6月11日，经过十三届全国人大常委会第二十九次会议通过的数据安全法对外公布，将于2021年9月1日起施行。

作为数据领域的基础性法律，同时也作为国家安全领域的一部重要法律，数据安全法出台的背景与意义是什么？在数据分级分类上有哪些新亮点？又将如何与网络安全法、即将出台的个人信息保护法相衔接？

南都记者注意到，相较于前两次的审议稿，正式出台的数据安全法首次提出“国家核心数据”概念，并规定违反国家核心数据管理制度情节严重最高可罚一千万元。有专家表示，其中有一些涉及到国家安全等类型的数据从宏观角度来看特别重要，可谓“一失万无”。而加大的处罚力度，也是引导企业在进行风险权衡时尽量选择合规的方案。

针对不同类型、不同级别的数据保护，数据安全法确立了分级分类保护的思想——根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据施行分级分类保护。

数据安全法规定，关乎国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。值得注意的是，核心数据是数据安全法首提的概念，也是数据安全法三审稿中首次出现的内容。

如何理解国家核心数据？熟悉数据立法的北京安理律师事务所高级合伙人王新锐认为，对于这个概念不能仅从字面意义上来理解。数据领域有非常多类型的风险，这就带来整体的数据安全问题。而其中有一些类型的数据从宏观角度来看特别重要，可谓“一失万无”，比如涉及到国家安全、国家经济命脉的数据。判断是不是国家核心数据，要看是否给全局带来较大的风险。

而在浙江垦丁律师事务所联合创始人麻策看来，重要数据是指与国家安全、经济发展，以及社会公共利益密切相关的数据，其包括核心数据，而核心数据的保护密级将高于重要数据。

“重要数据更多立足于社会经济发展的角度，核心数据是从国家安全的角度来讲。”华东政法大学教授高富平解释，由于在数据已经成为国际上的一种战略性资源的情况下，核心数据中提到的“国家重大利益”，主要针对的是国际制裁等对外情况。

对外经贸大学数字经济与法律创新研究中心执行主任许可认为，在重要数据之外增加国家核心数据的概念，彰显了国家贯彻数据分级分类的思想，有助于未来制度设计更加精细化，更符合对数据安全的关切。

南都记者注意到，相较于数据安全法二审稿，出台的数据安全法在法律责任章节中，加重了处罚力度。

如数据安全法第四十五条规定，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

在高富平看来，加大处罚力度符合趋势，安全事件往往于事前防范比较困难。但加大处罚力度，或可以提高安全防范意识。王新锐也持有类似看法，“处罚力度在趋势上是不断变大的。这也是引导企业在进行风险权衡时尽量选择合规的方案。否则如果处罚金额很低，有部分企业会认为被罚更划算。”

多位专家对南都记者表示，目前国内并没有数据分类分级的统一标准，未来需要出台专门的细则。

有观点认为，数据安全法原则性规定过多，对于企业的合规指引性不强。王新锐则认为，“数据安全法并不是一份合规指引，具体指出怎么做，而是为后续的配套措施提供上位法依据。数据安全法跟生物安全法、网络安全法类似，它的重点在于通过立法规制新型风险。”

据了解，在“十四五”规划和2035年远景目标纲要中，都提出要加快数字化发展，建设数字中国的任务。为了落实上述决策部署，更好地解决数据安全、隐私保护等问题，促进数字经济健康发展，我国在立法层面已打下基础。

南都记者梳理发现，2017年6月，网络安全法正式施行；今年4月，个人信息保护法草案（二次审议稿）（下称“个保法”）提交十三届全国人大常委会会议审议。那么，应如何看待这些法律法规之间的联系？它们之间又该如何衔接？

“数据安全法与网络安全法有交叉的部分。如网络安全法建构起等级保护制度的相关机制，数据安全法中的等级保护制度也应纳入到既有框架中实施。另外，国家核心数据等新增内容，可以对制度设计进行一些修正。”高富平表示。

