金誠同達研究院：2021年數據安全法合規指引（176頁）.pdf

《金誠同達研究院：2021年數據安全法合規指引（176頁）.pdf》由會員分享，可在線閱讀，更多相關《金誠同達研究院：2021年數據安全法合規指引（176頁）.pdf（176頁珍藏版）》請在三個皮匠報告上搜索。

1、003編委會主編彭 凱 周晨黠 宋海新編委會成員魏建鋒 姜莉麗 鄭文潔 李 嵐 周繼偉陳婷婷 許中華 邱儒婷 李洪燈 黃相宜特約顧問高軼峰 張楠馳 孫建保 李意安 鐘 敏特邀供稿人周海晨 劉晨暉 陳吉棟編著單位金誠同達律師事務所AonCOFCO 中怡WeLegal 法盟上海大學法學院大數據與人工智能法治研究中心十字財經Shairk INT特別鳴謝朱 靜 苗佳琪 李沐梓 施瑞燕 路 越 戚若音 符淇媛申屠向宇 高菁蔚 許 月 梁敏妍 方夏穎 許端蓉 盛凌鈺董佳雯 黎 艷 吳夢瀅 楊子帥 胡寒芊設計與校對眾壘公關金誠同達律師事務所創立于 1992 年，現已成為中國境內規模較大、富有活力的綜合性律師

2、事務所之一，擁有千余位專業人士，總部位于北京，在上海、深圳、合肥、杭州、南京、廣州、青島、成都、西安、沈陽、濟南、大連設有分所，在東京設有辦事處，并建立了覆蓋全球的國際化資源網絡。金誠同達合規業務組長期致力于企業合規管理體系構建與專項實務操作，根據不同企業的具體需求，為企業投資、運營和發展提供全方位、全流程法律服務，從市場交易、反壟斷、反商業賄賂、海關、出口管制、知識產權、勞動用工、財務稅收、數據安全與隱私保護、產品質量、環境保護等多方面深化法商融合，為企業從合規體系構建、制度設計、經營決策、生產運營等不同環節和側面，全程提供精準、高效的法律支持。在網絡安全與數據合規領域，金誠同達一直走在浪潮

3、前沿，將專業研究與學界觀點、監管口徑、司法實踐、技術理解、域外借鑒相結合。金誠同達網絡安全與數據合規團隊集萃各專業、跨學科、多背景的資深律師，擅長綜合運用法律思維、產品思維和技術思維，融入對立法動向、監管重心、主流實踐等的綜合理解，向客戶提供多層級、貼合業務實操的合規指引建議，為大量國內外客戶提供優質、高效的法律服務，并贏得眾多客戶的高度認可與肯定。WeLegal 法盟，一個具有全球視野的公司法律人社群,由馬強、胡佳彥、王剛、王靜四位聯合創始人創立于 2013 年，前身為 CCA 公司法務聯盟。WeLegal 法盟以匯聚法務圈聲音，賦能公司法律人，增強商業貢獻力，提升職業影響力為使命，致力于讓

4、公司法律人成為企業的核心貢獻者。WeLegal 法盟以線上線下沙龍、論壇、峰會、書籍、新媒體、小程序等載體和形式，搭建了公司法律人的交流平臺。下設四大職能機構：為企業提供法商培訓的 Acelaw 法培學苑；匯聚企業法律合規知產負責人的社交平臺 GC Hub；深耕行業研究、不定期輸出行業白皮書、薪酬報告、專業書籍的 WeLegal Research 法盟研究，以及致力于法律行業人力資源發展的 LAWINN 羅英人才和律職。中怡保險經紀有限責任公司（簡稱“中怡”）是首家獲準在中國境內從事保險、再保險經紀和風險管理咨詢業務的中外合資保險經紀公司。合資雙方分別為提供廣泛的風險管理、退休計劃及健康福利方

5、案的世界領先的專業服務公司怡安集團（簡稱“怡安”），以及中國大型企業集團中糧集團有限公司（簡稱“中糧”）。中怡總部位于上海，先后在北京、上海、南京、廣州、成都、深圳、杭州和濟南設立分公司。如今，中怡已經成為一家在風險管理、保險及再保險經紀領域處于絕對領先地位的綜合服務提供商，在全國擁有超過 600 名員工。了解更多中怡相關信息，請訪問：www.aon-cof-。怡安集團是業內首家擁有并提供網絡安全風險咨詢業務的保險集團，擁有行業領先的專業能力和豐富經驗，為客戶提供全方位的網絡安全風險評估和管理服務，幫助客戶提早準備和應對網絡安全事件，并且實施行之有效的風險轉移方案。作為怡安集團和中糧集團在中國

6、合資組建的保險經紀公司，中怡通過全球網絡和先進的風險管理技術，為客戶提供多元化的風險管理及網絡安全保險服務，協助提升企業網絡安全風險管理水平，在中國成為無可爭議的市場引領者，和各主要行業客戶首選的合作伙伴。十字財經，專注于銀行、支付、消費金融賽道，以深度和獨家新聞見長。創始人李意安曾擔任經濟觀察報資深記者，在該領域有十年新聞報道經驗。傳播渠道覆蓋微信公眾號、今日頭條、雪球、新浪、網易等二十家主流媒體。依托上海大學“智能運載科學與工程”國家一流學科，以及智能運載系統、機械、計算機、通信等優勢力量整合所形成的獨特研究優勢，上海大學法學院于 2019 年成立“大數據與人工智能法治研究中心”（以下簡稱

7、“中心”）。中心主任為法學院院長文學國教授，執行主任為陳吉棟博士，目前中心有兼職研究人員、專職研究員、研究員助理近 50 人。中心服務國家互聯網、大數據以及人工智能發展的宏觀戰略，致力于打破學科界限的藩籬，聚焦社會需求，面向科技，面向世界，面向未來，通過人才培養、學術研究、應用實驗等形式，提出大數據和人工智能領域發展與規制的法律政策建議。自中心成立以來，研究人員陸續參與國家、上海市及中國工程院等科研機構人工智能、數據等重要立法調研與科研項目的研究工作，積極參與世界人工智能法治藍皮書的撰寫工作，多項要報被省部級以上領導批示。中心致力探索一種學術生產機制，主辦 智能科技與法律評論 刊物，長期舉辦各

