數據安全法兩周年七大亮點

《法人》特約撰稿 王藝 余灝 周謝軍

9月1日，《中華人民共和國數據安全法》（下稱“數據安全法”）生效實施已滿兩周年。植德數據合規組長期專注數據合規工作，結合對市場上數據法規則、案例更新，列舉出數據安全法實施兩周年以來值得關注的七大亮點。

亮點一：不同行業數據安全管理辦法陸續出臺

數據安全法第六條第二款規定：“工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責?！蹦壳?，工業、醫療、金融、證券、能源等領域，均結合領域數據處理的實際情況和特點，出臺了專門數據安全或網絡安全管理辦法。如《工業和信息化領域數據安全管理辦法（試行）》 《電力行業網絡安全管理辦法》《醫療衛生機構網絡安全管理辦法》《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》《證券期貨業網絡安全管理辦法（征求意見稿）》。

亮點二：數據分類分級制度在各行業進一步深化

數據安全法第二十一條第一款規定：“國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護?！睂嵺`中，金融、醫療、證券期貨、政務、電力、汽車等，均出臺專門的數據分類分級指南或者數據安全分級指南。

亮點三：重要數據目錄及其治理工作在多地試點

數據安全法第二十一條第三款規定：“各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護?！背四壳肮_的兩版《重要數據識別指南（征求意見稿）》（國標）外，具體細分行業也有相關部門規章在明確重要數據的概念和范圍，如《工業和信息化領域數據安全管理辦法（試行）》第十條、《汽車數據安全管理若干規定（試行）》第三條。其中《工業和信息化領域數據安全管理辦法（試行）》要求企業對重要數據目錄及其重大變化開展備案工作，而《汽車數據安全管理若干規定（試行）》則要求處理重要數據，需要開展風險評估以及在年度報告披露，向境外提供重要數據還需要補充報告。

此外，上海、浙江率先啟動重要數據識別和備案落地工作，上海市首批重要數據和核心數據認定工作已完成。值得關注的是，上海網信辦組織開展了數據分類分級、制定重要數據目錄試點，并發布11 個重要數據目錄試點工作優秀單位和優秀案例，為企業開展數據分類分級、重要數據目錄識別、數據全生命周期安全保護等方面提供了落地指引(具體見表1)。

亮點四：公共數據授權運營和數據場內交易新發展

在公共數據授權運營方面，一些地方已取得關鍵突破。根據數據安全法第四十二條、第四十三條規定，“國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用”“法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動，適用本章規定”，明確推動政務數據與公共數據的開發利用。

在政策新趨勢下：（1）上海、江蘇、廣東、湖北等地成立了地方數據集團承擔公共數據運營主體的角色，從制度、平臺、應用、流通等全面發力；（2）北京、杭州、青島等地已頒布或正在制定公共數據授權運營的規定；（3）多款公共數據授權運營產品及服務已上架數據交易場所；（4）部分公共數據試點平臺上線，獨立于交易所之外發展；（5）部分公共數據平臺與數據交易所合二為一進行發展。在新趨勢下，公共數據授權運營已經進入快車道，全國各地正在全速推進。

在場內數據交易方面，規范化的數據交易市場進一步培育壯大。根據數據安全法第十九條規定，“國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場” ，各地紛紛建立數據交易所，并出臺各類數據交易規則和流程指引，旨在規范場內數據安全合規交易。

值得關注的是，2023年4月，全國首筆個人數據合規流轉交易在貴陽大數據交易所場內完成，此筆交易各環節全程接受監督管理，是個人數據合規使用、規范交易、合法收益的創新實踐，也是對B2B2C（網絡購物商業模式）數據合規交易全新商業模式的探索。

此外，2023年4月，深圳數據交易所通過與光大銀行深圳分行以及多家第三方數據服務機構的協同合作，實現無質押數據資產增信貸款項目業務落地。憑借在深圳數據交易所上架的數據交易標的，深圳微言科技有限責任公司通過光大銀行深圳分行授信審批并成功獲得1000 萬元授信額度，順利放款。

亮點五：處罰案例覆蓋線上線下及大小規模企業

執法是最好的普法。結合對市場發布的相關依據數據安全法處罰案例初步分析，網信辦等部門正加大執法力度和頻度處罰，數據安全法已在實務中成為網絡和數據安全執法的主要依據之一，特別是在2023年呈爆發式增長趨勢。處罰依據主要是數據安全法第二十七條（數據安全保護義務）、第二十九條（數據安全風險監測與補救）、第三十二條（合法正當采集數據）。

對于執法對象，已覆蓋線上線下各行業領域，各類大小規模企業。除票務、電商等線上平臺外，還包括高校、醫院、燃氣等公共事業單位以及餐飲、網吧、足浴等線下門店。不論企業規模大小，均可能受到處罰。

對于違法的常見情形，包括未建立相應技術措施和管理制度、存在數據安全風險或發生數據泄露等（見表2）；對于處罰結果，需要做到“過罰相當”。如未發生數據泄露后果，但存在違法違規事項的企業，監管通常給予責令整改、警告的處罰結果。但對于如果發生數據泄露或造成其他嚴重后果時，一般會具體罰款，目前罰款上限為100 萬元。值得關注的是，除了企業受罰外，直接負責人也可能受到處罰。

表2：數據安全法處罰中常見違規事項（部分）

亮點六：數據安全合規首次成為企業IPO必答題

自數據安全法實施以來，證券監管部門已就涉及數據處理的境內外擬IPO 企業是否滿足數據安全法相關要求進行重點問詢。企業往往需要對照數據安全法，重點在于數據生命周期處理活動的合法合規性以及是否履行數據安全保護義務、是否建立數據安全管理體系、是否進行風險評估監測、是否發生數據安全事件、是否存在數據方面行政處罰或糾紛進行答復。

值得關注的是，2023年3月起，數據安全合規首次明確成為境內上市“必答題”。深交所和上交所發布的《深圳證券交易所股票發行上市審核業務指南第3 號——首次公開發行審核關注要點（2023年修訂）》《上海證券交易所發行上市審核業務指南第4 號——常見問題的信息披露和核查要求自查表》，均要求保薦人、發行人律師需對公司相關經營是否符合個人信息保護法、數據安全法、網絡安全法等法律法規進行核查，并發表明確意見。

亮點七：第36條在境外頻頻被企業援引

在境外證據開示過程中，美國地區法院有多個案例裁定中國數據安全法第三十六條不能阻止美國法院依據聯邦程序法調取中國境內數據。相關美國法院認為，提交證據是一方當事人向另外一方當事人提交，而不是向法院提交。此外法院還認為，當事人沒有提交證據證明該條款在內的中國法律阻礙其提交案件證據。數據安全法第三十六條規定：“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據?！睘榇?，實務中，中國企業在海外法院開庭時，需要考慮提交充分證據（如監管部門“拒絕”的文件或者專家論證意見）證明其無法履行證據提交義務。

綜上所述，數據安全法第一條規定：“為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織合法權益，維護國家主權、安全和發展利益，制定本法?！睌祿踩ㄗ鳛閿祿踩I域基礎性法律，從兩周年落地實踐可看出，其設立的多樣數據安全保護機制正對各行各業發揮著深遠影響，對維護國家利益、公共利益、組織和個人合法權益起到重要保障作用，促使中國數字經濟正朝著安全、合法、規范的方向發展和前進。