焦思雨

（图片来源：财经商圈）

《中华人民共和国数据安全法》（以下简称《数据安全法》）经第十三届全国人民代表大会常务委员会第二十九次会议表决通过，于2021年9月1日正式施行。《数据安全法》是我国首部以规制数据安全为核心内容的专项法案，其施行既有利于弥补我国数据安全保护领域的法律空白，为保护我国数据安全以及维护数据主权提供法律支持，又有利于推动以数据为核心的数字经济的发展，实现我国产业的数字化转型升级。

一、《数据安全法》出台的背景

《数据安全法》是在数字经济发展的影响下，为解决数据安全问题而出台的专门性法律。它不仅回应了国内外重要的数据安全问题，还体现了我国数据安全保护的决心。因此，《数据安全法》的出台具有深刻的时代背景。

一方面，进入信息全球化时代以来，数据安全问题频发，世界重要国家与国际组织先后通过立法对数据安全问题进行规制。目前，数据对全球经济增长的贡献已经超越了传统国际经济与贸易，成为推动全球经济增长的新动能。基于数据蕴含的极大价值，世界各国对数据的争夺日益激烈。此外，数据的无边界性使得数据的跨境流动很难受到传统方法的规制。数据跨境流动的隐蔽性会削弱一国对于本国数据的控制，国家重要数据的流失也会危及该国的数据主权，对该国的数据安全产生威胁。2013年曝光的美国棱镜事件更是使全球陷入数据安全恐慌，并引发了各国对于数据安全问题的警惕。在此背景下，巴西以及欧盟等主要国家纷纷以立法形式规范数据安全问题，捍卫国家数据主权与安全。例如，巴西颁布了《通用数据保护法》，该法作为巴西首部有关个人数据保护的综合性立法显著增加了巴西个人数据保护的要求，进一步提升了巴西的数据保护能力。欧盟也颁布了《通用数据保护条例》，不仅加强了对相关企业的管控力度，还促进了对欧盟境内居民个人数据和隐私的保护。

另一方面，近年来我国产业的数字化转型升级加快，对数据安全保护提出了新的要求。我国当前针对数据安全问题的立法存在空白，法律体系尚不完善，数据安全受到严重威胁。长久以来，数据常被视作虚拟财产的一部分，被纳入到财产案件中进行规制，数据安全的独立价值并未在立法中得到充分体现。2017年，数据安全问题首次被纳入《网络安全法》进行规制，为实现网络安全领域内的数据安全奠定了基础。但是，《网络安全法》并非是针对数据安全问题的专门立法，它仅从网络数据安全、个人数据安全以及国家数据安全三方面对数据安全问题进行了原则性规定，并不系统全面。此外，为弥补监管不足，各地围绕数据安全问题发布了一系列地方性文件，如《深圳经济特区数据条例（征求意见稿）》、《天津市数据安全管理办法（暂行）》等。上述地方性文件在一定程度上规范了当地的数据市场，对维护当地数据安全起到了积极作用。但是，由于数据本身具有的虚拟性以及数字经济覆盖范围的不断扩大，绝大部分数据处理活动会超越传统地理界限的限制。而各地参差不齐的保护水平以及规制手段可能会使数据市场陷入混乱，从而阻碍数字经济的正常发展。在数字经济蓬勃发展的时代，应当建立起我国统一的数据安全法律体系，提升数据安全保护效力，为推动数字经济发展打下坚实的法律基础。

二、《数据安全法》的主要内容

《数据安全法》是我国在数据安全领域的专门立法，它将与《网络安全法》、《个人信息保护法》以及其他专项及地方立法共同构成我国数据安全保护法律体系。《数据安全法》主要包括以下四个方面的内容：

第一，《数据安全法》确立了我国坚持数据安全保护与发展并举的原则。安全是法律保护的秩序价值，发展是法律追求的重要目标。就数据规制而言，需要更好地平衡安全与发展的关系，以实现数据安全与发展的动态平衡。丧失了安全保障，数据发展将失去稳定运行的前提，甚至会由于缺乏监管而带来不可承受的风险与损害。因此，我国坚持数据安全保护与发展并举，在确保数据安全的前提下，鼓励数据依法合理有效利用，促进以数据为核心的数字经济发展。

第二，《数据安全法》设立了多样的数据安全保护机制。《数据安全法》出台前，我国多从技术控制的角度对数据安全问题进行规制，强调通过技术手段保障数据安全，缺乏相应的配套制度。该法第三章以专章形式规定了数据分级分类保护、数据安全审查、数据出口管制、对等措施以及跨境流动审批等制度，强调以完善的体制机制维护数据安全。《数据安全法》设立的数据安全保护机制，弥补了过去重技术轻制度建设的情况，减少了因制度建设不完善而产生的数据安全问题。

第三，《数据安全法》明晰了数据安全保护义务。与该法设立的数据安全保护机制相衔接，数据安全保护义务强调在数据安全保护机制下实行多元主体协作机制。在保护义务的具体实施方面，《数据安全法》第四章规定了数据内部及外部控制、风险监测、风险评估以及数据交易等机制，明确了各级各类主体应当承担的义务以及采取的必要措施。考虑到政务数据具备的特殊价值，《数据安全法》第五章对政务数据安全与开放问题进行了单独规定。明晰的义务有利于规范数据处理活动，进一步明确数据安全监管责任，降低数据安全风险。