8、種會議、論文沙龍與論壇。先后承擔各類課題 10 余項，共計發表著作、論文近 200 余篇。編委會成員介紹執業領域：網絡安全與數據合規、金融科技、公司治理與合規、收并購金誠同達律師事務所高級合伙人，畢業于廈門大學法學院，獲碩士學位。兼任復旦大學法律碩士專業學位實務導師，復旦大學法學院實務課程講師，廈門市地方金融協會調解員，多家機構簽約講師，浪巔 Shairk Intelligence 創始人，十字財經聯合創始人。執業以來為多家大型互聯網公司、跨國企業、知名金融科技企業、金融機構、初創公司等提供常年及各類專項法律服務，深諳國內網絡安全、數據治理、個人信息保護、互聯網、金融領域法律法規，個人研究領域

9、聚焦于網絡安全、金融科技、大數據及人工智能，正持續圍繞該等新興領域進行研究及寫作。執業領域：網絡安全與數據合規、爭議解決、破產重整及保險金誠同達律師事務所律師，畢業于上海交通大學法學院，先后獲學士學位（法學及經濟學）、碩士學位（法律）。自執業以來為多家金融科技公司、互聯網企業、科技公司等提供有關網絡安全、數據合規、個人信息與隱私保護等內容的咨詢與專項法律服務，代理包括建設工程施工合同糾紛、保險合同糾紛、融資租賃合同糾紛、股權回購糾紛等在內的眾多商事爭議解決案件，并在多個房地產建設工程項目、破產重整項目、內部調查項目中提供全流程專業法律服務，目前聚焦于個人信息保護與數據合規、人工智能、大數據、網

10、絡安全等多個新興領域開展研究工作。執業領域：網絡安全與數據合規、金融科技、公司治理與合規、爭議解決金誠同達律師事務所律師，畢業于上海交通大學凱原法學院，先后獲學士學位、碩士學位。自執業以來為數十家互聯網巨頭、持牌金融機構、金融科技企業、大數據企業、初創公司等提供網絡安全與數據合規、金融科技、公司治理與合規方面的常年及專項法律服務，并代理/負責包括軟件開發糾紛、服務合同糾紛、民間借貸糾紛等在內的近十起爭議解決案件。主筆撰寫數據合規專著 1 本，參與撰寫金融科技專著 1 本，主筆撰寫并公開發布數據合規文章 30 余篇，主筆撰寫并公開發布金融科技文章 10 余篇。深諳國內數據合規和金融科技領域法律法

11、規，個人研究領域聚焦于網絡安全、大數據、人工智能及金融科技。專業領域：大型零售、酒店地產行業風險管理中怡保險經紀有限責任公司執行總監。魏建鋒女士于 2006 年加入中怡，在可保風險管理咨詢行業有超過 15 年的工作經驗，是大型零售、酒店地產行業風險管理負責人。她專注于企業全面可保風險管理制度設計、上下游可保風險管理制度設計、可保保險方案設計和落地、企業項目投資及海外投資風險管理咨詢等。魏女士擁有香港大學 MBA 碩士學位和浙江大學法學學士學位，持有中華人民共和國司法部頒證的法律職業資格，是中華人民共和國注冊保險經紀人。彭凱周晨黠宋海新魏建鋒編委會成員介紹執業領域：外商投資、公司收并購、基金投資

12、、公司治理與合規金誠同達律師事務所合伙人，畢業于浙江大學和倫敦政治經濟學院，先后獲得學士學位和碩士學位。兼任復旦大學法律碩士專業學位實務導師，復旦大學法學院實務課程講師，同時擔任錦浪科技獨立董事。專業領域涉及外商投資、銀行金融、公司收并購、基金投資等。自執業以來為多家跨國公司、金融機構、國有企業、大型民營企業等提供常年及專項法律服務。通過深度參與多個跨境并購交易而深諳多個離案地的交易規則。其目前主要研究方向為零售、信托、保險等領域。執業領域：公司治理與合規、網絡安全及數據合規、并購與重組、投融資金誠同達律師事務所合伙人，畢業于廈門大學和澳大利亞昆士蘭大學，獲學士學位及碩士學位。其為英國皇家特許

13、管理會計師公會資深會員（FCMA），并具有基金從業資格，曾在某法國大型跨國企業中國投資發展事業部任首席風控官。主要從事與公司治理與合規、網絡安全及數據合規、并購與重組及投融資等業務領域相關的法律服務。擅長從企業的治理結構出發為企業制定符合其業務特點的合規方案和并購重組交易過程中的風險控制及投后主動管理、投融資安排及項目退出的法律方案設計，曾為多家國內外知名企業提供業務合規、網絡安全及數據合規咨詢意見及解決方案，并曾多次代表大型跨國企業處理公司在中國大陸、香港、臺灣地區、新加坡、馬來西亞、印度尼西亞的直接投資、并購交易及投融資相關法律事務。執業領域：跨境訴訟仲裁、跨境合規調查金誠同達律師事務所合

14、伙人，邁阿密大學國際仲裁法學碩士和香港城市大學仲裁與爭議解決法學碩士。專注于跨境法律實務超過 13 年，長期處理大量中國企業在美國、香港和新加坡等地的境外訴訟和仲裁、外國企業在中國境內的涉外訴訟和仲裁、中國企業應對歐美等各國政府合規調查、外國企業應對中國政府合規調查以及中國企業境內外合資并購項目。對中國企業如何搭建全球合規體系有濃厚興趣和經驗，在其任職一家世界 500 強企業期間曾負責統籌推動多個全球合規項目的落地。執業領域：資本市場、并購重組、公司治理與合規、外商投資、體育文化及藝術金誠同達律師事務所合伙人，畢業于英國蘭卡斯特大學，獲碩士學位。專業領域涉及資本市場、并購重組、公司治理與合規、

