数据安全法9月1日施行：数据分级分类制度落地待考，违法行为处罚力度加大

6月10日，十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》（简称《数据安全法》），该法自2021年9月1日起施行。

就在4月底，十三届全国人大常委会第二十八次会议对《数据安全法》草案进行了二审。相继两次全国人大常委会审议同一法律，可见进程之快。

“制定《数据安全法》是维护国家安全的必然要求。数据是国家基础性战略资源，没有数据安全就没有国家安全。”新华社如此评述。

作为数据领域的基础性法律，不少专家在接受采访时表示，数据安全领域有了上位法，对个人信息保护和数据产业都有积极意义。

不过，《数据安全法》创设性设置的分级分类制度接下来如何落地，数据交易管理制度是否能为实践中的数据交易困境破局？仍有待考证。

最终通过的法案加大了违法行为处罚力度，尤其是对于核心数据，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，最高可罚一千万，并可追究刑责。这也意味着对企业数据合规有更高的要求。

近来备受关注的特斯拉，在《数据安全法》通过后随即表态称，将严格遵守《数据安全法》，保护消费者数据相关权益，努力促进行业和数字经济健康蓬勃发展。

环球律师事务所合伙人孟洁指出，企业须结合自身收集的数据类别情况、风险等级、技术手段与成本，落实数据技术和安全的保障制度、监督和评价。

重要数据目录待制定

《数据安全法》提出了国家应对数据实行分类分级保护，并进一步明确提出了“数据分类分级保护制度”的建立及重要数据目录的规定。

“划分是为了后续的保护和利用，不同级别适用的是不同保护标准或不同的利用方式。”清律律师事务所首席合伙人熊定中告诉21世纪经济报道记者。

对数据进行分类分级的主要标准是“数据在经济社会发展中的重要程度、以及一旦遭到篡改、破坏或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度”。

并且，最终通过的《数据安全法》，新增了核心数据的概念，对数据的管理要求更加收紧：关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

环球律师事务所合伙人孟洁解释，这呼应了我国维护国家安全和网络空间主权的根本基调，在数据主权博弈激烈的当下尤为重要。 

不过，具体到实践中如何分级分类，数据安全法似乎没有给出明确答案。

“法律规定了标准和原则，接下来需要更细化的行政法规或部门规章进行相应的约束，形成一个完整的个人信息保护、法律体系。”熊定中称。

数据安全法在一审稿中规定：各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。这便出现了各地或不同部门对重要数据定义不同的问题。

因此在二审稿中将这一权利收归国家，明确了由国家统一分级分类，出台重要数据专门目录。据此，各地区、部门、行业等再确定其领域的具体数据目录。上海交通大学数据法律研究中心执行主任何渊认为，这已形成了可落地和操作的方案。

孟洁也表示，这对于厘清何为重要数据并进一步推进重要数据保护工作至关重要。此前《网络安全法》中虽然提到了重要数据，但并未对其展开释义，《数据安全管理办法（征求意见稿）》和《信息安全技术 数据出境安全评估指南（草案）》虽对重要数据也有定义，但也没有那么清晰且两者都未生效，后者还不具有法律效力，对企业进行重要数据保护工作造成了较大的不确定性和操作上的困难。

对比二审稿，最终通过的《数据安全法》还增加了协调工作机制：国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。这也意味着“重要数据目录”的配套出台有了工作机制保障。

孟洁认为，后续各地区、各部门根据国家重要数据目录的指引制定重要数据具体目录，能进一步增强重要数据分级分类制度的落地与实践。企业应紧密关注立法趋势，从各地区、部门以及行业监管要求出发，搭建适合企业内部的数据分级分类体系，或对现有体系进行优化和完善。

数据交易落地难

数据安全是底线，数字经济发展也需兼顾。数据的流动、数据交易是推动数字经济的关键支撑。

麦肯锡全球研究院（MGI）指出，自2008年以来，数据流动对全球经济增长的贡献已经超过传统的跨国贸易和跨国投资。新的竞争赛道上，数据扮演越来越重要的角色。

《数据安全法》明确，国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

实践中，数据交易流通主要包括通过第三方交易平台进行数据交易、企业间数据共享合作等形式。

近年来，数据交易中心、交易所密集布局。尤其是去年，中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》，首次提出培育数据要素市场的要求，建立规范数据要素交易市场的需求更为迫切。

