2021年4月29日，中國人大網公布《中華人民共和國數據安全法（草案二次審議稿）》（以下簡稱“《數安法（草案二審稿）》”）全文，[1]并對其公開征求意見。繼《數據安全法（草案）》（以下簡稱“《數安法（草案）》”）于2020年7月3日公開征求意見后，歷時9個月，《數安法（草案二審稿）》公開亮相。

相較于《數安法（草案）》，《數安法（草案二審稿）》在征求意見的基礎上，結合最新發(fā)展情況，進行了多處修訂，并新增了部分規(guī)定。其中，八大修訂要點概覽如下：

接下來，筆者將對《數安法（草案二審稿）》八大修訂要點進行詳細解讀，以期幫助大家快速掌握《數安法（草案二審稿）》的內容。

要點一、完善數據分級分類保護制度

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》進一步明確了站在國家角度、自上而下的數據分類制度將成為我國數據安全的基本性制度，其重要意義可以與《網絡安全法》第二十一條的“國家實行網絡安全等級保護制度”做類比。[2]具體解析如下：

第一，明確從國家角度確定重要數據目錄，解決了《數安法（草案）》第十九條直接將重要數據的管理權限下放到各地方和各部門，可能帶來的地區(qū)之間、部門之間劃分標準的沖突問題；亦解決了現行有效規(guī)定中多數采取由企業(yè)自主進行數據分類分級，可能帶來的企業(yè)自主劃分時優(yōu)先考慮保護自身利益而非關注數據安全的問題。當然，該等重要數據目錄意義重大、影響深遠，有待國家有關部門在廣泛研究、充分論證的基礎上加以明確。

第二，各地區(qū)、各部門確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數據具體目錄。在國家確定重要數據目錄的基礎上，由各地區(qū)、各部門確定重要數據具體目錄，有助于在統(tǒng)一基準之上進一步提高本地區(qū)、本部門以及相關行業(yè)、領域重要數據保護的顆粒度和針對性，能夠對重要數據進行更好地保護。

要點二、新增強化網絡安全等級保護制度（以下簡稱“等?！保┰跀祿踩Ｗo要求中的基礎作用

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》新增“在網絡安全等級保護制度的基礎上”開展數據安全保護工作，強化了等保在數據安全保護要求中的基礎作用，亦做好了與《網絡安全法》的銜接。

網絡安全等級保護制度的要求出自《網絡安全法》第二十一條，其明確國家實行網絡安全等級保護制度，并提出了履行安全保護義務的具體要求。[3]此外，《網絡安全法》第五十九條第一款明確了違反網絡安全等級保護制度要求的法律責任，包括責令改正、警告、罰款等。[4]

筆者以“網絡安全等級保護制度”為關鍵字，于2021年4月26日在威科先行法律信息庫中檢索相關行政處罰，共計檢索到972個行政處罰決定書，其中主要違法事實多為“未開展等級保護備案工作，未落實網絡安全等級保護制度”，例如冀公（冀）行罰決字〔2020〕0586號行政處罰決定書、杭西公(蔣)行罰決字[2020]02791號行政處罰決定書等。

建議企業(yè)積極落實網絡安全等級保護制度，盡快進行等級保護測評、整改和備案工作，以避免潛在的行政處罰。

要點三、調整數據安全負責人和管理機構的要求

1、條文對比

2、解析

從上述條文對比可以看出，對于數據安全負責人和管理機構，《數安法（草案二審稿）》將“設立”調整為了“明確”。筆者初步理解，其不再強調必須設置數據安全負責人和專門的數據安全管理機構，而只需明確數據安全負責人是誰以及哪個部門負責管理數據安全。

可供參照的法律為《網絡安全法》，其第二十一條要求網絡運營者“確定網絡安全負責人”，并在第三十四條進一步要求關鍵信息基礎設施的運營者“設置專門安全管理機構和安全管理負責人”。本條規(guī)定的“明確”與這里的“確定”比較接近，而《數安法（草案二審稿）》并未進一步提出設置數據安全負責人和專門管理機構的要求。

