王春暉 程樂
2025年9月1日,《中華人民共和國數據安全法》正式施行。該部法律體現了總體國家安全觀的立法目標,聚焦數據安全領域的突出疑問,確立了數據分類分級控制,創建了數據安全風險評估、監測預警、應急處置,數據安全審查等根本制度,并明確了相關主體的數據安全保衛義務,這是我國首部數據安全領域的根基性立法。《數據安全法》共有七章五十五條,在《數據安全法》施行的之際,我們就本法的十大突出亮點進行解讀。
一、堅定總體國家安全發展觀
《數據安全法》以貫徹總體國家安全觀的目的為動身點,以數據治理中最為主要的安全角子老虎機遊戲分析疑問作為切入點,抓緊了數據安全的重要矛盾和諧衡點,是我國數據安全領域的一部主要根基性法律。《數據安全法》第一條確立該法的立法目確:為了規范數據處理活動,保障數據安全,促進數據開闢利用,保衛個人、組織的正當權益,維護國家主權、安全和發展長處,規定本法。
該條中的規范數據處理活動,保障數據安全,促進數據開闢利老虎機成功攻略用是《數據安全法》的立法根基,此中規范、保障、促進這三個關鍵詞,是一種遞進關系,規范數據處理活動的目的,是為了保障數據的安全,只有在確保數據安全的根基上,方能促進數據的有序開闢和利用。
二、我國數據保衛的域外法律效力
當前,環球經貿買賣、專業切磋、資本分享等跨國合作日益頻繁,數據跨境流動已經是無法避免的事實。假如我國的數據安全法只適用于在中華人民共和國境內開展數據活動的地區空間,顯然是不現實的。為此,《數據安全法》第二條第二款明確制定:在中華人民共和國境外開展數據處理活動,妨害中華人民共和國國家安全、公眾長處或者公民、組織正當權益的,依法追查法律責任。
該款中的境外開展數據處理數據活動的主體既包含有位于中國境外的數據處理者,也包含有位于中國境內的數據處理者,但其數據處理行為在境外,這兩類數據處理者的行為只要妨害了我國國家安全、公眾長處以及公民和組織的正當數據權益,均由我國法律管轄,并追查法律責任。
三、中心國安委統籌調和下的行業數據監管機制
我國《數據安全法》第五條明確:中心國家安全領導機構擔當國家數據安全工作的決策和議事調和,研究規定、傳授實施國家數據安全戰略和有關重大方針政策,統籌調和國家數據安全的重大事項和主要工作,創建國家數據安全工作調和機制。
《數據安全法》實行中心國安委統籌調和下的行業監管機制:首要,中心國家安全領導機構擔當國家數據安全工作的決策和議事調和,研究規定、傳授實施國家數據安全戰略和有關重大方針政策,統籌調和國家數據安全的重大事項和主要工作;其次,各地域、各部分對本地域、本部分工作中蒐集和產生的數據及數據安全擔當;再次,工業、信、交通、金融、天然資本、衛生康健、教育、科技等主管部分蒙受本行業、本領域數據安全監管職責;第四,公安機關、國家安全機關等按照本法和有關法律、行政律例的制定,在各自職責范圍內蒙受數據安全監管職責;第五,國家信部分按照《數據安全法》和有關法律、行政律例的制定,擔當統籌調和絡數據安全和相關監管工作。
四、促進以數據為關鍵要素的數字經濟發展
《數據安全法》第七條制定:國家保衛個人、組織與數據有關的權益,勉勵數據依法合乎邏輯有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。
數據作為生產要素由市場評價功勞、按功勞決意報酬,這是黨的十九屆四中全會首次提出的一項重大產權創造制度。現在,各類絡平臺,尤其是超級絡平臺通過自身營造的絡生態系統,將絡公眾空間的數據視作一種私權,不利于數據要素市場的構建。因此,《數據安全法》明確提出國家保衛個人、組織與數據有關的權益,這里的權益指公民和法人受法律保衛的與數據有關的權利和長處。在個人和組織與數據有關的權益得到充分保衛的根基上,依法推動數據合乎邏輯有效利用和依法有序自由流動。
五、國家數據分類分級保衛制度
《數據安全法》第二十一條制定:國家創建數據分類分級保衛制度,依據數據在經濟社會發展中的主要水平,以及一旦遭到篡改、毀壞、泄露或者非法獲取、非法利用,對國家安全、公眾長處或者個人、組織正當權益造成的危害水平,對數據實行分類分級保衛。國家數據安全工作調和機制統籌調和有關部分規定主要數據目次,加強對主要數據的保衛。