15、外商投資、體育文化及藝術等。熟識 BVI，Cayman 等主要離岸地的公司法律實操，多次協助客戶完成跨境架構搭建及境外交割，亦曾協助客戶成功于澤西島設立家族信托。自執業以來為多家跨國公司、國有企業、大型民營企業等提供了常年及專項法律服務。姜莉麗鄭文潔李嵐周繼偉編委會成員介紹執業領域：爭議解決、公司訴訟、公司治理與合規、消費者權益保護金誠同達律師事務所高級合伙人，畢業于中國人民大學法學院，獲碩士學位。任復旦大學法律碩士專業學位實務導師，復旦大學法學院實務課程講師，華東政法大學法律碩士校外導師，上海市金融消費調解中心中立評估專家。專業領域涉及爭議解決、公司訴訟、公司治理與合規、消費者權益保護等。執

16、業以來代理了多起重大商事仲裁、訴訟案件及公司訴訟案件，主導多起投資與收購項目，并以評估專家身份就消費者權益保護、用戶個人信息保護、銀行業務合規、金融機構適當性義務等問題出具 中立評估報告，參與調解多起金融糾紛。陳婷婷執業領域：公司治理與投資并購、合規、破產清算與重整、爭議解決金誠同達律師事務所高級合伙人，畢業于上海對外經貿大學法學院，獲碩士學位。兼任上海對外經貿大學法律碩士專業學位研究生校外導師、復旦大學法學院實務課程講師。專業領域涉及公司治理和投資并購、合規、破產、爭議解決等。執業以來為多家知名企業提供專項及常年顧問服務，為多家初創互聯網科技公司提供并購與投融資等法律服務，參與多家金融科技企

17、業合規審查與整改。其負責及參與的收并購項目涉及車聯網、數字科技、房地產、文化影視、醫藥器械等行業。在相關項目中可以提供包括項目盡調、交易架構設計、談判、起草交易文件等全程法律服務。許中華執業領域：并購重組、私募股權及風險投資、公司治理與合規、外商投資金誠同達律師事務所律師，先后畢業于中國政法大學、香港城市大學，獲碩士學位。曾為多起并購重組、私募股權及風險投資等交易提供法律服務，能夠為客戶提供包括法律盡職調查、交易結構設計、相關交易文件及其他法律文件起草、審閱和修改、交易談判、協助客戶完成交割等全方位法律服務；同時，其擅長協助管理和處理與公司和/或私人客戶相關的常見法律事務，并擅長與各類政府主管

18、部門及第三方機構溝通、協調、共同工作或互相予以配合。邱儒婷李洪燈執業領域：商事爭議解決、不良資產處置、公司治理與合規金誠同達律師事務所高級合伙人，畢業于復旦大學法學院，獲碩士學位。兼任復旦大學司法與訴訟制度研究中心秘書長、復旦大學法律碩士專業學位實務導師、復旦大學法學院實務課程講師、華東政法大學法律碩士實訓導師、十余家仲裁機構仲裁員。專業領域為商事爭議解決、不良資產處置、公司治理與合規等。李律師作為課題組成員、執筆人和調研小組負責人參與國家社科基金重大項目、最高法院司法研究重大課題、上海高院黨組重大課題 6 項，與復旦大學法學院段厚省教授、高鵬博士合著學術專著一部。編委會成員介紹執業領域：勞動

19、與雇傭、公司治理與合規、訴訟仲裁、網絡安全與數據合規金誠同達律師事務所律師，畢業于上海財經大學，獲碩士學位。其專注業務領域涉及勞動與雇傭、公司業務與合規、訴訟仲裁、隱私保護與數據合規等。服務的客戶涉及醫療器械、電子商務、汽車、食品、建筑設計、電子制造業、?；返缺姸嘈袠I。黃律師服務的客戶主要為外國公司及其在中國的分子公司。黃律師經常協助客戶設計雇傭結構和相關法律文本、并能夠在并購項目中對勞動方面的問題進行深入的盡職調查，擅長處理公司與高管之間勞動爭議，以及協助公司進行內部調查和壓力訪談，在員工隱私保護和對違紀員工進行收證固證方面積累了豐富的經驗。此外，在政府監管日趨頻繁和復雜的今天，黃律師能夠

20、協助客戶正確理解和適用法律，積極高效地應對監管挑戰，保障公司的正常運營。黃相宜特邀供稿人介紹專業領域：金融及專業責任中怡保險經紀有限責任公司總監，周海晨先生于 2012 年加入中怡，擁有超過 20年保險行業經驗。加入中怡之前，周先生曾任職美亞保險（AIG）特殊金融險資深核保人。他在中怡的主要職責為特殊金融險相關業務拓展和重要客戶服務。加入保險行業之前，在某著名商業銀行從事國際結算和項目融資。周先生擁有長江商學院 MBA 碩士學位和河北大學國際經濟學學士學位。周海晨專業領域：網絡安全險、金融專業責任險劉晨暉女士于 2021 年加入中怡，此前在加拿大特殊險行業有 3 年工作經驗，在中怡負責大型跨國

21、企業的金融專業責任險方案設計，尤其是網絡安全險安排、咨詢與風險管理工作。劉女士擁有皇后大學金融學碩士學位和多倫多大學商學學士學位。劉晨暉學科領域：民商法、數據與人工智能法律問題上海交通大學法學博士，上海大學法學院講師。美國愛荷華大學法學院訪問學者（2014-2016），入選 2018 年上海市浦江人才計劃。兼任上海市法學會農業農村法治研究會副秘書長、上海大學法學院大數據與人工智能法治研究中心執行主任，世界人工智能法治藍皮書編輯部副主任，華東政法大學數字法治研究院特聘研究員，上海政法學院人工智能法學院客座研究員等。在 當代法學東方法學華東政法大學學報 等期刊發表論文 30 余篇，出版著作（含譯著

