专业丨关于《数据安全法》不可不知的那些事

    一、明确了保护范围

    作为数据领域的基础性法律，也是国家安全领域的重要法律，该法明确界定了数据的含义，是指任何以电子或者其他方式对信息的记录（第三条）。同时，适用的范围也作出的规定，该法不仅对在我国境内适用，对于域外适用效力也进行了规定（第二条）。

    二、明确了主管机构

    中央国家安全领导机构负责国家数据安全工作的决策的议事协议，同时，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责，各主管部门承担本行业、本领域数据安全监管职责，国家网信部门负责统筹协调（第五条、第六条）。

    三、赋予了行业组织、第三方机构开展活动的权限

    第十条中规定，相关行业组织依法制定数据安全行为规范和团体标准。未来，行业规范和标准，有可能将成为相关部门执法的依据。同时，第十八条中明确，支付数据安全检测评估、认证等专业机构依法开展服务活动。可见，安全评估机构的评估和认证，也将成为相关部门认定的标准。

     四、确立了数据分类分级保护制度

     与《网络安全法》一样，《数据安全法》也确立了等保制度，根据数据的重要程序分类分级保护，由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录。在此，提醒数据企业密切跟踪相关部门出台的数据分类规定，及时做好数据分类和建设相关等保制度。

    五、设立安全负责人和管理机构，建立风险监测、信息共享机制

    第二十七条除规定了数据安全管理制度外，还规定了重要数据处理者安全负责人和管理机构。安全负责人管理机构主要根据第二十九和第三十条的规定，开展风险监测、采取处置措施、定期开展风险评估及向有关主管部门报告等活动。

    六、明确了数据交易中介机构的主要义务

    第三十三条明确规定，数据交易中介机构，应当要求数据提供方说明数据来源，审核交易双方身份，并留存审核、交易记录。该条虽然仅要求说明数据来源，没有要求中介机构对数据来源进行核审，给数据交易的双方，特别是相关对方，带来了隐患，因此在通过中介机构购买数据时，仍需审查对方数据来源的合法性、是否有授权等，以确保数据的合法及可使用性。

    七、明确了数据处理的原则

    第三十二条规定了，收集数据应当采取合法、正当的方式，不得窃取或其他非法方式获取。收集、使用数据的目的、范围应当符合法律法规规定，并规定了相应的行政许可。

    八、数据出境特殊规定

    关键信息基础设施运营的重要数据出境，必须经主管机关批准，其他数据出境由网信部门会同国务院有关部门制定。值得注意的是，第三十六条规定，非经主管机关批准，不得向外国司法或者执法机构提供存储于境内的数据。亦即，外国的司法行政机构要求提供存储于国内的数据，用于该外国的司法行政活动，未经我国主管机关批准，不得提供。

    九、处罚力度空前

    违法《数据安全法》的组织和个人都将受理处罚，轻则警告并处5万以上50万以下罚款，并对直接负责的主管人员和其他直接责任人员一万以上十万以下，重则处一百万元以上一千万元以下罚款并吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款，追究刑事责任。

    除此之外，开设专章对政务数据安全与开放作出了规定。

（此文系作者个人观点，不代表本所立场）