6月10日，《中華人民共和國數據安全法》（簡稱“數據安全法”）審議通過，將于今年9月1日施行。從國內來看，數據安全法的出臺進一步完善了我國數據安全基礎法律體系，解決了我國數據安全領域長期沒有獨立且融貫的法律體系的問題。從國際來看，數據安全法為我國構建起一道全新的數據安全法律保障體系屏障，將對重塑國際數據規則具有重要影響。

　　將數據安全上升到國家安全層面

　　數據安全法將數據安全上升到國家安全層面，對管轄地域、行為和對象進行了明確和規范。

　　從地域來看，數據安全法的管轄范圍包含境內和境外兩個層面。我國境內開展數據處理活動及其安全監管，適用數據安全法；損害國家安全、公共利益或者公民、組織合法權益的境外的數據處理行為同樣可依據本法律進行規制。

　　從約束行為來看，數據安全法的管轄范圍包括數據處理活動和數據安全監管活動。開展數據的收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動，應依照本法律相關規定；有關主管部門的數據安全監管同樣應依照數據安全法開展。

　　從數據處理活動的對象來看，數據安全法適用于針對“數據”的處理活動，適用范圍非常廣泛。數據安全法在法律層面明確了“數據”的概念，涵蓋任何以電子或者其他方式對信息的記錄。

　　數據安全法明確了我國數據安全領域采取“中央統籌+地方與部門分治”的基本監管架構。中央層面，國家安全領導機構是數據安全工作的領導機構。執行層面，地區與行業部門對各自工作中收集和產生的數據安全負責并承擔安全監管責任。國家網信部門負責對網絡數據安全和監管工作進行統籌協調。

　　構建我國數據安全基本制度

　　數據安全法第三章構建了我國的數據安全基本制度，包括數據分類分級、重要數據保護等7個方面。

　　數據分類分級保護制度。數據安全法規定，“國家建立數據分類分級保護制度”。數據分類分級是以風險程度為導向，以數據在經濟社會發展中的重要程度以及數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度作為原則性標準。電網企業應遵循國家建立的分類分級路徑，健全數據分類分級管理，將已有的分類分級體系與國家行將出臺的分類分級保護制度進行有機銜接。

　　重要數據重點保護制度。數據安全法規定，“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護”“各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護”。電網企業開展業務的過程涉及大量電力數據。此類數據對國家安全與社會公共利益有重大影響，很可能被相關主管部門認定為重要數據。建議重點關注重要數據保護制度和重要數據處理者的相關義務。

　　國家核心數據嚴格保護制度。數據安全法對國家核心數據實施更加嚴格的管理制度：監管部門對相關主體的罰款最高可達人民幣1000萬元，并可以根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，追究刑事責任。電力數據事關國計民生，有可能被認定為國家核心數據。電網企業應持續關注立法進度，做好合規規劃。

　　數據安全風險機制。數據安全法建立數據安全風險評估、報告、信息共享、監測預警和應急處置機制，通過對數據安全風險信息的獲取、分析、研判、預警以及數據安全事件發生后的應急處置，實現數據安全事前、事中和事后的全流程保障。相關企業應加強相應機制建設，落實防護措施和策略，完善應急預案，強化數據安全的事前評估、事中監測、事后處置等全流程風險管控能力。

　　數據活動國家安全審查制度。數據安全法規定，國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。企業應健全數據活動審查管理，并按照要求配合數據活動國家審查。

　　數據出口管制。數據安全法把屬于管制物項的數據納入了出口管制對象范圍。相關企業應主動密切跟蹤出口管制清單有關內容，加強跨境數據管理。

　　企業應圍繞法律規定構建合規體系

　　數據安全法第四章規范了數據處理者對數據的安全保護義務。安全保護義務是數據處理者最為直接的合規義務。第六章“法律責任”大部分條款則規定了違反安全保護義務后應承擔的責任。

　　● 一般數據處理者的義務

　　一是明確數據處理活動的安全要求。數據安全法規定了一般數據處理者的安全保護義務，包括建立健全全流程數據安全管理制度、組織開展數據安全教育培訓、采取相應的技術措施和其他必要措施、落實網絡安全等級保護制度等。同時，數據安全法針對重要的數據處理活動環節提出安全要求，明確收集數據“采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據”，“非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”。

　　二是開展數據安全風險的監測、安全事件報告。數據安全法規定，“開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告”。

　　三是明確特殊的數據活動參與主體的合規要求。數據安全法規定，“從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄”“法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可”。

　　數據處理者應落實基本數據安全保護要求，開展包括建立健全數據安全管理制度、開展安全教育培訓、采取技術措施等在內的相關安全工作。

　　● 重要數據處理者的義務

　　數據安全法在一般數據處理者的基礎上，對重要數據的處理者規定了“增強型”的保護義務。

　　一是明確數據安全負責人和管理機構責任。數據安全法規定，重要數據的處理者應當明確數據安全負責人和管理機構。電網企業可綜合考慮業務及數據職責、合規責任等，明確負責人和管理機構。

　　二是定期開展風險評估并報送風險評估報告的責任。重要數據處理者應對重要數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。重要數據處理者不僅要履行數據安全保護義務，更要積極地向監管部門說明內部風險的識別和應對情況，體現了“合規與自證合規并重”的理念。建議相關企業開展重要數據處理活動風險評估活動，并保存評估活動記錄以作為自證合規的證據。

　　三是數據出境的相關義務。數據安全法一方面強調了關鍵信息基礎設施的運營者產生的重要數據出境問題按照《中華人民共和國網絡安全法》進行處理；另一方面，彌補了《中華人民共和國網絡安全法》的規則空白，明確了非關鍵信息基礎設施運營者跨境傳輸重要數據將適用另行制定的規則。相關企業應在重要數據出境方面按照法律規定采取嚴格的合規措施。

　　數據安全法作為基礎性法律，將通過配套法律法規予以細化和落地，根據《國務院2021年度立法工作計劃》，《數據安全管理條例》已被列入擬制定、修訂的行政法規。

　　數據安全法是數據安全與合規的基礎規則之一。對于企業而言，圍繞數據安全法及其配套相關規定，構建自身的合規體系將是未來兩三年內數據合規工作的重點內容，也是緊迫的現實需求。

　　（作者單位：國家電網有限公司大數據中心）