如若該理解準確，則有助于降低企業(yè)的合規(guī)成本，比如可以由網絡安全負責人同時擔任數據安全負責人，而無需另行專門聘請數據安全負責人。

要點四、新增重要數據出境的管理規(guī)定和對應的法律責任

1、規(guī)定內容

《數安法（草案二審稿）》新增第三十條規(guī)定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規(guī)定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定”，加強了對重要數據出境的管理。

此外，《數安法（草案二審稿）》第四十四條新增了不履行第三十條規(guī)定的法律責任。

2、解析

《數安法（草案二審稿）》前述規(guī)定從主體區(qū)分的角度，對重要數據出境提出了不同的規(guī)范要求，并明確了法律責任，具體包括：

第一，明確關鍵信息基礎設施運營者的重要數據出境，適用《網絡安全法》的規(guī)定。該規(guī)定對《數安法》與《網絡安全法》規(guī)定進行了銜接，避免了潛在的法律適用之間的沖突問題?！毒W絡安全法》第三十七條對此采取了“一般規(guī)定+例外情形”的規(guī)定方式，即一般情況下應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估，在法律、行政法規(guī)另有規(guī)定的情況下則適用其規(guī)定。

需要指出的是，這里提到的“辦法”尚未正式出臺。此前與重要數據出境直接相關的規(guī)定為《個人信息和重要數據出境安全評估辦法（征求意見稿）》，但其發(fā)布時間為2017年4月11日，參考價值相對有限。

第二，明確其他數據處理者的重要數據出境，由國家網信部門會同國務院有關部門制定出境安全管理辦法，擴大了重要數據出境的約束范圍。這里提到的“出境安全管理辦法”亦未出臺，有待監(jiān)管部門的制定。不排除在同一出境管理辦法中分別規(guī)定關鍵信息基礎設施運營者和其他數據處理者重要數據出境要求的可能性。

第三，新增了不履行重要數據出境管理規(guī)定的法律責任。對于關鍵信息基礎設施運營者違規(guī)向境外提供重要數據的法律責任，適用《網絡安全法》第六十六條的規(guī)定，責任形式包括責令改正、警告、沒收違法所得、罰款、責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；[5]對于其他數據處理者違規(guī)向境外提供重要數據的法律責任，適用《數安法（草案二審稿）》第四十四條的規(guī)定，責任形式包括責令改正、警告、罰款、責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。對于該條規(guī)定，筆者將在要點七詳細探討，此處不再贅述。

要點五、調整數據處理相關服務的資質要求

1、條文對比

2、解析

從上述條文對比看出，《數安法（草案二審稿）》調整了數據處理相關服務的資質要求，具體分析如下：

第一，不再強調專門提供在線數據處理等服務的經營者的許可或備案要求?！稊蛋卜ǎú莅福返谌粭l首次提出了專門提供在線數據處理等服務的經營者的許可或備案要求，其面臨的爭議較大，這里的“在線數據處理等服務”與《電信業(yè)務分類目錄（2015版）》中B21類別“在線數據處理與交易處理業(yè)務”服務的關系如何都是需要厘清的問題?！稊蛋卜ǎú莅付徃澹返谌龡l調整后，筆者初步理解，可能暫時不會新增數據處理方面的許可要求，做好與現有法律、行政法規(guī)的銜接。比如，前面提到的B21類別“在線數據處理與交易處理業(yè)務”，就是《中華人民共和國電信條例（2016修訂）》（以下簡稱“《電信條例》”）這一行政法規(guī)規(guī)定的從事該等業(yè)務需要取得的許可。

第二，取消了未經許可或備案專門提供在線數據處理等服務的罰則?！稊蛋卜ǎú莅付徃澹穭h除了《數安法（草案）》第四十四條規(guī)定的罰則，但此舉并不意味著放寬了要求，其更應被理解為旨在做好與現有法律、行政法規(guī)的銜接。例如，《電信條例》第六十九條第一款就對擅自經營電信業(yè)務規(guī)定了罰則，責任形式具體包括責令改正、沒收違法所得、罰款、責令停業(yè)整頓。[6]

