為監(jiān)管部門關(guān)注的對象，尤其是涉及人臉識別、算法推薦這樣可能會對人群造成影響的新技術(shù)。

關(guān)于禁止向境外提供數(shù)據(jù)的規(guī)定，雖然在此前《國際刑事司法協(xié)助法》等法律中也有規(guī)定，但缺少對法律責(zé)任的設(shè)定，這也就意味著違反了也很難有什么直接的法律后果?！稊?shù)據(jù)安全法》中設(shè)定的最高500萬元罰款讓該法律義務(wù)具有了“獠牙”，威懾力顯著提升。

數(shù)據(jù)出境的相關(guān)規(guī)定主要是從數(shù)據(jù)類型的角度對數(shù)據(jù)的跨境傳輸進行了限制。不得向境外執(zhí)法機構(gòu)提供數(shù)據(jù)主要是從用途的角度對數(shù)據(jù)跨境進行了限制?！胺墙?jīng)中華人民共和國主管機關(guān)批準(zhǔn)，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)?！?/span>

從該法條的表述來看，僅關(guān)注境內(nèi)的組織、個人，以及存儲于境內(nèi)的數(shù)據(jù)，如果是存儲于境外的數(shù)據(jù)或境外的組織和個人，則不在管轄范圍之內(nèi)。

換言之，如果境內(nèi)機構(gòu)自收集伊始就將數(shù)據(jù)存儲在中國境外，或是境外機構(gòu)所控制的境內(nèi)數(shù)據(jù)，向境外提供也無妨?！稊?shù)據(jù)安全法》第36條無疑會推動部分跨國企業(yè)將沒有本地化留存義務(wù)的數(shù)據(jù)直接存儲在中國境外，以規(guī)避第36條的義務(wù)。

該法條的另一個問題是如何界定境外執(zhí)法機構(gòu)，司法機構(gòu)相對清晰，就是各國的法院，而執(zhí)法機構(gòu)每個地區(qū)都千差萬別。比如當(dāng)?shù)氐亩悇?wù)部門是否算是執(zhí)法機構(gòu)、因為仲裁能否向海外仲裁機構(gòu)提供數(shù)據(jù)，此類問題現(xiàn)階段可能都沒有答案，有賴于與主管機關(guān)的溝通與交流。

《數(shù)據(jù)安全法》的條文很多是原則性的規(guī)定，但仍通過提綱挈領(lǐng)的方式，描繪了未來一段時間數(shù)據(jù)安全領(lǐng)域細化規(guī)則與執(zhí)法重點的路線圖：從核心數(shù)據(jù)的提出，到境外執(zhí)法的阻卻，從跨境責(zé)任到數(shù)據(jù)權(quán)益，均是會一一細化的內(nèi)容。

在2021年5月的國家網(wǎng)信辦征求意見的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》就是未來各行業(yè)與領(lǐng)域數(shù)據(jù)安全立法的一種可能的嘗試：細化重要數(shù)據(jù)目錄、明確報告內(nèi)容、對跨境提出更為清晰的要求。

對于中外跨國企業(yè)來說，數(shù)據(jù)安全已不再是關(guān)系自身信息安全的“小事”，而是會直接關(guān)系到國家安全與國家間的對抗。當(dāng)各國執(zhí)法部門給出相左的意見，網(wǎng)絡(luò)與數(shù)據(jù)庫的架構(gòu)、對不同國家（地區(qū)）政府命令的遵從與挑戰(zhàn)都會造成深遠的影響，進而塑造國際間的數(shù)據(jù)規(guī)則。