《数据安全法》七大亮点解读

正文

请到「今天看啥」查看全文

，这一修改凸显了《数据安全法》以维护国家安全和网络空间主权为根本的基调。“国家核心数据”的内涵与外延还有待数据安全监管实践的进一步探索，结合此前对《关键信息基础设施安全保护条例（征求意见稿）》中对“关键信息基础设施”的定义 [3] ，可知“国家安全、国计民生、公共利益”同样会是判定“国家核心数据”的重要因素。

亮点三：

网络安全等级保护制度与数据安全保护制度的衔接

《数据安全法》第二十七条相较二审稿 新增了“利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务”的规定。 这一条款要求数据处理者“在网络安全等级保护制度的基础上”开展数据安全保护工作，一方面强化了网络安全等保制度在数据安全保护要求中的基础作用，另一方面也体现了数据安全保护制度与《网络安全法》的衔接。

网络安全等级保护制度的要求见于《网络安全法》第二十一条，明确规定国家实行网络安全等级保护制度，并对网络运营者提出了履行安全保护义务的具体要求，包括“采取数据分类、重要数据备份和加密等措施”以“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。此外，《网络安全法》第五十九条 [4] 明确了违反网络安全等级保护制度要求的法律责任，包括责令改正、警告、罚款等。此次《数据安全法》的规定再次体现了等保制度是网络安全领域的基础性制度之一，并与数据安全保护制度相互衔接。因此，相关企业应按照《网络安全法》及“等保2.0”系列标准 [5] 要求，积极落实网络安全等级保护制度，尽快进行等级保护测评、整改和备案工作。

亮点四：

明确重要数据出境安全管理制度

《数据安全法》第三十一条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

一方面， 这一条款明确了关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理应适用《网络安全法》第三十七条提出的“一般情形+例外规定” ，即关键信息基础设施的运营者因业务需要，确需向境外提供重要数据的，一般情况下应由国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的则从其规定。另一方面，对于其他数据处理者在境内运营中收集和产生的重要数据，目前可参考的相关规定是国家网信办于2017年发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》，其中第九条规定了六类重要数据出境时网络运营者应提交行业主管部门或监管部门进行安全评估的场景 [6] 。由于该办法并未正式出台和生效，且征求意见稿的发布时间也较为久远，对于关键信息基础设施的运营者以外的其他数据处理者，数据出境安全管理的相关规则仍不明确，需等待正式的管理办法出台；但在此之前，企业同样需要密切关注重要数据出境的合规义务。

亮点五：

严格规制面向境外司法或者执法机构的数据出境活动

《数据安全法》第三十六条规定，“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

请到「今天看啥」查看全文