22、編著）近 10 部。主持教育部、上海哲社、國土資源部、中國法學會等課題 5 項，作為主要成員參加省部級以上課題 10 余項，參與上海市人工智能、數據立法課題研究工作。曾獲得 2016 年中國法學會“第 11 屆中國法學家論壇征文二等獎”等獎項。陳吉棟前言數據安全法，TA 來了。2021 年 6 月 10 日，中華人民共和國主席習近平簽發中華人民共和國第八十四號主席令：中華人民共和國數據安全法已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于 2021 年 6 月 10 日通過，現予公布，自 2021 年 9 月 1 日起施行。如果數據安全法是一句詩，你覺得 TA 會是哪一句？

23、談起 TA 的定位和高度，可能會是：會當凌絕頂 一覽眾山小審視 TA 的具體內容與轄域之廣，可能會是：星垂平野闊 月涌大江流說起 TA 的里程碑地位與受關注程度，可能會是：江山代有才人出 各領風騷數百年實然，數據安全法是一部定位非常之高的基礎法律，恰如新華社撰文數據安全法：護航數據安全 助力數字經濟發展所稱，數據安全法是“數據領域的基礎性法律，也是國家安全領域的一部重要法律”。以其為界，回望的，是一騎絕塵的網絡安全法，遙盼的，是呼之欲出的個人信息保護法，共同組成護航我國數字網絡時代的“三駕馬車”。TA 的到來，引發了全社會的熱議乃至全球的視線聚焦，這部新法會引發何種效應？各類主體又如何應對？T

24、A 又將如何與網絡安全法、個人信息保護法進行銜接，如何在刑事、民事領域被呈現和適用？問題種種，在其“泛”而“嚴”的規范要求面前，似乎難有答案、徒有困惑。奈若何？我有一瓢酒 可以慰風塵對于這部具有重要里程碑意義的法律，我們將嘗試進行拆解與精讀，并盡可能從實務影響視角提出對各類主體的合規提示。本合規指引將包含條文精讀和實務指引兩大板塊，我們稱其特約顧問介紹業務領域：安全風險、隱私保護、安全合規及技術咨詢安永（中國）企業咨詢有限公司大中華區合伙人，網絡安全及隱私保護咨詢大中華區主管合伙人，負責帶領中國大陸及港澳臺地區的專業咨詢團隊提供多樣化的安全風險、隱私保護、安全合規及技術咨詢業務。高先生在安全行

25、業擁有 18 年經驗，同時也是國際隱私專業協會（IAPP）中國區聯席主席，云安全聯盟大中華區隱私科技工作組組長、上海分會理事，及國際信息系統審計專業協會（ISACA）華北社區領導人。高先生曾獲得 2019 年度 C-CSA 年度專家杰出貢獻獎，2018-2019 年度 ISACA 中國社區最佳領導力大獎，是國內首批云安全聯盟認證講師 CSACT，國內首批 APMG 認證講師。高軼峰業務領域：安全合規和隱私保護咨詢安永（中國）企業咨詢有限公司網絡安全及隱私保護咨詢服務總監，華中區安全合規和隱私保護咨詢業務的主要項目負責人。張女士擁有 15 年以上的安全咨詢服務經驗，曾帶領團隊交付過大型互聯網企業

26、、大型金融機構的多個復雜咨詢項目，對 IT 風險管理、數據安全、國內外安全合規、業務連續性等多個領域均有較為深入的研究。張女士持有 CISSP、CIPM、CBCP 等專業資質，是國內首批注冊個人信息保護專業人員，國際災難恢復協會全球認證講師。張楠馳執業領域：刑事辯護、刑事合規上海靖予霖律師事務所副主任暨合伙人會議主席，畢業于華東政法大學，獲博士學位。曾系某直轄市高級人民法院法官，從事刑事審判工作多年。精研刑事審判及刑事辯護理論與實務，擅長辦理經濟及金融犯罪案件、走私犯罪案件、命案等重大暴力犯罪案件、毒品犯罪案件、涉國（邊）境管理類犯罪案件等。轉崗從事律師職業以來，先后代理過上海首例航空延誤險保

27、險詐騙案、“爬蟲涉刑第一案”、某知名 P2P 平臺非法集資案、某大型跨國企業商業賄賂案等多起刑事案件，并接受過多家媒體的采訪。先后出版個人專著及合著三部，在國家法學核心期刊及中文核心期刊公開發表學術論文三十余篇，主持完成國家博士后科學基金項目一項。孫建保研究領域：銀行與金融、支付、金融科技資深媒體人，十字財經創始人。曾于經濟觀察報擔任資本市場研究中心主任、資深記者。持續深耕支付、網絡借貸、消費金融等金融科技及傳統銀行業務領域，以獨家和深度報道見長，擁有多篇十萬加稿件。李意安研究領域：網絡安全與數據合規、金融科技、新經濟現就職于萬達普惠金融事業部法律合規部，負責網絡安全與 APP 日常合規工作，

28、自由撰稿人，金融科技及新媒體行業觀察人，浪巔 Shairk Intelligence 顧問。在互聯網金融、網絡安全與數據合規與房屋抵押貸款領域具有豐富的實操經驗，負責公司日常合規制度的設計及完善、新興金融項目合規審查、APP 日常合規審查、金融消費者投訴處理等，擅長將法律法規規定轉化為實操建議。鐘敏大中華區合伙人圖1 數據安全法合規指引行文架構Shairk INT 團隊2021 年 7月于陸家嘴下為詳文。愿君多采擷 此物有所思為“七讀”和“九引”，希望通過本指引的內容能夠讓讀者大體一窺數據安全法全貌，為各類主體提供相關的風險提示及合規建議。此外，我們還增補附件內容作為相關重要參考，內容包括域外

