作者：金茂律师事务所  金文玮 律师

2021年6月10日，国家主席习近平签署了第八十四号主席令，《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过，现予公布，自2021年9月1日起施行。

第一章 总则

第一条 为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。

解读：“维护国家主权、安全和发展利益”是中国特色网络法的特点——美国网络法偏重保护企业利益，是“企业本位”；欧洲网络法偏重保护个人利益，是“个人本位”；中国网络偏重维护国家利益，是“国家本位”——这一点在后面的条文中会不断有体现。

第二条 在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。
在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

解读：可以追究境外损害中国安全、公共利益和公民、组织权益的行为——这是中国版的“长臂管辖”。其实在之前公布的《个人信息保护法（草案）》与《征信业务管理办法（征求意见稿）》中都有体现。

第三条 本法所称数据，是指任何以电子或者其他方式对信息的记录。
数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

解读：对数据的定义比较宽泛，虽然有“以电子方式”这一用语在前，但加上“其他方式”这一用词，那基本上涵盖了所有档案记录。

数据处理采用列举式定义，基本包括了目前可以设想到的所有数据处理形式，但没有明确提及“交易”二字。

数据安全的定义包括两部分：一是数据处于“安全”的状态；二是保证持续安全状态的能力。

第四条 维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

解读：本条将“坚持总体国家安全观”放首位，是中国“国家本位”网络法特点的体现。

第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

解读：“中央国家安全领导机构”是数据安全工作的总负责，这说明立法者对数据安全认知的出发点是国家安全，而不是个人的安全，这还是“国家本位”特点的体现。

第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

解读：三类主管机关：各行业的主管部门、公安与国安机关、国家网信部门。这三类主管机关是各类网络法中的常客——通常情况都是各行业主管部门负责本行业的工作、公安与国安负责其职责内的工作、网信部门负责统筹协调工作。

如果参照金融监管体制模式来类比的话，我国在互联网领域的监管模式属于“混业经营，分业监管”——对具体企业的经营模式不过多干预（当然，对监管部门而言最理想状态是业务单一），然后在监管时由各监管部门按照自己职权进行监管。这个监管体制在立法层面基本已经成型，但具体执行过程中各部门如何协调监管职权重合或监管职权缺失还需要进一步尝试与调整。

第七条 国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

解读：特别需要注意的是：“鼓励数据依法合理有效利用，保障数据依法有序自由流动”这一提法。流动的数据才是真正有价值的数据，但数据流动会带来各种风险——过去我国法律对数据流动基本是空白，这次《数据安全法》首提“依法有序自由流动”，数据合法交易的时代将要来临了。

第八条 开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

解读：开展数据活动要合法、合乎道德之类，不能损害国家、个人利益等都是常见的提法，但“承担社会责任”的提法非常少见——对企业而言，开展数据活动不再仅仅是逐利的商业行为，而且要有社会责任心。

第九条 国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。

解读：这条是原则性的口号，除了写官样文章，其他人可以跳过本条。

第十条 相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。

解读：国家机关“分业监管”，行业组织进行自律，这也是网络法领域的惯常套路了。不过，笔者好奇的是：这里的行业组织是指已经有的互联网行业协会呢，还是会建立新的“数据安全行业协会”呢？

第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。

解读：这本质也是一条原则性规定，但从条文可以看出我国对“数据跨境安全、自由流动”的态度是开放但保持谨慎的。

第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。

解读：接受投诉、举报的主管部门没有明确，但个人认为通常理解下，举报指向违法犯罪活动，那大概率是向公安或国安举报；投诉指向违法违规经营活动，那大概率应该是向网信部门举报。

第二章 数据安全与发展

解读：本章形式上不是总则，但内容上其实可以归为总则。

第十三条 国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

解读：原则式规定。

第十四条 国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

解读：省级以上人民政府应当将数字经济发展纳入规划，也就是说以后省级人民政府（省、自治区、直辖市）以及国务院的政府工作规划与报告中就一定会提到数字经济的内容——这对目前从事数字经济工作或者辅助工作的企业来说，应该是个利好消息。

第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

解读：个人觉得这条规定的后部分“考虑老年人、残疾人的需求”，应该就是针对疫情期间频发老年人不会使用“绿码”现象所进行的改进。

第十六条 国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。

解读：原则式规定。对大部分人而言没有意义，对向高新区讨政策的企业或许有借鉴意义。

第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

解读：这条看似原则，但实际上将国家标准提到了立法层面的高度——法律不可能将各类数据的标准都囊括进来，所以国家标准一定是另外单立的。本条就是确定了国家标准的制订与地位。

第十八条 国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

解读：这条并不是我们俗称的“恰饭条款”，因为“数据安全风险评估、认证、防范”等都不是强制性的，只是“促进”与“支持”。但个人认为，特定行业的强制评估与认证肯定会有相关规定进一步出台。

