作者：金茂律师事务所  金文玮 律师

2021年6月10日，《数据安全法》经第十三届全国人民代表大会常务委员会第二十九次会议通过，将于2021年9月1日起正式实施。

《数据安全法》在正式颁布之前，其草案与《个人信息保护法（草案）》、《数据安全管理办法（征求意见稿）》、《征信业务管理办法（征求意见稿）》等尚在制订中的一系列文件已经让人们初窥到了中国数据安全法体系的大致模样。

《数据安全法》作为上位法无疑会对其他法规、规章有重大影响，而且从立法本身来说，该法也需要其他法规、规章、细则、国家标准等规范性问题的进一步补充《数据安全法》全文共7章55条，从以下几个方面来归纳或许有利于读者更快捷的理解该法——如果非要用一句话来概括的话，就是“子弹还未装填，但枪栓已经打开”。

一、“子弹还未装填”——原则性规定多于实质性规定

《数据安全法》理论上只有第一章是总则（共12条），但从内容来看的话，第二章数据安全与发展（共8条）的规定也相当笼统且原则化，除了第十五条“提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍”这一规定外，第二章几乎没有什么涉及具体权利义务的规定，用网络语言来说就是缺少“干货”，有些条款甚至有点喊口号的嫌疑。

《数据安全法》总共有55条条文（共计5363字），第一章加第二章共20条条文（计1731字），如果扣除掉附则的3条条文（计160字）的话，第一第二章的原则性规定占到了条文数的38.46%，字数的33.26%——也就是说《数据安全法》接近三分之一的规定都在讲原则性问题，而不是实质的权利义务问题。

而且，《数据安全法》第三章至第六章的诸多条款也都只确定了基本原则，比如，第三章规定国家要建立数据分类分级保护制度（第二十一条）、数据安全应急处置机制（第二十三条）、数据安全审查制度（第二十四条），但具体制度都没有规定；再比如，第五章规定国家要推进电子政务建设（第三十七条）、国家机关应依法保障政务数据安全（第三十九条），但也只都是接近口号式的规定，欠缺实际的制度安排。

二、“枪栓已经打开”——处罚力度加强，企业违法风险陡增

对企业而言，《数据安全法》第四章可能才是最为关键的章节，因为第六章法律责任规定违法处罚所涉及的第二十七条、第二十九条、第三十条、第三十一条、第三十三条、第三十五条、第三十六条统统都是第四章的内容。

第二十七条规定应建立全流程数据安全管理制度、在网络安全等保基础上履行数据安保义务、重要数据处理者应当落实数据安全保护责任；第二十九条规定风险监测、立即补救、安全事件及时报告；第三十条规定重要数据处理者须定期风险评估并报告；第三十一条规定数据出境的合规性问题；第三十三条规定数据交易中介的义务；第三十五条规定应当配合公安机关、国家安全机关调查义务；第三十六条规定非经批准，不得向外国司法或执法机构提供数据。

以上条款中对数据交易中介、向外国司法或执法机构提供数据都是之前立法（包括草案及征求意见稿）中未曾提及的内容，企业的雷区又增加了。

另外，尤其需要提醒企业注意的是，《网络安全法》将“拒不改正”作为处罚前提的那种“先礼后兵”式的处罚方式，在《数据安全法》中不存在了——《网络安全法》会先责令整改，拒不改正的，才会予以处罚；但是《数据安全法》第六章的处罚方式都是“责令改正，给予警告，可以并处（罚款等处罚）”——《网络安全法》虽然表面上处罚的是违法行为，但其实是处罚“拒不改正错误”的行为；而《数据安全法》处罚的就是违法行为本身，是否改正错误只是酌定情节。从这个层面上来说，《数据安全法》比《网络安全法》更为严厉，企业违法的成本大幅的增加了。

另外，有意思的是第六章法律责任里没定有规直接相应的罚则，只是在第五十一条规定“依照有关法律、行政法规的规定处罚”——可能立法者认为《网络安全法》第六十四条已有规定，所以不再重复规定了。

三、“结束裸奔”——合法数据交易时代即将来临

我国立法体系对数据交易的规定一直处于蒙昧不清的状态——底线是不能买卖个人信息（其实严格来说不管给不给钱都是违法），但底线之上数据如何交易则基本没有规范。

《数据安全法》第十九条（国家建立健全数据交易管理制度）、第三十三条（数据交易中介服务机构）都提到了数据交易，数据交易法律法规“裸奔”的状态从原则上来说已经成为了过去式，但具体的管理制度和规范依然有待进一步的立法来解决。

尤其值得注意的是，第三十三条首次提到了数据交易中介机构——立法者对我国数据交易模式的构想可能更希望是便于监管的大型公开交易市场的“公交”模式，而非不易监管的企业或组织之间“点对点”的“私交”模式。

而且，相对于立法的滞后，市场尝试其实已经非常活跃了，目前我国已有众多大数据交易平台，例如政府背景的贵阳大数据交易所、上海数据交易中心等；例如平台背景的京东万象、百度智能云云市场等。

对已经存在的平台和有志于从事数据交易的企业或组织来说，《数据安全法》不啻为一条利好消息。

四、“管中窥豹”——中国网络法的“长臂管辖”与“分业监管”

《数据安全法》第二条第二款规定在境外开展数据处理活动，损害中国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

笔者在《征信业务管理办法（征求意见稿）的八个解读》一文中提到互联网不受地域限制，也往往不受国界的限制，所以在一国网络法体系中出现“长臂管辖”是很正常的现象，而《个人信息保护法（草案）》与《征信业务管理办法（征求意见稿）》也都提到了域外效力的问题。加上《数据安全法》，我们可以籍此看到我国立法机关对“长臂管辖”原则态度的变化，当然这既有互联网特性的原因，也有我国当前身处地位的原因。《数据安全法》应该是我国首部正式通过的规定了“长臂管辖”原则的法律。（如果笔者检索不严，欢迎指正）

《数据安全法》第六条规定了三类主管机关：各行业的主管部门、公安与国安机关、国家网信部门。这三类主管机关是各类网络法中的常客——通常情况都是各行业主管部门负责本行业的工作、公安与国安负责其职责内的工作、网信部门负责统筹协调工作。

如果参照金融监管体制模式来类比的话，我国在互联网领域的监管模式属于“混业经营，分业监管”——对具体企业的经营模式不过多干预（当然，对监管部门而言最理想状态是业务单一），然后在监管时由各监管部门按照自己职权进行监管。这个监管体制在立法层面基本已经成型，但具体执行过程中各部门如何协调监管职权重合或监管职权缺失还需要进一步尝试与调整。

五、政务数据公开？上海已经走在了前面

《数据安全法》特地设立了单独的第五章（共7条）规定了政务数据安全与开放。其中第三十七至第四十条规定的是政务数据保密与安全；第四十一至四十三条原则性规定了国家机关公开政务数据、制定政务数据开放目录，构建政务数据开放平台等。

这一点上海走在了前面，2019年10月1日《上海市公共数据开放暂行办法》（共8章48条）正式施行。虽然上海用了“公共数据”这个词语，与《数据安全法》使用的“政务数据”一词并不完全一致，但从二者的描述来看，所指向的就是同一种数据——公务机关在履行职责时收集到数据。

《上海市公共数据开放暂行办法》作为国内首部公共数据（政务数据）开放的立法尝试，其设计的制度以及实践中的经验与教训对《数据安全法》政务数据公开细则的制订肯定是有借鉴意义的。