9月1日，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）正式實施，《數據安全法》以貫徹總體國家安全觀的目的為出發(fā)點，以數據治理中最為重要的安全問題作為切入點，抓住了數據安全的主要矛盾和平衡點，是我國數據安全領域的一部重要基礎性法律。
　　堅持總體國家安全觀，是習近平新時代中國特色社會主義思想的重要內容。黨的十九大明確把堅持總體國家安全觀列入新時代堅持和發(fā)展中國特色社會主義基本方略，作出了完善國家安全制度體系、加強國家安全能力建設的總體部署。面對新形勢新任務新挑戰(zhàn)，必須全面貫徹落實總體國家安全觀，保持清醒頭腦、增強憂患意識、強化底線思維、做到居安思危，切實做好國家安全工作，堅決維護國家主權、安全、發(fā)展利益。網絡安全的核心是數據安全，在數據對各領域的重要性與日俱增的同時，數據風險與數據安全問題也愈發(fā)突出，給人類和社會帶來了前所未有的挑戰(zhàn)。在此背景下，數據的保護與治理不僅關乎數據本身作為重要生產要素的開發(fā)利用與安全問題，而且與國家主權、國家安全、社會秩序、公共利益等休戚相關。因此，按照總體國家安全觀的要求，制定一部數據安全領域的基礎性法律十分必要。
　　《數據安全法》體現了總體國家安全觀的立法目標，聚焦數據安全領域的突出問題，確立了數據分類分級管理，建立了數據安全風險評估、監(jiān)測預警、應急處置和數據安全審查等基本制度，并明確了相關主體的數據安全保護義務，這是我國首部關于數據安全的專門法律。
明確數據安全保護域外法律效力
　　當前，全球經貿交易、技術交流、資源分享等跨國合作日益頻繁，數據跨境流動已經是無法避免的事實。如果我國的數據安全法只適用于“在中華人民共和國境內開展數據活動”的地域空間，顯然是不現實的。為此，《數據安全法》第二條第二款明確規(guī)定：“在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。”
　　該款中的“境外開展數據處理活動”的主體既包括位于中國境外的數據處理者，也包括位于中國境內的數據處理者，但其數據處理行為在境外，這兩類數據處理者的行為只要損害了我國國家安全、公共利益以及公民和組織的合法數據權益，均由我國法律管轄，并追究法律責任。
實行統(tǒng)籌協(xié)調下的行業(yè)監(jiān)管機制
　　《數據安全法》第五條明確：“中央國家安全領導機構負責國家數據安全工作的決策和議事協(xié)調，研究制定、指導實施國家數據安全戰(zhàn)略和有關重大方針政策，統(tǒng)籌協(xié)調國家數據安全的重大事項和重要工作，建立國家數據安全工作協(xié)調機制。”這表明，《數據安全法》實行“中央國安委”統(tǒng)籌協(xié)調下的行業(yè)監(jiān)管機制：第一，中央國家安全領導機構負責國家數據安全工作的決策和議事協(xié)調，研究制定、指導實施國家數據安全戰(zhàn)略和有關重大方針政策，統(tǒng)籌協(xié)調國家數據安全的重大事項和重要工作；第二，各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產生的數據及數據安全負責；第三，工業(yè)、通信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數據安全監(jiān)管職責；第四，公安機關、國家安全機關等依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內承擔數據安全監(jiān)管職責；第五，國家網信部門依照《數據安全法》和有關法律、行政法規(guī)的規(guī)定，負責統(tǒng)籌協(xié)調網絡數據安全和相關監(jiān)管工作。
促進以數據為關鍵要素的數字經濟發(fā)展
　　《數據安全法》第七條規(guī)定：“國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發(fā)展。”數據作為生產要素由市場評價貢獻、按貢獻決定報酬，這是黨的十九屆四中全會首次提出的一項重大產權創(chuàng)新制度。目前，各類網絡平臺，尤其是超級網絡平臺通過自身營造的網絡生態(tài)系統(tǒng)，將網絡公共空間的數據當作一種私權，不利于數據要素市場的構建。因此，《數據安全法》明確提出“國家保護個人、組織與數據有關的權益”，這里的“權益”指公民和法人受法律保護的與數據有關的權利和利益，在個人和組織與數據有關的權益得到充分保護的基礎上，依法推動數據合理有效利用和依法有序流動。
建立數據分類分級保護制度
　　《數據安全法》第二十一條規(guī)定：“國家建立數據分類分級保護制度，根據數據在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數據目錄，加強對重要數據的保護。”