第十九条 国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

解读：我国立法体系对数据交易的规定一直处于蒙昧不清的状态——底线是不能买卖个人信息（其实严格来说不管给不给钱都是违法），但底线之上数据如何交易则基本没有规范。
从本条立法来说，数据交易法律法规“裸奔”的状态从原则上来说已经成为了过去式，但具体的管理制度和规范依然有待进一步的立法来解决。

第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

解读：原则式规定。

第三章 数据安全制度

解读：本章是数据法“国家本位”最好的体现——所有制度都是由国家建立由国家执行。

第二十一条 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

解读：本条提到了“数据分类分级保护制度”以及“重要数据目录”，具体的工作还有待进一步细化。

第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

解读：本质上就是要建立“数据安全风险评估、监测预警机制”，而建立这个机制需要打通各数据平台，所以各持有大量数据的平台要做好准备了。

第二十三条 国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

解读：“应急处置机制”，有待进一步细化工作。

第二十四条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。

解读：“审查制度”同样有待进一步细化工作，但有点很有意思强调“安全审查决定为最终决定”，根据上文来看安全审查并不是行政处罚，所以肯定没有必要强调“最终决定”；如果只是行政检查，也完全没有必要“最终决定”——所以个人判断此处的“审查制度”可能会带有行政强制措施。

第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

解读：数据出口并不必然是受管制的，但是涉及国家安全和利益就另当别论了。从目前的立法情况来看，涉及国家安全的数据肯定是不得出口的，其次，涉及公民个人敏感信息的数据也不得出口。

第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

解读：这条和同一天颁布的《反外国制裁法》是一致的。

第四章 数据安全保护义务

第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

解读：开展数据处理活动企业需要承担的义务来了：

• 建立全流程数据安全管理制度、组织数据安全教育培训、采取必要措施保障数据安全；
• 在网络安全等保基础上履行数据安保义务；
• 重要数据处理者应当落实数据安全保护责任。

需要注意的是本条是配有罚则的——第六章第四十五条。尤其需要提醒企业注意的是，《网络安全法》将“拒不改正”作为处罚前提的那种“先礼后兵”式的处罚方式，在《数据安全法》中不存在了——《网络安全法》会先责令整改，拒不改正的，才会予以处罚；但是《数据安全法》第六章的处罚方式都是“责令改正，给予警告，可以并处（罚款等处罚）”——《网络安全法》虽然表面上处罚的是违法行为，但其实是处罚“拒不改正错误”的行为；而《数据安全法》处罚的就是违法行为本身，是否改正错误只是酌定情节。从这个层面上来说，《数据安全法》比《网络安全法》更为严厉，企业违法的成本大幅的增加了。

第二十八条 开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。

解读：原则式规定。但“人民福祉”这个词台湾同胞常用，大陆立法中好像是第一次见到。

第二十九条 开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

解读：开展数据处理活动企业的第二项重要义务：发现缺陷、漏洞要立即补救，发生安全事件要及时告知用户并上报主管部门。
本条同样配有罚则——第六章第四十五条。

第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

解读：“重要数据的处理者”需要定期开展风险评估，并报送风险评估报告——本条是强制性规定，配有罚则，第六章第四十五条。

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

解读：本条一分为二，关键信息基础设施运营者与其他数据处理者。前者重要数据出境适用《网络安全法》，后者重要数据出境等具体管理办法出台。

其实，《网络安全法》第三十七条关于关键信息基础设施运营者重要数据出境问题的规定，也就是“应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。

本条配有罚则，第六章第四十六条，向境外提供重要数据的，可以处十万元以上一百万元以下罚款——比第四十五条的处罚要重。

第三十二条 任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。

解读：数据收集应当合法、不得非法获取，这已经是共识了。
但有意思的是第六章法律责任里没定有规直接相应的罚则，只是第五十一条规定“依照有关法律、行政法规的规定处罚”——可能立法者认为《网络安全法》第六十四条已有规定，所以不再重复规定了。

第三十三条 从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

解读：第三十三条首次提到了数据交易中介机构——立法者对我国数据交易模式的构想可能更希望是便于监管的大型公开交易市场的“公交”模式，而非不易监管的企业或组织之间“点对点”的“私交”模式。

而且，相对于立法的滞后，市场尝试其实已经非常活跃了，目前我国已有众多大数据交易平台，例如政府背景的贵阳大数据交易所、上海数据交易中心等；例如平台背景的京东万象、百度智能云云市场等。

对已经存在的平台和有志于从事数据交易的企业或组织来说，《数据安全法》不啻为一条利好消息。

需要提醒注意的是本条也配有罚则，第六章第四十七条——违法所得一倍到十倍的罚款，没有违法所得的十万以上一百万以下罚款——数据交易的中介不太好做啊。

第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。

解读：数据处理，尤其是涉及个人信息（包括敏感信息）的行业，最后肯定都会走向牌照制。

如果已经在从事数据处理服务的企业，只要不触及底线（买卖个人信息），技术操作谨慎，即使未来有需要整改的地方，也能迅速跟上监管的要求；可能会出问题的是部分企业本身并不从事数据处理服务，但其提供的产品或服务延伸到了数据处理，这些企业如果不做提前预案的话，未来可能会面临一定的麻烦。

