解读：数据安全法的机构合规义务

2021年6月10日《数据安全法》正式通过，并将于同年9月1日正式施行。我国数据安全法治框架的帷幕即将拉开，数据安全法治进程正式挂挡上路。

可以预期，在《数据安全法》的大框架下，更多规范与法规等配套实施细则将陆续颁布。

《数据安全法》的立法是总体国家安全观的重要组成部分，旨在保护数据这一新型生产要素的安全。

《数据安全法》与《网络安全法》关系尤其密切，二者相辅相成，分别从数据与安全的角度为机构设定了大量的合规要求。

值得关注的是，对个人信息这一特殊类型数据的保护，不仅是安全的需要，也与人格权保护的角度息息相关，即机构需要考虑用户个人行使访问、修改、删除等权利时，如何进行协助。

下面将《网络安全法》与《数据安全法》两部法律的合规框架进行了简单梳理，帮助机构更全面地理解自己的合规义务：

除了与《网络安全法》关系密切，《数据安全法》还预留了大量接口与其他法律相衔接，如《刑法》、《保守国家秘密法》、《出口管制法》、《档案法》等，都会在不同情况下予以交叉。

在《数据安全法》中，管辖覆盖了境内与境外两个层面：

相较于《网络安全法》，《数据安全法》在境外管辖上实现了突破。

《数据安全法》不会仅在中国境内具有效力，部分境外的数据处理行为同样可以依据《数据安全法》进行规制。

比如境内组织或个人开展跨境电信诈骗、网络赌博活动中在境外生成的数据，就可能会依据《数据安全法》第35条要求有关机构配合调取境外的数据。

但这可能会需要《数据安全法》承担美国CLOUD法案（《澄清境外合法使用数据法》）的相关职责，未来少不了在国际间的运用。

在《网络安全法》的未来修订中，管辖问题也可能仿照《数据安全法》，将危害中国国家安全、公共利益或者公民、组织合法权益的境外网络活动列入管辖范围。

《数据安全法》中的“数据”，不仅包括电子形式，也包括以其他方式记录的信息。即无论是电子形式，或是纸质形式的数据都需要受到《数据安全法》的管辖，范围相当宽泛。

此外，“重要数据”自《网络安全法》以来备受关注，关于重要数据定义、范围、目录的讨论从未间断。此次《数据安全法》仍未明确重要数据的概念，仅明确重要数据的目录将由国家数据安全工作协调机制统筹协调，并由各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录。

预期，随着《数据安全法》的实施，各部门、各地区的重要数据目录也会加速制定。

“核心数据”是《数据安全法》三审中新增的内容，在此前的两次审议中均未出现。《数据安全法》将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据。

目前尚不清楚核心数据与重要数据会是何种关系，是核心数据是重要数据中的特殊类别，或是重要数据是除核心数据以外、需要重点保护的数据。可能在后续法规中会逐渐予以明确。

在2020年4月中共中央与国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》中，明确提出通过推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护加快培育数据要素市场，并引导培育大数据交易市场，依法合规开展数据交易，建立健全数据产权交易和行业自律机制。

在2021年生效的《民法典》中，未对数据权益的保护有更多关注，仅规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”（第127条）这样的规定连原则性的保护都算不上，只是提供了未来立法衔接开放性的接口。

《数据安全法》首次以法律的形式明确了对数据权益的保护，第7条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。” 

《数据安全法》在第33条中关于数据交易的要求，对数据权益的规则进行细化：“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。”

《数据安全法》主要关注的是安全问题，而非权益问题，但仍然会成为未来数据权益保护的重要法律依据。

数据权益保护的基本规则目前仍然主要通过司法案例进行提炼，判断数据权益的边界。大量关于网络爬虫、API、账号共享的司法案例将会逐渐“凝固”为确定的规则，并在未来立法工作中予以体现。而这也是法律工作中会越来越多介入数据安全工作的原因之一。

从法律的角度，没有救济就没有权利，没有责任就没有义务。因此《数据安全法》第六章法律责任中配备有罚则的义务也可以被看作合规的重点，主要涉及：

除了设定具体罚则的合规项目，有关部门如果发现数据处理活动存在较大安全风险的，还可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。这意味着像《数据安全法》第28条这样要求数据新技术符合社会公德与伦理这样的原则性要求，也可能成为监管部门关注的对象，尤其是涉及人脸识别、算法推荐这样可能会对人群造成影响的新技术。

关于禁止向境外提供数据的规定，虽然在此前《国际刑事司法协助法》等法律中也有规定，但缺少对法律责任的设定，这也就意味着违反了也很难有什么直接的法律后果。《数据安全法》中设定的最高500万元罚款让该法律义务具有了“獠牙”，威慑力显著提升。

数据出境的相关规定主要是从数据类型的角度对数据的跨境传输进行了限制。不得向境外执法机构提供数据主要是从用途的角度对数据跨境进行了限制。“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

从该法条的表述来看，仅关注境内的组织、个人，以及存储于境内的数据，如果是存储于境外的数据或境外的组织和个人，则不在管辖范围之内。

换言之，如果境内机构自收集伊始就将数据存储在中国境外，或是境外机构所控制的境内数据，向境外提供也无妨。《数据安全法》第36条无疑会推动部分跨国企业将没有本地化留存义务的数据直接存储在中国境外，以规避第36条的义务。

该法条的另一个问题是如何界定境外执法机构，司法机构相对清晰，就是各国的法院，而执法机构每个地区都千差万别。比如当地的税务部门是否算是执法机构、因为仲裁能否向海外仲裁机构提供数据，此类问题现阶段可能都没有答案，有赖于与主管机关的沟通与交流。

《数据安全法》的条文很多是原则性的规定，但仍通过提纲挈领的方式，描绘了未来一段时间数据安全领域细化规则与执法重点的路线图：从核心数据的提出，到境外执法的阻却，从跨境责任到数据权益，均是会一一细化的内容。

在2021年5月的国家网信办征求意见的《汽车数据安全管理若干规定（征求意见稿）》就是未来各行业与领域数据安全立法的一种可能的尝试：细化重要数据目录、明确报告内容、对跨境提出更为清晰的要求。

对于中外跨国企业来说，数据安全已不再是关系自身信息安全的“小事”，而是会直接关系到国家安全与国家间的对抗。当各国执法部门给出相左的意见，网络与数据库的架构、对不同国家（地区）政府命令的遵从与挑战都会造成深远的影响，进而塑造国际间的数据规则。