　　《數據安全法》中的“數據分類分級”，采用了數據“重要程度﹢危害程度”的立法手段，對數據實行分類分級保護，特別是將“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據”列為“國家核心數據”，實行更加嚴格的管理制度?！稊祿踩ā窂膰覍用嫣岢隽藬祿诸惙旨?，是確定數據保護和利用之間平衡點的一個重要依據，為政務數據、企業(yè)數據、工業(yè)數據和個人數據的保護奠定了法律基礎。
　　《數據安全法》沒有給出“重要數據”的定義，而是通過“制定重要數據目錄”的形式確定“重要數據”。實踐中，“重要數據”按照行業(yè)劃分很難體現其“重要性”，因此一般不采用按行業(yè)劃分的方式，而是從維護國家安全的高度，按照數據的重要程度進行分級，并通過國家制定的“重要數據目錄”明確“重要數據”的名稱和類別，“重要數據目錄”應當適時進行更新。
建立數據安全審查制度
　　“國家安全審查”是《國家安全法》最先確立的一項國家安全審查與監(jiān)管制度。根據《國家安全法》第五十九條規(guī)定：“國家建立國家安全審查和監(jiān)管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險。”
　　數據安全審查制度與網絡安全審查是依法確立的國家安全審查制度中兩項重要的安全審查制度?！稊祿踩ā返诙臈l規(guī)定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”《網絡安全法》第三十五條規(guī)定：“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。”
　　《數據安全法》中的數據安全審查制度與《網絡安全法》中的網絡安全審查制度相輔相成，交叉適用，但兩者在審查的具體對象上側重點不同，前者的審查對象主要側重于影響或者可能影響國家安全的數據處理活動，數據處理活動包括：數據的收集、存儲、使用、加工、傳輸、提供、公開等；后者的審查對象主要針對關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的情形，這里的“影響國家安全的情形”本身就涵蓋了數據安全的內容。
建立數據安全應急處置機制
　　《數據安全法》第二十三條明確了“國家建立數據安全應急處置機制”，并要求“發(fā)生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關的警示信息”。該條有四層意思：一是要在國家層面構建數據安全應急處置機制；二是有關單位在發(fā)生數據安全事件時，應當依法立即啟動應急預案，該條中的“有關單位”應當按照“誰主管誰負責、誰運行誰負責”的原則確定；三是采取最有效的應急處置措施，防止危害擴大，要消除安全隱患，同時要組織研判，保存證據，并做好信息通報工作；四是及時向社會發(fā)布與公眾有關的警示信息，強調“發(fā)布與公眾有關的警示信息”，主要是為了讓公眾了解數據安全事件的真相，并及時采取自我保護措施，避免其數據遭到破壞或在遭到破壞后防止損失的擴大。數據安全事件應急預案應當按照緊急程度、發(fā)展態(tài)勢和可能造成的危害程度進行等級分類，一般分為四級：由高到低依次用紅色、橙色、黃色和藍色標示，分別對應可能發(fā)生的特別重大、重大、較大和一般網絡安全突發(fā)事件。
明確數據處理者的合規(guī)義務
　　數據合規(guī)，是指數據處理者及其工作人員的數據處理行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和數據安全管理規(guī)章制度以及國際條約、規(guī)則等要求。《數據安全法》第二十七條到第三十條明確數據處理者應履行數據安全的四項重要合規(guī)義務。
　　一是開展數據處理活動應當依法合規(guī)。《數據安全法》第二十七條規(guī)定：“開展數據處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。”該條規(guī)定了五項重要義務：一是開展數據處理活動應當依照法律、法規(guī)的規(guī)定；二是開展數據處理活動應當建立健全全流程數據安全管理制度，并組織開展數據安全教育培訓；三是開展數據處理活動應當采取相應的技術措施和其他必要措施，保障數據安全；四是利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務；五是重要數據的處理者應當設立專門的管理機構，并明確數據安全負責人，這里的“數據安全負責人”類似于GDPR的“數據安全保護官（DPO）”。