《數據安全法》中的數據分類,采用了數據的主要水平+危害水平的立法手段,對數據實行分類分級保衛,特別是將關系國家安全、國民經濟命脈、主要民生、重大公眾長處等數據列為國家要點數據,實行加倍嚴格的控制制度。《數據安全法》從國家層面提出了數據分類分級,是確認數據保衛和利用之間均衡點的一個主要根據,為政務數據、企業數據、工業數據和個人數據的保衛奠定了法律根基。
六、國家數據安全審查制度
國家安全審查是我國《國家安全法》最先確立的一項國家安全審查與監管制度。依據《國家安全法》第五十九條的制定:國家創建國家安全審查和監管的制度和機制,對陰礙或者可能陰礙國家安全的外商投資、特定物項和關鍵專業、絡專業產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。
數據安全審查制度與絡安全審查是依法確立的國家安全審查制度中兩項主要的安全審查制度。《數據安全法》第二十四條制定:國家創建數據安全審查制度,對陰礙或者可能陰礙國家安全的數據處理活動進行國家安全審查。《絡安全法》第三十五條制定:關鍵根基設備的運營者采購絡產品和服務,可能陰礙國家安全的,應當通過國家信部分會同國務院有關部分組織的國家安全審查。
《數據安全法》中的數據安全審查制度與《絡安全法》中的絡安全審查制度有所差異,前者的審查對象重要針對陰礙或者可能陰礙國家安全的數據處理活動,數據處理活動包含有:數據的蒐集、存儲、採用、加工、傳輸、提供、公然等;后者的審查對象重要是針對關鍵根基設備運營者采購絡產品和服務,陰礙或可能陰礙國家安全的情境。
2025年7月10日,國家信辦發表《絡安全審查設法》,在修訂草案征求意見稿第一條的立法根據中,新增加了《中華人民共和國數據安全法》,即根據《中華人民共和國國家安全法》《中華人民共和國絡安全法》《中華人民共和國數據安全法》,規定本設法,這意味著數據安全審查制度將納入新修訂的《絡安全審查設法》。
七、國家數據安全應急處置機制
《數據安全法》第二十三條明確了國家創建數據安全應急處置機制,并要求發作數據安全事件,有關主管部分應當依法啟動應急預案,采取相應的應急處置措施,防範危害擴大,打消安全隱患,并及時向社會發表與公共有關的警示。
該條有四層意思,一是要在國家層面構建數據安全應急處置機制;二是有關單位在發作數據安全事件時,應當依法當即啟動應急預案,該條中的有關單位應當依照誰主管誰擔當、誰運行誰擔當的原則確認;三是采取最有效的應急處置措施,防範危害擴大,要打消安全隱患,同時要組織研判,保留證據,并做好通報工作;四是及時向社會發表與公共有關的警示,強調發表與公共有關的警示的目的,是為了讓公共了解數據安全事件的真像,并及時采取自我保衛的措施,以免其數據遭到毀壞或在遭到毀壞后防範損失的擴大。
數據安全事件應急預案應當依照告急水平、發展態勢和可能造成的危害水平進行級別分類,一般分為四級:由高到低依次用紅色、橙色、黃色和藍色標示,差別對應可能發作特別重大、重大、較大和一般絡安全突發事件。
八、數據處理者的合規義務
數據合規,是指數據處理者及其工作人員的數據處理行為符正當律律例、監管制定、行業準則和數據安全控制規章制度以及國際條約、條例等要求。《數據安全法》第二十七條到第三十條明確了數據處理者推行數據安全的四項主要合規義務。
開展數據處理活動應當依法合規
《數據安全法》第二十七條制定:開展數據處理活動應當按照法律、律例的制定,創建健全全流程數據安全控制制度,組織開展數據安全教育訓練,采取相應的專業措施和其他必須措施,保障數據安全。利用互聯等絡開展數據處理活動,應當在絡安全級別保衛制度的根基上,推行上述數據安全保衛義務。
主要數據的處理者應當明確數據安全擔當人和控制機構,落實數據安全保衛責任。
該條制定了四項主要義務:一是開展數據處理活動應當按照法律、律例的制定;二是開展數據處理活動應當創建健全全流程數據安全控制制度,并組織開展數據安全教育訓練;三是開展數據處理活動應當采取相應的專業措施和其他必須措施,保障數據安全;四是利用互聯等絡開展數據處理活動,應當在絡安全級別保衛制度的根基上,推行上述數據安全保衛義務。
數據處理應當為民造福并符合社會倫理道德
當前,數據處理者在數據處理活動中大批地採用智能專業和算法專業,特別是數據處理者開闢的智能專業與算法的混合,其本性是創建在大數據根基上的自我吸取、判定和決策的算法。算法的要點是基于絡的編程專業,現在基于智能專業的算法決策具有代表的黑箱特點,大批的違反社會公德和倫理,最代表的便是大數據殺熟機制。