29、立法梳理與統計、數據安全法條文對比導圖、國內網安數據個保法規梳理與統計、核心法規中英對照等，希望附件內容的增補又能進一步增強本指引的“工具書”屬性，為讀者提供查詢、學習的便利。一、數據安全法條文精讀章節結構與條文設置立法目的與必要性立法目的必要性立法沿革與銜接沿革銜接009010013013014018018020023024024025026029029031適用范圍地域范圍主體與行為范圍特殊適用監管監督體系特色亮點三種管制分類分級目 錄 數據出境數據交易政務數據的處理智能化公共服務與特殊人群執法活動中的境內配合與境外提供報批法律責任不履行數據安全保護義務的法律責任其他法律責任梳理二、數據安

30、全法實務指引網絡安全等級保護及其延伸網絡安全等級保護制度的內涵網絡安全等級保護的定級與測評備案數據安全法對網絡安全等級保護工作的延伸全流程內部管理制度建設數據安全負責人和管理機構數據安全管理制度數據資產盤點數據來源盤點數據類別識別安全現狀盤點032032037040042049050051056057058059060061061062065065066067 前置性行政許可梳理數據分類分級根據目錄對重要數據加強保護針對其他數據自主開展分類分級并予以相應保護安全監測與應急處置風險監測與補救風險事件處置與報告數據本地化存儲與出境原則上需要本地化存儲的數據數據出境的前提與手續數據出境安全評估違法向

31、境外提供重要數據的法律責任執法活動中的境內配合與境外提供報批網絡安全險帶來的保障網絡安全領域的全球趨勢網絡安全險的作用及保障來自保險顧問的建議：如何獲得更好的保障配套立法關注配套立法明細配套立法規劃067068068069076076077078078079080081082085085088089093093094096098099102102104110110115119120121122124128128133134135145150154166166169173174176176 178 180181 182184188189190192193194 194 1962062072082

32、10211212215216 218223223228230234234235236260267284296317336數據安全法合規指引數據安全法條文精讀008009數 據安 全法 詞頻圖一、數據安全法條文精讀數據安全法條文精讀011數據安全法合規指引0102021 年 6 月 10 日，中華人民共和國主席習近平簽發中華人民共和國第八十四號主席令：中華人民共和國數據安全法 已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于 2021 年 6 月 10 日通過，現予公布，自 2021 年 9 月 1 日起施行。1.章節結構與條文設置數據安全法 全文共計七章五十五條，其章節結構

33、與條文設置如下：結合我們對 數據安全法全文五十五條內容的理解與關鍵詞提煉，我們整理出各個條文的“小標題”如下：圖 3 數據安全法章節結構與條文設置第一章總則第一條立法目的第二條調整范圍第三條有關用語的定義第四條總體國家安全觀第五條數據安全的國家監督管理體制第六條數據安全的地區與部門監督管理體制第七條數據權益保護與數字經濟發展促進第八條開展數據處理活動的基本義務第九條數據安全的社會參與第十條數據安全的行業自律第十一條數據安全的國際合作第十二條違反數據安全法的投訴、舉報及處理第二章數據安全與發展第十三條數據發展和安全的國家統籌第十四條大數據戰略推進與數字經濟發展規劃第十五條智能化公共服務與特殊人群

34、第十六條促進數據開發利用與數據安全技術研究第十七條數據開發利用技術、產品和數據安全的標準制定第十八條數據安全社會化服務體系建設第十九條數據交易管理制度第二十條數據安全人才培養第三章數據安全制度第二十一條數據分類分級保護制度第二十二條數據安全風險評估、報告、信息共享、監測預警機制第二十三條數據安全應急處置機制第二十四條數據安全審查制度第二十五條數據安全的出口管制第二十六條數據安全的國際對等反制數據安全法合規指引數據安全法條文精讀012013第四章數據安全保護義務第二十七條數據安全管理制度第二十八條數據處理活動的社會責任第二十九條開展數據處理活動的應急處置措施第三十條重要數據處理者的定期風險評估與

35、報告義務第三十一條重要數據的出境安全管理第三十二條數據收集的合法正當原則、數據收集使用的目的和范圍要求第三十三條從事數據交易中介服務的機構的相關義務第三十四條數據處理相關服務的行政許可第三十五條基于國家安全或偵查犯罪的數據調取配合義務第三十六條向外國司法或者執法機構提供數據的報批義務第五章政務數據安全與開放第三十七條推進電子政務建設第三十八條基于履行法定職責的數據收集和使用第三十九條政務數據的數據安全管理制度第四十條政務數據的委托處理第四十一條政務數據的公開第四十二條政務數據開放目錄第四十三條具有管理公共事務職能的組織為履行法定職責開展數據處理活動的法律適用第六章法律責任第四十四條主管部門的依

36、法約談與整改要求第四十五條不履行數據安全保護義務和違反國家核心數據管理制度的法律責任第四十六條違反重要數據出境安全管理的法律責任第四十七條從事數據交易中介服務的機構違反相關義務的法律責任第四十八條違反基于國家安全或偵查犯罪的數據調取配合義務和向外國司法或者執法機構提供數據的報批義務的法律責任第四十九條國家機關不履行數據安全保護義務的法律責任第五十條相關國家工作人員玩忽職守、濫用職權、徇私舞弊的法律責任第五十一條非法開展數據處理活動的法律責任第五十二條民事、刑事責任及治安管理處罰的銜接性規定第七章附則第五十三條涉密數據安全保護與特定工作中的涉個人信息數據處理活動第五十四條軍事數據安全保護第五十五

37、條施行日期從以上總結的各個條文主題或關鍵詞可以看出，數據安全法 的規制內容涵蓋了立法目的、適用范圍、監管體系、關鍵定義、行業發展、制度構建、具體義務、法律責任等，整體而言呈現為“泛”而“嚴”，其作為數據安全領域的基礎性法律，如此的行文設置，既考量了廣度（與其他法律的銜接），又兼顧了深度（本身的統領性以及下位法、配套立法的預留空間）。2.立法目的與必要性2.1立法目的數據安全法 第一條明確了其立法目的，從五個視角提出了“規”“?！薄按佟薄白o”的要求，包括如下：1）規范數據處理活動；2）保障數據安全；3）促進數據開發利用；4）保護個人、組織的合法權益；5）維護國家主權、安全和發展利益。從 數據安全