　　二是數據處理應當為民造福并符合社會倫理道德。當前，數據處理者在數據處理活動中大量使用智能技術和算法技術，特別是數據處理者開發(fā)的智能技術與算法的融合，其本質是建立在大數據基礎上的自我學習、判斷和決策的算法。算法的核心是基于網絡的編程技術，目前基于智能技術的算法決策具有典型的“黑箱”特點，大量違背社會公德和倫理，最典型的就是大數據殺熟機制。針對數據處理者違反法律和違背社會公德濫用大數據新技術的情形，《數據安全法》第二十八條提出了開展數據處理活動以及研究開發(fā)數據新技術的三項合規(guī)義務。一是數據處理者研究開發(fā)數據技術，一定要利于促進經濟社會發(fā)展；二是數據處理者研究開發(fā)數據新技術，要以增進人民福祉為目的；三是數據處理者研究開發(fā)數據新技術應當符合社會公德和倫理。國家應當強化數據處理者和數據新技術開發(fā)者的科技倫理管理主體責任，特別是對從事生命科學、醫(yī)學健康、人工智能等涉及數據倫理敏感領域的數據處理者，應設立專門的數據安全倫理（審查）委員會，并為其獨立開展工作提供必要的條件保障。
　　三是數據處理活動應當加強風險監(jiān)測。《數據安全法》第二十九條規(guī)定：“開展數據處理活動應當加強風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發(fā)生數據安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。”數據安全風險監(jiān)測與評估是參照數據安全風險評估標準和管理規(guī)范，對數據資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行監(jiān)測，分析和判斷數據安全事件發(fā)生的概率以及可能造成的損失，并采取有針對性的處置措施和提出數據安全風險管控措施?！稊祿踩ā返诙艞l對數據安全的風險監(jiān)測與數據安全事件的處置作出兩項明確要求，一是開展數據處理活動應當加強風險監(jiān)測，發(fā)現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；二是發(fā)生數據安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。
　　四是重要數據處理者應當定期開展數據風險評估。《數據安全法》第三十條規(guī)定：“重要數據的處理者應當按照規(guī)定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。”該條款有三項內容，一是重要數據的處理者應當按照規(guī)定對其數據處理活動定期開展風險評估；二是數據風險評估報告應當向有關主管部門報送；三是風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

建立數據的出境安全管理制度
　　《數據安全法》第三十一條規(guī)定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規(guī)定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。”本條規(guī)定了重要數據出境安全管理的規(guī)定，主要涉及兩方面內容，一是關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規(guī)定；二是除關鍵信息基礎設施的運營者處理的重要數據外，其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。關于“重要數據”的范圍，主要指與國家安全、經濟發(fā)展，以及社會公共利益密切相關的數據，具體范圍應參照國家“重要數據目錄”和國家重要數據識別的相關標準。
提供數據處理服務的行政許可準入制度
　　《數據安全法》第三十四條規(guī)定：“法律、行政法規(guī)規(guī)定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。”許可含有準許、允許或授權的意思，數據處理相關服務的行政許可，其基本性質是行政機關對特定的數據處理服務活動進行事前控制的一種管理行為。
　　數據處理相關服務的行政許可一般應具有以下特征：一是從事數據處理相關服務的行政許可是一種由行政相對人申請的行政行為，沒有行政相對人的申請，行政機關不能主動予以許可。二是數據處理服務行政許可的設定意味著法律的一般禁止，行政許可的內容是國家一般禁止的活動，為適應社會生活和生產的需要，對符合一定條件者解除禁止，允許其從事某項特定的活動。數據處理服務本身涉及維護國家主權、安全和發(fā)展利益，應該是國家一般禁止的行為，但國家為了促進數據開發(fā)利用，在保障數據安全的前提下，對符合條件的組織和個人準許其實施數據處理服務行為。三是數據處理服務行政許可是一種授益性行政行為，即賦予相對人某種權利和資格的授益性行政行為，是準許相對人從事數據處理服務這項特定活動的行為。
　　（作者簡介：王春暉，浙江大學教授、博士生導師，網絡空間治理與數字經濟法治〈長三角〉研究基地主任，南京郵電大學數字經濟戰(zhàn)略與法治研究中心主任）