針對數據處理者違反法律和社會公德濫用大數據新專業的情境,《數據安全法》第二十八條提出了展數據處理活動以及研究開闢數據新專業的三項合規義務,一是數據處理者研究開闢數據專業,一定要利于促進經濟社會發展;二是數據處理者研究開闢數據新專業,要以增進人民福祉為目的;三是數據處理者研究開闢數據新專業應當符合社會公德和倫理。
數據處理活動應當加強風險監測
《數據安全法》第二十九條:開展數據處理活動應當加強風險監測,發明數據安全缺陷、漏洞等風險時,應當當即采取彌補措施;發作數據安全事件時,應當當即采取處置措施,依照制定及時示知用戶并向有關主管部分教導。
數據安全風險監測與評估是參照數據安全風險評估尺度和控制規范,對數據資產價值、潛在恐嚇、單薄環節、已采取的防護措施等進行監測,解析和判定數據安全事件發作的概率以及可能造成的損失,并采取有針對性的處置措施和提出數據安全風險管控措施。
《數據安全法》第二十九條對數據安全的風險監測與數據安全事件的處置做出兩項明確要求,一是開展數據處理活動應當加強風險監測,發明數據安全缺陷、漏洞等風險時,應當當即采取彌補措施;二是發作數據安全事件時,應當當即采取處置措施,依照制定及時示知用戶并向有關主管部分教導。
主要數據處理者應當定期開展數據風險評估
《數據安全法》第三十條制定:主要數據的處理者應當依照制定對其數據處理活動定期開展風險評估,并向有關主管部分報送風險評估教導。
風險評估教導應當包含有處理的主要數據的種類、數目,開展數據處理活動的場合,面對的數據安全風險及其應對措施等。
該條款有三項內容,一是主要數據的處理者應當依照制定對其數據處理活動定老虎機 破解 教學期開展風險評估;二是數據風險評估教導應當向有關主管部分報送;三是風險評估教導應當包含有處理的主要數據的種類、數目,開展數據處理活動的場合,面對的數據安全風險及其應對措施等。
九、主要數據老虎機贏錢方法心得的出境安全控制制度
《數據安全法》第三十一條制定:關鍵根基設備的運營者在中華人民共和國境內運營中蒐集和產生的主要數據的出境安全控制,適用《中華人民共和國絡安全法》的制定;其他數據處理者在中華人民共和國境內運營中蒐集和產生的主要數據的出境安全控制設法,由國家信部分會同國務院有關部分規定老虎機獎金獲得方法。
本條制定了主要數據出境安全控制的制定,重要有雙方面內容,一是關鍵根基設備的運營者在中華人民共和國境內運營中蒐集和產生的主要數據的出境安全控制,適用《中華人民共和國絡安全法》的制定;二是除關鍵根基設備的運營者處理的主要數據外,其他數據處理者在中華人民共和國境內運營中蒐集和產生的主要數據的出境安全控制設法,由國家信部分會同國務院有關部分規定。
十、提供數據處理服務的行政允許準入制度
《數據安全法》第三十四條制定:法律、行政律例制定提供數據處理相關服務應當贏得行政允許的,服務提供者應當依法贏得允許。允許含有準許、許可或授權的意思,數據處理相關服務的行政允許,其根本性質是行政機關對特定的數據處理服務活動進行事向前行管理的一種控制行為。
數據處理相關服務的行政允許一般應具有以下特征:一是從事數據處理相關服務的行政允許是一種依行政相對人申請的行政行為,沒有行政相對人的申請,行政機關不能主動予以允許;二是數據處理服務行政允許的設定意味著法律的一般不准,行政允許的內容是國家一般不准的活動,為安適社會生活和生產的需要,對符合一定前提者解除不准,許可其從事某項特定的活動。數據處理服務本身涉及到維護國家主權、安全和發展長處,應該是國家一般不准的行為,但國家為了促進數據開闢利用,在保障數據安全的條件下,對符合前提的組織和個人準許實在施數據處理服務行為;三是數據處理服務行政允許是一種授益性行政行為,即賦予相對人某種權利和資格的授益性行政行為,是準許相對人從事數據處理服務這項特定活動的行為。
王春暉系浙江大學教授、博導,絡空間治理與數字經濟法治研究基地主任兼首席專家、工信部通訊經濟專家委員會委員、中國絡與數據安全法治50人主席;
程樂系浙江大學教授、博導,國家社科基金重大專項創建健全我國絡綜合治理體系研究首席專家、浙江大學國際戰略與法律研究院常務副院長。