第四，《数据安全法》建立了追责制度。针对不同的义务主体，《数据安全法》在第六章规定了不同的法律责任。针对我国有关主管部门，明确了其监管责任以及对违反数据安全保护义务的组织和个人可以采取的措施。对进行数据处理活动的有关组织和个人而言，应当配合主管部门的监管，遵守数据安全保护制度，否则将根据其违法的程度不同，给予警告、停业整顿、吊销营业执照以及罚款等惩戒措施。与上述措施不同，对不履行监管义务的国家机关工作人员以及责任人员主要给予行政处分以示惩戒。《数据安全法》以分级分类形式明确了不同主体的法律责任，使得《数据安全法》的执行力更强，能够有效预防、制止以及惩罚危害数据安全的各类行为。

三、《数据安全法》施行的意义

《数据安全法》的施行，不仅为我国参与国际数据安全治理奠定了国内法基础，还完善了我国的数据立法体系，有助于提高我国应对数据风险与挑战的能力。

从国际层面看，《数据安全法》的通过彰显了我国维护数据安全的决心，为我国参与国际数据安全保护合作、应对数据安全挑战提供了坚实保障。目前，数字丝绸之路合作方的利益诉求存在一定差异，因此尚未形成统一且广受认可的多边规则。我国作为数字丝绸之路的发起国，《数据安全法》将为数字丝绸之路的建设提供一定程度的法律支撑，其确立的相关制度能够协助破解阻碍数据跨境流动的体制机制障碍，从而助力数字经济发展。具体而言，我国《数据安全法》规定的数据安全审查制度、出口管制制度以及数据跨境流动审批制度等均是在保证数据安全的前提下对数据跨境流动秩序进行规范，这既能够推动我国数据与相关国家和区域数据的双向流动，又能够维护数字经济秩序。因此，《数据安全法》的施行将促进数字丝绸之路合作国家实现经济增长的新旧动能转换，弥补各国以及各地区间的数字鸿沟，促进数字经济共同发展。

从国内层面看，《数据安全法》的通过填补了我国数据安全保护领域基本法的空白，完善了我国数据安全保护法律体系。《数据安全法》的施行将提升数据安全保护的立法层级，在全国形成统一的数据安全保护体系，有效维护我国数据安全。对企业而言，《数据安全法》将对数据要素市场进行进一步规范，为企业合作与竞争提供良好的市场环境。另外，本法将企业对数据的处理活动纳入法律范畴，明确了企业应当遵守的基本原则和应当承担的基本义务，这能够有效防止企业行为突破数据安全保护红线。而对遭受非法侵害的企业，《数据安全法》将为其维护自身合法权益提供制度保障。对用户个人而言，《数据安全法》将对公民个人信息的处理活动进行规制，保护公民个人隐私不受非法侵犯。《数据安全法》的施行不仅能规范数据的采集行为，避免滥采、乱采公民个人隐私信息，从源头防止公民个人信息的流出，还能规范数据的使用行为，设立有效的保护机制保护已取得的公民个人信息，防止公民个人信息被非法传播与利用。未来，《数据安全法》还将通过其相关配套措施与《网络安全法》、《民法典》等法律相衔接，有助于形成完善的数据安全保护体系，保护公民个人数据信息安全。

（作者是武汉大学中国边界与海洋研究院2021级硕士研究生）

（责任编辑：罗琳娜）

参考文献：

[1]邓崧,黄岚,马步涛.基于数据主权的数据主权跨境管理比较研究[J].情报杂志,2021(06):119-126.

[2]王中美.跨境数据流动的全球治理框架:分歧与妥协[J].国际经贸探索,2021(04):98-112.

[3]马海群,张涛.从《数据安全法（草案）》解读我国数据安全保护体系建设[J].数字图书馆论坛,2020(10):44-51.

[4]曾磊.数据跨境流动法律规制的现状及其应对——以国际规则和我国《数据安全法（草案）》为视角[J].中国流通经济,2021(06):94-104.

[5]朱雪忠,代志在.总体国家安全观视域下《数据安全法》的价值与体系定位[J].电子政务,2020(08):82-92.

[6]许可.自由与安全：数据跨境流动的中国方案[J].环球法律评论,2021(01):22-37.

[7]张茉楠.“数字丝绸之路”重在规则建设[N].经济日报,2021-08-19(10).

[8]韩伟.安全与自由的平衡——数据安全法立法宗旨探析[J].科技与法律,2019(06):41-48.

The Formal Implementation of the Data Security Law of the People's Republic of China: Background, Content and Significance

JIAO Siyu

The Data Security Law of the People's Republic of China (hereinafter referred to as the Data Security Law) was passed at the 29th meeting of the Standing Committee of the 13th National People's Congress by vote and officially came into force on September 1, 2021. The Data Security Law is the first special bill to regulate data security as the core content in China. Its implementation is not only conducive to making up for the field of data security protection in China, providing legal support for protecting China’s data security and maintaining data sovereignty, but also conducive to promoting the development of digital economy with data as the core, and realizing the digital transformation and upgrading of China’s industry.