第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

解读：配合调查义务同样配有罚则，第六章第四十八条第一款。

第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

解读：向境外司法或执法机构提供数据必须经主管机关批准，但法条没有明确主管机关是哪个。个人理解如果有行业主管部门的，向行业主管部门申请；没有行业主管部门的，向网信部门，或者公安、国安部门申请——如果实在吃不准，向公安或国安部门申请应该不会错。

本条配有罚则，第六章第四十八条第二款——十万以上一百万以下罚款，造成严重后果的，一百万到五百万罚款——算比较重的处罚了。

尤其是对很多跨国企业来说，双重监管的压力非常大，处置不当就是两头受罚。

第五章 政务数据安全与开放

第三十七条 国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。

解读：原则式规定。

第三十八条 国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

解读：不仅私企收集、使用信息要合法法规，政府也同样要合规。而且，考虑到政府信息的采集能力，其安保责任与保密责任更应该严格。

第三十九条 国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

解读：本条配套的罚则是第四十九条和第五十条，但是处罚的内容仅限于个人，而且处罚内容规定得不清楚。

第四十条 国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

解读：这条是隐藏版的“恰饭条款”——为国家机关委托第三方（通常是商业机构）建设政务系统，储存、加工政务数据解决了法律上的障碍。国家机关在依法依规并尽到批准、监督义务的情况下，可以委托第三方提供相关服务；当然受托方也要尽到数据安全保护义务。

有意思的是：受托方违反数据安全保护义务，在本法中没有规定相应的处罚措施，只是按第五十一条的规定“依照有关法律、行政法规的规定处罚”。

第四十一条 国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。

解读：原则式规定，解决了政务数据公开的法律障碍。

第四十二条 国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

解读：这一点上海走在了前面，2019年10月1日《上海市公共数据开放暂行办法》（共8章48条）正式施行。虽然上海用了“公共数据”这个词语，与《数据安全法》使用的“政务数据”一词并不完全一致，但从二者的描述来看，所指向的就是同一种数据——公务机关在履行职责时收集到数据。

《上海市公共数据开放暂行办法》作为国内首部公共数据（政务数据）开放的立法尝试，其设计的制度以及实践中的经验与教训对《数据安全法》政务数据公开细则的制订肯定是有借鉴意义的。

第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定。

解读：比如现在各地都有的行政服务中心。

第六章 法律责任

解读：本章很多内容在前文已做引述，所以重复的话可能就不再说了。

第四十四条 有关主管部门在履行数据安全监管职责中，发现数据处理活动存在较大安全风险的，可以按照规定的权限和程序对有关组织、个人进行约谈，并要求有关组织、个人采取措施进行整改，消除隐患。

解读：这应该是预警机制的配套内容，严格来说这不属于“法律责任”范畴，因为可能会带有行政强制措施，所以被放到这一章来规定。

形式上本条没有罚则（本条本身就被放在罚则一章内），但拒不整改的法律责任在《网络安全法》中有相应的规定。

第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

解读：《数据安全法》处罚方式的变化在前文第二十七条的解读时已经提到，不再重复了。

本条需要注意的是：如果违反国家核心数据管理制度的，不是“可以并处”罚款，而是直接处二百万到一千万的罚款，并可责令停业、吊销许可证和营业执照。如果企业的业务涉及核心数据的，一定要非常小心。

第四十六条 违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

解读：打个比方，本条规定就好像“子弹还没有装填，但枪栓已经拉开了”——具体的数据出境规则还没出台，但罚则已经准备好了。

第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

解读：数据交易中介不好当。

第四十八条 违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

解读：一言以蔽之：自己国家的机构，说要就得给；其他国家的机构，不能说要就给。

第四十九条 国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。

解读：处分内容没有详细规定。

第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的，依法给予处分。

解读：作为一个纠结于文字的法律人，这里的“处分”是否包含了追究刑事责任的内容呢？没有提，总觉得好像漏了些什么。

第五十一条 窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。

解读：本条实质上是罚则部分的兜底条款——只要有损害个人或组织合法权益，且其他法律法规有规定处罚内容，就按相关法律法规的规定处罚。

第五十二条 违反本法规定，给他人造成损害的，依法承担民事责任。
违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

解读：本条形式上是罚则部分的兜底条款——民事责任、行政责任、刑事责任。

第七章 附则

第五十三条 开展涉及国家秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

在统计、档案工作中开展数据处理活动，开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。

解读：涉及国家秘密及个人信息的数据处理活动，需适用特别法。但需要区分的是：涉及国家秘密的，适用《保守国家秘密法》等法律法规，不再适用本法；而涉及个人信息的，“还应当遵守有关法律法规”，本法同时适用。

第五十四条 军事数据安全保护的办法，由中央军事委员会依据本法另行制定。

解读：军事数据是更加特殊的数据，肯定要另外立法的。

第五十五条 本法自2021年9月1日起施行。

解读：如果法律的施行日算出生日期的话，《数据安全法》应该是处女座的。