第十三届全国人大常委会第二十八次会议对《中华人民共和国数据安全法（草案二次审议稿）》（以下简称《二审稿》）进行了审议，2021年4月29日，全国人大常委会正式对《二审稿》征求意见。《数据安全法》出台后将与《网络安全法》及未来将要出台的《个人信息保护法》一起组成信息领域的基础性法律体系。

与2020年7月3日公布的《数据安全法（草案）》（以下简称《一审稿》）相比，经过9个月广泛征求和听取意见的基础上，《二审稿》对《一审稿》中的部分内容进行了更加严谨的调整，并且增加了部分规定。

其中《二审稿》涉及的实质性修改主要有6点：

一、明确数据分级分类保护制度（第二十条）

二、增加与《网络安全法》的衔接，实施网络安全等级保护制度（第二十六条第一款）

三、取消设立数据安全处理的安全负责人和管理机构的要求（第二十六条第二款）

四、增加了重要数据出境的管理规定和相应的法律责任（第三十条）

五、增加向境外司法机构提供数据的监管要求（第三十五条）

六、扩大不履行数据安全保护义务的法律责任和责任形式（第四十四条）

具体两审草案的修订及新增情况对比如下：

解读：

1、在保障数据安全，促进数据开发利用之前，增加规范数据处理活动的立法目的，开篇明义的说明了该法将作为开展数据处理活动的遵循依据，对数据的实践操作更具指导意义。值得注意的是，与个人信息保护法（草案二审稿）删除“保障个人信息依法有序自由流动”不同，《数据安全法》（二审稿）继续保留了“促进数据开发利用”的立法目的表述，体现了个人信息重在保护、其他数据兼顾流动的差异化立法思路。

2、将“公民”改成“个人”，扩大了数据安全保护的范围，如在本国的外国人也称为了保护对象，使本法的包容性更强。

解读：

1、第二条第二款增加了适用本法的情形，明确适用范围为数据处理+数据安全，为实践中开展数据活动提供了完整的参考依据。

2、第二款将一审稿中在境外仅追究“境外的组织、个人开展损害国家利益的行为”扩大到“所有主体开展损害我国国家利益的数据活动”，无论主体是境内还是境外，无论处理活动的所在地是境内还是境外，只要效果上“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”的，就属于法律的适用对象，扩大了保护范围。

3、“数据活动”修改为“开展数据处理活动”用语表述更加准确，具体涵盖的内容更加精准，覆盖了数据全处理的各个环节。

解读：

1、将数据活动改为数据处理，与《个人信息保护法》等法律当中的概念相互适应。进一步明确本法适用范围为数据处理+数据安全，体现了本法两条思路与结构。

2、将“交易”改成“传输”，“传输”的范围更大、更全面。

3、“保障数据得到保护”改成“确保数据得到有效保护”，语气更加肯定。

解读：

1、此条也将“公民”改为“个人”，增加本法保护主体的范围。

2、删除了“增加人民福祉”，促进了数字经济发展自然会带来相应福利，删除此句，更符合立法规范。

解读：

1、增加列举“交通”领域的数据安全，从2021年5月12日，网信办公布《汽车数据安全管理若干规定》（征求意见稿）就可以看出交通行业作为国计民生重要行业，数据安全非常重要。汽车作为日常生活不可缺少的工具，汽车等交通工具的数据安全与个人信息安全息息相关，包括汽车整车生产商以及销售商、服务商在内的各类经营主体，均可能建立或运维包括大量数据的网络系统，这无疑将会是《数据安全法》的适用对象。

2、将“国防科技工业”调整为“科技”，扩大了科技领域的范围，不仅仅是国防科工部门，各行各业涉及科技的数据都可以依照本法进行保护。

3、值得关注的是，与《个人信息保护法》（草案二审稿）体现的监管体制相同，《数据安全法》（草案二审稿）也没有设置统一负责数据安全保护、监督、执法的工作机构，二是呈现为网信部门统筹协调、各部门各地区在各自行业和领域内各司其职的监管体制，这也可视为当期国情下为了保障法律更顺畅实施的一种立法选择。

