数据安全顶层设计奠基：《数据安全法（草案）》公开征求意见

数据安全顶层设计奠基：《数据安全法（草案）》公开征求意见 – 作者:acstar

2020年7月伊始，《数据安全法（草案）》在千呼万唤中得以亮相，成为总体国家安全观下新的拼图，与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法（草案）》并立。

《数据安全法（草案）》目前只是初次公开征求意见，条文距离最终文本还存在很大的不确定性，但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法（草案）》对一些基础概念进行明确：

概念	定义
数据	任何以电子或者非电子形式对信息的记录。
数据活动	数据的收集、存储、加工、使用、提供、交易、公开等行为。
数据安全	通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。
网络安全* *《网络安全法》第76条	通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

二、设立义务

对于大多数企业来说，更为关注的是《数据安全法（草案）》新设立了哪些义务，企业需要新采取哪些合规措施。在《数据安全法（草案）》中列明了以下项目：

其中处理重要数据需要报送风险评估报告需要包括以下内容：

重要数据种类	数量	收集情况	存储情况	加工情况	使用情况	安全风险	应对措施
重要数据A
重要数据B
重要数据C

如果违反，则可能面临以下行政处罚：

	常规		拒不整改或数据泄露造成严重后果
组织与个人	责令改正、警告	最高10万元	最高100万元
责任人员	/	最高5万元	最高10万元

三、数据交易

在2020年4月，《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场，依法合规开展数据交易”，并将数据列为一种生产要素，要求：

（二十二）加强数据资源整合和安全保护。探索建立统一规范的数据管理制度，提高数据质量和规范性，丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。

在《数据安全法（草案）》对数据交易的中介机构专门要求，如果违反，最高也会面临100万元的罚款或吊销经营许可：

提供方说明数据来源
审核交易双方的身份
并留存审核、交易记录

国家标准《信息安全技术数据交易服务安全要求》（GB/T 37932-2019）会成为《数据安全法》在适用时所倚重的对象，对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架：

四、立法与监管方向

相较于草案阶段的义务，未来立法与监管的方向同样值得留意。

《数据安全法（草案）》不仅在关注境内的数据获得，同样赋予了管辖境外数据活动的“长臂”，并且加入了“对等原则”，即如果境外国家（地区）在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施，中国也会采取对等措施。但具体如何判断歧视性措施，对等措施如何采取则有待未来立法进一步明确，这恐怕需要不短的时间。

除了设置自己的“长臂”，《数据安全法（草案）》对海外的“长臂”（如欧洲GDPR、美国“云法案”）同样进行了回应，针对海外执法机构在境内调取数据，同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约，方可提供数据。

此外，未来围绕数据的立法与监管可能会在以下方向着力：

管辖境外影响境内合法权益的数据活动
向境外执法机构提供数据的流程
数据分级分类，由各地区、部门制定重要数据保护目录
统一的数据安全风险评估、报告、信息共享、监测预警机制
数据安全应急处置机制
数据安全审查制度，且审查是最终决定
出口管制拓展至数据领域
……

《网络安全法》从首次公开征求意见到最终生效历时接近两年，《数据安全法》也正在开始同样的进程：

法律	首次征求意见	二次审议稿	三次审议稿	通过	生效
《网络安全法》	2015.07.06	2016.07.06	2016.10.31	2016.11.07	2017.06.01
《数据安全法》	2020.07.03	？	？	？	？