38、法 第一條條文內容在歷次版本中的變化來看：歷次版本條文對比草案一審稿草案二審稿正式稿第 一 條 為 了 保 障 數 據安全，促進數據開發利用，保護公民、組織的合法權益，維護國家主權、安全和發展利益，制定本法。第一條 為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。第一條 為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。第一條為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。數據安全法

39、合規指引數據安全法條文精讀014015正式稿與草案二審稿在第一條的內容上保持一致，相較于草案一審稿增加了“規范數據處理活動”表述，同時將“公民”修改為“個人”。嘗試分析該等增改原因：第一，“規范數據處理活動”是立法規制的起點，也是立法目的中所載“保障數據安全”“促進數據開發利用”“保護個人、組織的合法權益”以及“維護國家主權、安全和發展利益”等目標追求的起點，從此角度看，“規范數據處理活動”表述的加入使得立法目的條款更具周延性；第二，“公民”到“個人”的表述修訂，表面看是拓寬了保護對象，實質卻亦有“糾正”之意。舉例而言，三版數據安全法均有關于“個人有權投訴、舉報”的規定，對于個人的該項權利保護

40、亦應屬于該法的應有之意，如正式稿仍然堅持使用“公民”表述，那么“保護公民的合法權益”就無法完全覆蓋“保護個人的投訴、舉報權利”內容，因為“個人”的范圍邊界大于“公民”。而結合數據安全法網絡安全法和個人信息保護法（草案二次審議稿）關于立法目的條款的比對，頗值得玩味：網絡安全法數據安全法個人信息保護法（草案二次審議稿）第一條 為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。第一條 為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。第一條 為了保

41、護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，制定本法。如前所述，我們認為“規范數據處理活動”表述的加入使得數據安全法立法目的條款更具周延性，僅從條文行文來看，數據安全法 的條文相較于另外兩部法律的對應條文更具“邏輯嚴密性”，即：先規范具體活動，以確保安全，再以安全為前提談開發利用的促進，進而上升至“法益”保護高度，且所要“?！焙汀白o”的法益從個體到國家進行遞進。2.2必要性數據安全法雖無具體的“必要性”主題條款，但通篇均在體現其自身制定的必要性。關于制定數據安全法必要性的官方表態，主要可見于其制定過程中的相關人士說明以及其發布后的官媒發聲。2.2.1相關人士說明2020 年 6

42、 月 28 日，在第十三屆全國人民代表大會常務委員會第二十次會議上，全國人大常委會法制工作委員會副主任劉俊臣在關于中華人民共和國數據安全法（草案）的說明中闡明了制定數據安全法的必要性1：一是，數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全。因此，應當按照總體國家安全觀的要求，通過立法加強數據安全保護，提升國家數據安全保障能力，有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全和發展利益。二是，當前，各類數據的擁有主體多樣，處理活動復雜，安全風險加大，必須通過立法建立健全各項制度措施，切實加強數據安全保護，維護公民、組織的合法權益。三是，發揮數據的基礎資源作用和創新引擎

43、作用，加快形成以創新為主要引領和支撐的數字經濟，更好服務我國經濟社會發展，必須通過立法規范數據活動，完善數據安全治理體系，以安全保發展、以發展促安全。四是，為適應電子政務發展的需要，提升政府決策、管理、服務的科學性和效率，應當通過立法明確政務數據安全管理制度和開放利用規則，大力推進政務數據資源開放和開發利用。2.2.2官媒發聲2021 年 6 月 10 日晚間，中國人大網刊發數據安全法：護航數據安全 助力數字經濟發展一文，該文詳細說明了制定數據安全法的“必然要求”“客觀需要”和“重要舉措”2：制定數據安全法是維護國家安全的必然要求。數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全。數據安全

44、法貫徹落實總體國家安全觀，聚焦數據安全領域的風險隱患，加強國家數據安全工作的統籌協調，確立了數據分類分級管理，數據安全審查，數據安全風險評估、監測預警和應急處置等基本制度。通過建立健全各項制度措施，提升國家數據安全保障能力，有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全和發展利益。制定數據安全法是維護人民群眾合法權益的客觀需要。數字經濟為人民群眾生產生活提供了很多便利，同時各類數據的擁有主體更加多樣，處理活動更加復雜，一些企業、機構忽視數據安全保護、利用數據侵害人民群眾合法權益的問題也十分突出，社會反映強烈。數據安全法明確了相關主體依法依規開展數據活動，建立健全數據安全

45、管理制度，加強風險監測和及時處置數據安全事件等義務和責任，通過嚴格規范數據處理1參見關于 的說明，網址為 http:/ 2021 年 6 月27 日。2參見數據安全法：護航數據安全 助力數字經濟發展，網址為 http:/ 2021 年 6 月27 日。數據安全法合規指引數據安全法條文精讀016017活動，切實加強數據安全保護，讓廣大人民群眾在數字化發展中獲得更多幸福感、安全感。制定數據安全法是促進數字經濟健康發展的重要舉措。近年來，我國不斷推進網絡強國、數字中國、智慧社會建設，以數據為新生產要素的數字經濟蓬勃發展，數據的競爭已成為國際競爭的重要領域。數據安全法堅持安全與發展并重，在規范數據活動

46、的同時，對支持促進數據安全與發展的措施、推進政務數據開放利用等作出相應規定，通過促進數據依法合理有效利用，充分發揮數據的基礎資源作用和創新引擎作用，加快形成以創新為主要引領和支撐的數字經濟，更好服務我國經濟社會發展。根據上述說明、發聲，并結合法律條文的文義理解，我們認為又可以從三個層面對數據安全法的制定必要性進行拆解審視：（1）國家安全層面。早在 2016 年 12 月 27 日國家互聯網信息辦公室發布的國家網絡空間安全戰略中即可窺一二：網絡空間的國際競爭方興未艾。國際上爭奪和控制網絡空間戰略資源、搶占規則制定權和戰略制高點、謀求戰略主動權的競爭日趨激烈。個別國家強化網絡威懾戰略，加劇網絡空間