解读：

1、“必须”与“应当”都是义务性法律规范，此处更改可理解为进一步规范用语。

2、由“行政法规”调整为“法规”，极大扩大了立法主体的范围，因此开展数据活动应当遵守的规则会更加广泛。对比《个人信息保护法》（草案二审稿）和本法的其他条款，我们认为此处调整将导致企业的合规注意义务显著提升，值得商榷。

解读：

1、文字表述调整，将“协同治理体系”调整为“协作机制”。

解读：

1、此条为新增内容，明确赋予行业组织相关职责，并强调通过行业协会等组织的凝聚力推动数据安全保护，体现了前条的“协作机制”。这一规定对相关行业组织的数据合规工作提出了要求，特别是一些掌握重要数据的行业，其行业组织需要建立相应规范，并将数据安全的指导工作纳入日常业务当中。

解读：

1、增加“统筹发展和安全”，体现国家对数据安全与促进数据开发利用并重，数据发展的过程中要保障数据安全，数据安全也是为了更好的发展数据经济，二者相辅相成，共同促进数据产业的发展。

解读：

1、将制定数字经济发展规划的政府级别由“省级以上”调整为“县级以上”，降低了级别、扩大了范围，有利于各级政府更加具有针对性的统筹发展数字经济。

2、赋予县级以上政府根据需要自主制定数字经济发展规划的权力，由“应当制定”改为“根据需要制定”。

解读：

将“数据开发利用技术基础研究”调整为“数据开发利用和数据安全技术研究”，进一步体现了“数据处理”+“数据安全”并重的立法目的。

解读：

将“研究机构、高等学校、相关行业组织”调整归纳为“社会团体和教育、科研机构”，表述更加具有清晰性、逻辑性。

解读：

增加“科研机构”作为支持开展教育培训的主体，科研机构离不开数据的开发利用，增加这一开展教育培训的主体，更加符合实际。

解读：

1、建立数据分类分级保护制度，并加强对重要数据的重点保护，明确重要数据保护是数据分类分级保护制度的重要内容，将数据分类分级标准与重要数据界定进行了有机融合。

2、明确从国家角度确定重要数据目录，解决了一审稿直接将重要数据的管理权限下放到各地方和各部门，可能带来的地区之间、部门之间划分标准的冲突问题；解决了现行有效规定中多数采取由企业自主进行数据分类分级，可能带来企业在自主划分时优先考虑保护自身利益而非关注数据安全的问题。

3、在国家确定重要数据目录的基础上，需要企业更加关注后续由各地区、各部门确定的重要数据具体目录。

解读：

1、明确我国有权对任何的歧视性措施采取“对等”措施。对在数据和数据开发利用技术等有关投资、贸易方面对我国采取歧视性措施的，根据实际情况采取反制措施。这也从间接角度，体现出了国际间数字经济竞争日趋激烈。

解读：

1、删除“国家标准的强制性要求”作为开展数据处理活动的法律依据。但并不是说“国家标准的强制性要求”不用遵守了，仅仅是立法技术上的调整。

2、强调开展数据处理活动应当以《网络安全法》中规定的“网络安全等级保护制度”为基础，强化了等级保护在数据安全保护要求中的基础作用，《网络安全法》第二十一条，其明确国家实行网络安全等级保护制度，并提出了履行安全保护义务的具体要求。两法之间可以形成借鉴、参考。

3、将“设立数据安全负责人和管理机构”改为“明确数据安全负责人和管理机构”，因此可以不设立数据安全负责人和管理机构，只需明确数据安全负责人是谁以及哪个部门负责管理数据安全，有助于降低企业的合规成本，比如可以由网络安全负责人同时担任数据安全负责人，而无需另行专门聘请数据安全负责人。

解读：

新增发生数据安全事件时，立即采取处置措施的法定义务，防止损害进一步扩大。

解读：

1、将“本组织掌握的数据”改成“处理过的数据”，这一表述将风险评估报告中需要包含的数据范围大大增加，只要处理过的数据都需要报告。值得注意的是，虽然本法及《网络安全法》、《网络安全审查办法》和《个人信息和重要数据出境安全评估办法（征求意见稿）》都涉及重要数据，然而我国有效的重要数据识别标准尚有待法律法规和《信息安全技术 重要数据识别指南》等予以界分。