要點六、加強對向境外司法或執(zhí)法機構提供數據的監(jiān)管

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》明顯加強了對向境外司法或執(zhí)法機構提供存儲于中國境內的數據的監(jiān)管，具體分析如下：

第一，將條文規(guī)定調整為禁止性規(guī)定。即從“應當報告獲批”調整為“非經批準不得提供”。該等調整意味著，如不遵照其執(zhí)行，將明顯違反法律的禁止性規(guī)定，對企業(yè)合規(guī)、融資、上市等產生重大的影響。

第二，擴大了向境外提供數據的監(jiān)管適用情形。在“境外執(zhí)法機構”的基礎上增加了“境外司法機構”，解決了原有的“境外執(zhí)法機構”范圍的爭議，即只要中國境外的司法或者執(zhí)法機構要求提供存儲于中國境內的數據，均適用本條的規(guī)定，有助于更好地封堵境外機構的“長臂管轄”。

第三，將“從其規(guī)定”調整為“可以按照其規(guī)定執(zhí)行”，意味著可以按照本條規(guī)定而不按照相關國際條約、協定的規(guī)定執(zhí)行。該等調整，有助于防范境外主體單方從有利于其本身角度對國際條約、協定的規(guī)定進行解釋，從而繞開本條的規(guī)定進行“長臂管轄”。

第四，增加未經主管機關批準向境外的司法或者執(zhí)法機構提供數據的罰則，為有關組織、個人拒絕外國不合理要求提供更為充分的法律依據。[7]新增罰則解決了《數安法（草案）》第三十三條規(guī)定下可能出現的難題，即面對境外執(zhí)法機構調查取證的要求，企業(yè)以此條為依據進行對抗，但卻無法說明不報批的法律后果，可能導致對企業(yè)不利的認定。法律責任的具體形式包括責令改正、警告和罰款。

要點七、大幅加重不履行數據安全保護義務的法律責任

1、條文對比

2、解析

從上述條文對比可以看出，《數安法（草案二審稿）》大幅加重了不履行數據安全保護義務的法律責任，具體分析如下：

第一、大幅提高了罰款額度。從“一萬元以上十萬元以下”到“五萬元以上五十萬元以下”，從“五千元以上五萬元以下”到“一萬元以上十萬元以下”，從“十萬元以上一百萬元以下”到“五十萬元以上五百萬元以下”，從“一萬元以上十萬元以下”到“五萬元以上五十萬元”，四種不同情形下的罰款額度均大幅提高。

第二、擴大了處罰對象的范圍。在不履行數據安全保護義務的一般法律責任情形下，將“其他直接責任人員”納入進來，擴大了處罰對象的范圍。

第三、大幅加重了責任形式。在拒不改正或者造成大量數據泄露等嚴重后果的加重情形下，新增規(guī)定“可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照”，大幅加重了責任形式。

要點八、新增明確拒不配合數據調取的法律責任

1、規(guī)定內容

《數安法（草案二審稿）》第四十六條第一款新增規(guī)定“違反本法第三十四條規(guī)定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款”，明確了拒不配合數據調取的法律責任。

2、解析

《數安法（草案》第三十二條規(guī)定了公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據的規(guī)范要求，包括按照規(guī)定、經過嚴格批準手續(xù)、依法進行，并明確“有關組織、個人應當予以配合”?！稊蛋卜ǎú莅付徃澹返谌臈l完全沿用了該條的規(guī)定，未作修訂。

在此基礎上，《數安法（草案二審稿）》第四十六條第一款新增明確拒不配合數據調取的法律責任，有助于提高其威懾力。有關組織、個人應當配合該等情形下的數據調取，以避免承擔本條規(guī)定的法律責任。

結語

縱觀上述八大修訂要點，可以看出，《數安法（草案二審稿）》整體趨嚴，并優(yōu)化了部分法律適用之間可能產生的問題。不可否認，《數安法（草案二審稿）》仍存在待完善之處，但其價值依然值得肯定。對于企業(yè)而言，應高度關注本次立法修訂的要點和后續(xù)的立法動態(tài)，特別是數據分類分級制度和數據出境管理要求的變遷，其將對企業(yè)運營產生重大影響。