但现实是，全国三十余家数据交易中心或交易所，发展情况不尽如人意。

熊定中表示，数据交易的核心难点在于，大量控制数据的企业，本身没有太大动力将自己的数据交易出去。

何渊也表示，企业把数据看做资产，哪怕是有偿的模式，也不愿与第三方共享；其次，数据交易获益较小，而数据买卖对企业而言存在风险，因为买方是否合法利用数据难以控制。

那未来数据交易如何落地，数据安全法中提到的培育交易市场是否能实现？

熊定中认为，数据安全法落地后，数据交易可能就是一个政策引导上的问题而非法律问题。“也就是说要通过政策制定、经济调控等手段，让数据企业愿意参与进来。政府把在社会治理过程中获得的数据，进行清洗、去标识、匿名化，来进行第一批原始数据的交易。”

何渊在上海大数据中心调研时发现，金融数据和广告标签数据是实践中交易的两类主要数据。

任何具有价值的数据若要交易，在何渊看来可走两条路，一是匿名化，按照法律要求，匿名化即不可复原，但这对技术提出了极高要求。此外，就是征得个人同意，难度也非常大。

“在我看来，目前要把数据交易做成，困难重重。”何渊坦言。他也认为，突破口在于国家和政府的表率作用，将其收集的数据为数字城市的建设提供助力。另外，法律方案、技术方案和风险评估体系等也需要进一步努力完善。

孟洁还强调，数据安全须贯穿于数据交易过程的整个链条，与此相配套的数据交易管理制度应力求在稳扎稳打的基础上，合法合规地从事数据交易服务，挤压数据黑市的生存空间，规范交易行为，合理划分买卖双方及数据交易中介服务机构的权利义务，保证数据自由、合法流通的同时，保障数据的安全与完整。

企业需做好数据合规方面准备

对比一审稿、二审稿可见，最终法案进一步加大对违法行为的处罚力度。

二审稿中，拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上五百万元以下罚款。《数据安全法》在该条款中降低了罚款上限，拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款。

但是，针对最新的“核心数据”概念，最终法案增加了一项更为严苛的罚则条款：违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

此外，还增加了向境外提供重要数据的相关罚则。

更为严格的管理与处罚力度，对企业合规提出了新的要求。

“《数据安全法》的出台，使对数据安全的规制有了法律依据。”孟洁表示，企业需要实时关注《数据安全法》以及配套法规、标准的动态，以便提前做好预案，使得商业运营设计合乎法律法规的要求，让数据成为企业安全运营的新动力，包括在企业内外部数据流通、业务及产品创新、经营战略革新与升级等方面。

数据安全法确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和应急处置等基本制度。

孟洁指出，企业须结合自身收集的数据类别情况、风险等级、技术手段与成本，落实数据技术和安全的保障制度、监督和评价，例如数据分级分类存储、加密传输、保存等措施。此外，制定外部政策与协议，内部数字战略与数据安全管理制度，设立内部数据安全负责人和管理机构，对涉及数据处理的员工进行专项培训等，构建“用更多数据-造更好产品-惠更多用户-聚更多数据”的良性闭环。

此外，她建议，企业根据目前的数据安全立法体系，可制定数据全生命周期和全流程数据安全管理要求，保障数据在企业内部的安全流动；盘点数据的来源、获取途径及授权方式，确保流入与流出企业的数据授权明确且正当、合法、有效。在数据的商业利用方面，不对用户个人信息做出超出授权的使用，尽量做到数据匿名化及去标识化处理，以防止数据泄露和不当使用。

“企业的数据安全和个人信息保护，不仅是一种成本，还可能成为其核心竞争力。”何渊表示，最典型的践行者是苹果，我国的小米、华为等企业也正在把隐私安全放置公司最高纲领的位置。中国的企业要走出国门，参与全球竞争，必然要做数据合规上的准备，否则将会遭遇非常大的挑战。

（作者：王俊,实习生郭美婷 编辑：杜弘禹）

21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权，任何人不得以任何方式使用。详情或获取授权信息请点击此处。