47、軍備競賽，世界和平受到新的挑戰。反對以國家安全為借口，利用技術優勢控制他國網絡和信息系統、收集和竊取他國數據，更不能以犧牲別國安全謀求自身所謂絕對安全。國家關鍵信息基礎設施是指關系國家安全、國計民生，一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施，包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統，重要互聯網應用系統等。采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞。數據是網絡空間的重要組成部分3，維護網絡空間主權和國家安全在“數據”領域的

48、落地，3參見國家網絡空間安全戰略 第一條第一款相關內容：“伴隨信息革命的飛速發展，互聯網、通信網、計算機系統、自數據安全法當仁不讓。數據安全上升至國家安全層級，除了其自身是主權問題的應有之義外，還與全球范圍內的數字化浪潮與高頻全域數據立法息息相關，此為“外在驅動”。根據我們截至 2021 年 4 月 20 日的檢索、梳理與統計，全球范圍內的數據立法相關數量、廣度、頻次，著實驚人，除了我們經常討論的歐盟、美國（含各州）之外，諸如包括巴西、印度、泰國、阿聯酋、新加坡、澳大利亞、阿根廷、韓國、俄羅斯、加拿大、西班牙等在內的國家和地區，均已不同程度地開展數據立法活動。（具體可參見本指引附件一：域外數據

49、立法梳理與統計）基于此，發軔于國家網絡空間安全戰略的提出，數據安全當然成為需要考量、聚焦和立法回應的重要話題。（2）經濟發展層面。自全功能接入國際互聯網以來，20 多年的國內互聯網發展，我國已全面邁入全民互聯網時代，蓬勃發展的互聯網在經濟、社會、文化等各個領域建功卓著?；ヂ摼W時代，“數據驅動”下的數字經濟扮演著重要角色。黨的十九大報告提出，推動互聯網、大數據、人工智能和實體經濟深度融合。黨的十九屆四中全會決定明確將數據作為新的生產要素。如閆德利在中美數字經濟的差距一文中所稱：“我國數字經濟領先全球。聯合國貿發會議（UNCTAD）認為，中國和美國共同領導著數字經濟發展。根據信通院數據，我國數字經

50、濟規模連續多年位居世界第二位?！被跀底纸洕l展的“內在需求”，數據安全法同時提出“保障數據安全”和“促進數據開發利用”，并在第七條中直抒胸臆“促進以數據為關鍵要素的數字經濟發展”。（3）社會治理層面。如前所述，互聯網、大數據發展在國內呈現“日趨繁榮”景象，這既體現在經濟發展層面，還體現在政府治理、城市建設與管理上（數字政府、數字城市等）。然而，在人們享受互聯網、大數據所帶來的效益與便利的同時，也面臨著潛伏其間的諸多風險與威脅，其間滋生出諸如網絡侵權、互聯網不正當競爭、黑客攻擊、數據泄露、個人信息保護等問題。4基于此，在社會治理層面，既包括了對商事主體和自然人個體的治理，也包括對政府（包括其職

51、能部門和被授權組織等）的治理，防權利濫用、關權力入籠，以此尋求對個人、組織在數據安全領域合法權益的保護。綜上，此起彼伏的數據安全領域新問題的浮現、國安主權戰略的提出在數據安全領域的聚焦、域外數據立法的爭相落地與多維影響、國家規制體系的快進與自治、經濟發展與社會治理的內在驅動、技術迭代升級的貪婪與泛濫、特定領域事件的數據安全事件的發生與輿情引爆、個體權力意識的覺醒與對抗，前述種種，均不同程度助推了數據安全立法進程。動化控制系統、數字設備及其承載的應用、服務和數據等組成的網絡空間，正在全面改變人們的生產生活方式，深刻影響人類社會歷史發展進程?！?騰訊研究院資深專家王融曾經指出，2018 年是數據保

52、護灰色之年。在這一年里，數據泄露與數據濫用頻發，且規模呈現不斷擴張之勢，甚至達億萬級以上。此外，諸如大數據歧視、AI 犯罪等新型大數據事件開始出現，對個人信息保護提出了新的挑戰。在這一年里，個人信息保護相關法律也在各種磨礪中逐步完善，卻難言成熟。圖 4 數據安全法制定必要性三層審視數據安全法實務指引019數據安全法合規指引0183.立法沿革與銜接3.1沿革數據安全法經過三次審議后正式發布，在 2021 年 6 月 10 日正式通過并發布前（正式發布版以下或稱“正式稿”），分別有 數據安全法（草案）5（以下簡稱“草案一審稿”）和 數據安全法（草案二次審議稿）6（以下簡稱“二審稿”或“草案二審稿”

53、）?？v觀三版數據安全法，條文數量未見大增（草案一審稿 51條，草案二審稿 53 條，正式稿 55 條），但具體內容的“增改刪”卻是字字珠璣，值得細究。從官方說明來看，先后三次審議的主要變化如下：3.1.1草案二審稿 vs.草案一審稿一、一些常委委員和地方、部門、專家建議，與民法典等有關規定相銜接，對草案中的數據活動、數據安全等用語的含義予以完善。憲法和法律委員會經研究，建議將草案第二條中的“開展數據活動”修改為“開展數據處理活動及其安全監管”，并對有關用語的含義作適當調整完善。二、草案第十九條對地方、部門制定重要數據目錄作了規定。一些常委委員和地方、部門、企業、專家提出，應由國家層面確定重要數