2、将“收集、存储、加工、使用数据”归纳统一为“开展数据处理活动”，与第三条中对“数据处理”的定义相对应。

解读：

1、本条为新增条款，区分“关键信息基础设施的运营者”与“其他数据处理者”，规定了二者数据出境适用不同的法律、法规。

2、CIIO的重要数据出境适用《网络安全法》，二者进行衔接，避免了法律适用上的冲突。

3、其他数据处理者的重要数据出境，由国家网信部门会同国务院有关部门制定，这一规定冲突了《网络安全法》的规定，授权网信部门针对非CIIO作出更为严格的数据出境管理规定。

解读：

1、如《个人信息保护法》，本法依然强调必要和最小限度原则。考虑到在法律、行政法规规定的范围内收集、使用数据的行为属于依法进行，故不再受“不得超过必要限度”的法律限制。

解读：

1、二审稿中的规制主体不再限于“专门提供在线数据处理等服务的经营者”，而针对的是“提供数据处理相关服务”，扩大了规制范围。

2、删除“备案”，应当依法取得许可，但要注意，不是所有的数据处理服务都要许可，而是“法律、行政法规规定提供数据处理相关服务应当取得行政许可的”，服务提供者应当依法取得许可。

3、法律依据方面，不再规定由国务院电信主管部门会同有关部门制定，而是基于现行法律、行政法规，排除部门规章。

解读：

1、增加“司法机构”作为要求调取境内数据的主体，有助于全面避免境外机构的长臂管辖。

2、“应当获得批准后方可提供”改为“非经批准不得提供”的禁止性规定。

3、将“依照其规定”调整为“可以按照其规定执行”，意味着可以按照本条规定而不按照相关国际条约、协定的规定执行，客观上赋予了主管部门更大的自由裁量权。

解读：

1、增加“建设、维护电子政务系统”，明确了国家机关数据相关委托活动的批准范围。

2、增加“受托方”作为监督对象，区分“数据接收方”与“受托方”，有助于理清不同主体的数据保护义务，国家机关相关的政务数据今后也将面临严格监管，从事相关服务的企业需要及时跟进应对措施。

解读：

提高了不履行重要数据出境管理规定应负的法律责任。

1、整体上调高了处罚金额，加大处罚力度。

2、增加“责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的处罚方式，此类处罚方式对企业发展的严重程度甚至高于罚款。

3、扩大了处罚对象的范围，在不履行数据安全保护义务的一般法律责任情形下，将“其他直接责任人员”纳入进来，扩大了处罚对象的范围。

解读：

1、将“数据交易中介机构”改为“从事数据交易中介服务的机构”，不再定性何种机构，而是由行为界定主体，实际上扩大了规制范围。

2、增加“违法所得不足十万元”作为处十万元以上一百万元以下罚款的情形之一，对于违法所得不足十万元的，实际上加重了罚款力度。

3、增加“责令暂停相关业务、停业整顿”，完善处罚形式。

解读：

1、新增拒不配合数据调取、督促相关主体配合数据调取。

2、新增未经批准向境外司法或者执法机构提供数据的法律责任，既能避免数据主体擅自对境外司法、执法机构提供数据情况的发生，也为数据主体向境外司法、执法机构调取数据提供了拒绝的法定理由。尤其是对于跨国公司，迫于境外总部或境外分支机构所在地司法、执法机构的压力，不得不提供相关数据。但该法生效后，或可有正当合法的理由予以拒绝。

解读：

1、将“通过数据活动”的表述改为“开展数据处理活动”，由手段变为行为过程。

2、增加“排除、限制竞争”的处罚情形，以凸显数据领域的垄断与不正当竞争执法的重要性，凸显社会热点。

解读：

新增内容。明确军事数据安全保护的特殊性，且由中央军事委员会另行制定。