中国新《数据安全法》出台——网络信息安全立法加速

自2017年《网络安全法》实施以来，中国以个人隐私保护、数据安全和网络安全为宗旨的立法及新合规要求一直是从事电子商务、依托互联网、大数据、网络用户运营的企业密切关注的重点。2021年7月4日，国家网信办首次对企业公开启动网络安全审查程序，对包括市场龙头“滴滴出行”等互联网交通服务平台进行审查，并认定滴滴“存在严重违法违规收集使用个人信息问题”，对其作出了App下架、新用户停止注册、进行整改的处罚通知，释放了严厉的监管信号。而就在2021年6月10日，《中华人民共和国数据安全法》由全国人大常委会会议通过，将自2021年9月1日起施行，标志着中国网络信息安全法律制度体系的立法进程加速。此次对滴滴出行的安全审查中援引《网络安全法》，但可以预见将来在此类案件中，《数据安全法》将拥有不下于《网络安全法》的重要地位。

管辖范围

《数据安全法》主要管辖中华人民共和国境内所有包括数据的收集、存储、使用、加工、传输、提供、公开的数据处理行为，如果数据处理行为可能危害国家安全、社会公共利益以及公民法人及组织的合法权益的，管辖可及于境外个人或实体。依托于互联网、大数据、用户个人信息运营的企业几乎都将收到该法律的影响。

地位

《数据安全法》的通过标志了中国数据安全治理体系框架自2017年《网络安全法》生效以来进一步完善，为相关法律制度建设打下基础。《数据安全法》作为专门法，是《国家安全法》的下位法，属于基础性、指导性的法律文件，将成为一系列后续法律法规等制定的法律依据。其所规定的数据安全审查制度与数据出境制度未来将与《网络安全法》（2017）、《个人信息保护法》（草案二次审议）、《个人信息和重要数据出境安全评估办法》（草案）等法律法规互相衔接，互相补充。

规范数据交易

《数据安全法》首次明确由国家建立健全数据交易制度，规范数据交易行为，管理数据交易市场。这意味着首次在立法层面，数据交易及数据交易服务提供者的合法性得到了承认。目前在政府主导下，在北京、上海、深圳等地，已经试点建立了大数据交易所，我们期待数据交易将有更规范、更合理、更广泛的发展。

主管部门

《数据安全法》将相关事务的主管部门由网信部门拓展到了国安部门，即相关数据安全管理事宜将由中央国家安全委员会统筹组建协调工作机制，统筹协调各地区、各部门进行，同时网络数据安全和相关监管工作将由国家网信部门负责统筹协调；可以预见，数据安全规范管理工作将成为中国国家安全保护的重要的一环，各企业应当加强与有关主管部门的沟通，及时有效完善公司内部的数据安全的制度治理及建设。

企业合规展望

《数据安全法》规定，数据处理者，不论企业和个人，需履行数据安全保护义务、数据安全监管报告义务和数据安全风险评估义务。

《数据安全法》核心要求数据处理者应在数据处理时，将国家安全、公共利益纳入第一顺位考虑，对关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据，应当建立更严格的管理和保护。
具体而言，该法第27条规定，数据处理者应当“建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。”同时，“重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”

此外，该法对外国司法执法活动中的跨境数据调取也进行了限制，需得到主管部门批准。

不同于《网络安全法》仅要求关键信息基础设施的运营者对数据出境进行安全审查评估，《数据安全法》还引入了一般数据处理者在重要数据出境时的安全审查评估义务，即普通企业涉及数据处理的，也有进行内部数据合规管控的必要。根据该法31条数据安全治理的实施方式将参照有关部门另行制定的法律法规实施; 而由于目前配套法律法规暂未出台，相关的合规要求暂未收紧，但趋势已经确定。

处罚

在《数据安全法》下，数据处理者未履行数据安全保护义务、报告义务、风险评估等合规义务的，企业一般情况下将受责令改正、给予警告、处以5万元至50万元罚款，相关直接责任人可受到1万元以上至10万元以下罚款，情节严重的，有可能受到责令暂停业务、吊销业务许可证或营业执照、50万至200万元的罚款，直接责任人将有可能受到5万元以上20万元以下罚款。

数据处理者违反数据出境相关的义务造成严重后果的，对企业最高可处500万元罚款，对直接负责人可以处最高50万元罚款；违反国家核心数据管理制度，危害国家主权、安全和发展利益情节严重的，对企业最高可处1000万元罚款，对直接负责人可以处最高100万元罚款。

上述处罚的具体违法情节适用仍留待配套行政法规颁布来规范。

总结

总体而言，《数据安全法》的国安背景色彩浓厚，有关实施办法尚未明确，但未来境内企业将数据合规纳入议程，作为产品设计、布局市场所需考虑的重要因素之一的趋势已经成为必然，配合国家建设数据分级分类数据保护、对企业内部数据管理制度的治理将成为近年内企业合规工作的重点环节之一。

预计随着该法在2021年9月1日生效，后续将可以很快看到一批配套的行政法规的出台，包括中央部委的行政法规的出台和下属各省自治区直辖市下的实施办法和有关规定，在实务层面必将对各企业的业务运营和内部治理造成深远影响。