麻策在谈及三部法律间的关系时表示，从数据安全法来看，我国已经将网络安全区别为个人信息保护以及数据安全保护两大模块。其中网络安全是总领，个人信息保护关乎民生问题，数据安全事关国家安全和经济发展。虽然存在一定的交叉，但立法方向仍然是有一定区别的。

“数据安全法和个保法共同构成网络安全法的姊妹立法，各自有自己的侧重，尤其数据安全法相对更侧重于非个人数据。”北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任吴沈括坦言，“数据安全法中关于数据安全的制度设计也能覆盖个人信息，但个保法将承担起个人信息流转利用和相关个人权益保护的重大制度使命。”他认为，网络安全法、数据安全法和个保法都将从各自的角度，共同致力于网络空间治理和网络数字生态的全面建设。

另外，值得注意的是，数据安全法第十五条规定，国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

在王新锐看来，此条款回应了老人“数字鸿沟”问题。据媒体报道，哈尔滨一名老人因为无法使用健康码，遭到公交司机拒载和乘客轰撵。湖北广水一名94岁老人在银行柜机前被抱起做人脸识别……老年人的数字困境多次引发公众关注。

国务院办公厅与去年11月印发的《关于切实解决老年人运用智能技术困难的实施方案》提出，要坚持传统服务与智能创新相结合。在各类日常生活场景中，必须保留老年人熟悉的传统服务方式。

在海问律师事务所合伙人杨建媛看来，数据安全法的此条规定是因社会热点和长久意义而出现的条款。“我们都会变老，每个人都值得被善待。如果科技发展必须以牺牲弱势人群的利益为代价，那它必定不是向善的。”

她认为，这一条系针对智能公共服务，回应了比如老年人不会扫健康码、上网交水费电费困难等问题。与商业服务不同，公共服务对全体社会成员皆为刚需，应保障其无差别的便捷可用性。本条并未直接对应罚则。实践中，公共服务产品的采购方会依法提出要求，企业在做产品的时候也需充分考虑弱势群体的需求，承担企业的社会责任。

随着我国数字经济发展，数据已成为一种全新的生产要素，逐渐成为国家基础性资源和战略性资源。数据安全问题与国家发展、国家安全，公民权益密切相关。在法律层面对数据安全作出规范的呼声也越来越高。

作为我国首部关于数据安全的法律，数据安全法的出台有何意义？又将带来哪些影响？高富平认为，从国家安全角度，数据安全法属于安全法体系的一个组成部分。许多国家都把数据作为未来社会创新竞争的一种资源，5G时代，争夺数据已成为国家之间的一种竞争形式。“各国都想把数据资源尽可能留在国内，防范别人随意获取，数据安全法也许可以成为一个重要的‘防御措施’”。

王新锐也持有类似看法，“数据安全法非常强调国家安全，因为数据安全是国家法的一部分。数据安全法也是广义的国家安全法的一部分。”

他认为，从现实的风险来讲，数字经济的发展过程中有许多主体参与进来，也存在许多新型风险。通过数据安全法对包括企业在内的主体的一些处罚措施、合规要求，来提高对于数据安全的重视程度。

在麻策看来，数据安全法为数字经济发展奠定了扎实的法律基础，不仅框定了数据安全的责任，也支持数据的合规流动，更实质上提出了数字主权的原则。这些举措和全球数字经济立法同频共振，将极大影响全球数据竞争和安全保护的格局。

数据安全法第十七条规定，国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

许可认为，数据安全法将推动数据安全市场、数据安全企业发展。他解释，数据安全法引入协同治理的理念，鼓励研发、使用新技术保护数据安全。这意味着数据安全不只是国家的强制性要求，未来将在数据保护上形成法律、标准和技术三元共治的形式。而技术的背后代表着产业的发展。

采写：南都见习记者 孙朝 南都记者 尤一炜 实习生 樊文扬

编辑：蒋琳

本文作者

樊文扬

3793W

南方都市报记者