54、據目錄，再由地方、部門據此制定具體目錄。憲法和法律委員會經研究，建議在草案第十九條中規定，國家建立數據分類分級保護制度，確定重要數據目錄，加強對重要數據的保護；各地區、各部門按照規定確定本地區、本部門以及相關行業、領域的重要數據具體目錄。三、有的部門提出，網絡安全法已要求網絡運營者按照網絡安全等級保護制度采取相應措施，保障數據安全，建議草案有關制度與網絡安全等級保護制度做好銜接。憲法和法律委員會經研究，建議在有關條款中增加規定，開展數據處理活動應當“在網絡安全等級保護制度的基礎上”建立健全全流程安全管理制度，加強數據安全保護。四、有的地方、部門提出，網絡安全法關于重要數據出境的安全評估等要求限

55、于關鍵信息基礎設施，應根據實踐發展和數據安全管理工作的需要，相應擴大范圍。憲法和法律委員會經研究，建議增加一條規定：關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理，適用網絡安全法的規定；其他數據處理者在5 參 見 關 于 的 說 明，網 址 為 http:/ 后訪問時間為 2021 年 6 月 27 日。以及參見關于 修改情況的匯報，網址為 http:/ 2021 年 6 月27 日。6參見關于 審議 結果的報告，網址為 http:/ 后 訪 問 時 間 為 2021 年 6 月 27 日。以 及 參 見 關于 修改意見的報告，網址為 http:/ 2021 年 6

56、 月27 日。我國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。五、根據草案第三十三條的規定，境外司法和執法機構要求調取境內數據的，未經主管機關批準，不得提供。有的部門、專家建議，增加未經批準擅自提供數據的處罰規定，為有關組織、個人拒絕外國不合理要求提供更為充分的法律依據。憲法和法律委員會經研究，建議采納上述意見，增加相應的處罰規定。此外，還對草案作了一些文字修改。3.1.2草案三次審議稿（接近正式稿）vs.草案二次審議稿一、有的常委委員和部門提出，數據安全工作涉及面廣，應當建立相應的協調機制，加強對數據安全工作的統籌。憲法和法律委員會經研究，建議對草

57、案二次審議稿作以下修改：一是在中央國家安全領導機構的規定中增加“建立國家數據安全工作協調機制”；二是明確國家數據安全工作協調機制在制定重要數據目錄、加強數據安全風險分析預警等方面的統籌協調職能。二、有的常委會組成人員提出，關系國家安全、國計民生等數據屬于國家核心數據，應當實行更加嚴格的管理制度，對違反規定損害國家核心利益的應當從嚴從重處罰，建議完善草案相關規定。憲法和法律委員會經研究，建議增加規定：關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度；同時，對違反國家核心數據管理制度，危害國家主權、安全和發展利益的行為規定嚴格的處罰。三、有的常委委員

58、和社會公眾提出，在大力推進公共服務數字化發展的過程中，不應當對老年人、殘疾人享受應有的公共服務造成障礙，建議增加有針對性規定。憲法和法律委員會經研究，建議增加一條規定：國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，不得對老年人、殘疾人的日常生活造成障礙。四、有的常委委員提出，防范數據安全風險應當發揮社會各方面作用，加強政府、企業、專業機構之間的合作。憲法和法律委員會經研究，建議增加規定：國家支持有關部門、行業組織、企業、科研機構和有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。五、有的常委委員提出，電子政務系統的建設維護、政務數

59、據的存儲加工，很多都是委托專業機構實施的，建議強化受托方的數據安全義務。憲法和法律委員會經研究，建議數據安全法合規指引數據安全法條文精讀020021五十四條，其具體章節及主要內容包括：第四章數據安全保護義務第三十一條重要數據的出境安全管理關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用 中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。第三十四條數據處理相關服務的行政許可法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可

60、。第六章法律責任第五十一條非法開展數據處理活動的法律責任竊取或者以其他非法方式獲取數據，開展數據處理活動排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規的規定處罰。第五十二條民事、刑事責任及治安管理處罰的銜接性規定違反本法規定，給他人造成損害的，依法承擔民事責任。違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。第七章附則第五十三條涉密數據安全保護與特定工作中的涉個人信息數據處理活動開展涉及國家秘密的數據處理活動，適用 中華人民共和國保守國家秘密法等法律、行政法規的規定。在統計、檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活

61、動，還應當遵守有關法律、行政法規的規定。第五十四條軍事數據安全保護軍事數據安全保護的辦法，由中央軍事委員會依據本法另行制定。增加規定：國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。六、有的常委委員建議，加大對違法向境外提供數據行為的處罰力度。憲法和法律委員會經研究，建議采納上述意見，對違法向境外提供重要數據、未經主管機關批準向外國司法或者執法機構提供數據行為的處罰規定予以修改完善。此外，還對草案二次審議稿作了一些文字修改。3.1.3對草案三次審議稿的最終修改一、有的常委委

62、員建議，做好有關用語與民法典、網絡安全法有關規定的銜接。憲法和法律委員會經研究，建議將草案三次審議稿第三條第一款數據定義中的“電子或者非電子形式”修改為“電子或者其他方式”，將第六條第一款中的“產生、匯總、加工”修改為“收集和產生”。二、草案三次審議稿第二十七條規定，開展數據處理活動應當在網絡安全等級保護制度的基礎上，建立健全全流程安全管理制度。有的常委委員提出，線下數據處理活動不適用網絡安全等級保護制度，建議區分情況分別作出規定。憲法和法律委員會經研究，建議采納上述意見，對這一條作相應修改。三、有的常委委員建議，在本法中對與統計、檔案有關的數據處理活動的法律適用問題作出銜接性規定。憲法和法律

63、委員會經研究，建議增加規定，在統計、檔案工作中開展數據處理活動，還應當遵守有關法律、行政法規的規定。經與有關部門研究，建議將本法的施行時間確定為 2021 年 9 月1日。此外，根據常委會組成人員的審議意見，還對草案三次審議稿作了一些文字修改。為細致展示三版數據安全法的“增改刪”，我們制作了 數據安全法 的“縱向比對”思維導圖，請詳見本指引附件七：三版數安法“增改刪”縱向對比。3.2銜接在立法沿革之外，我們繼續探討 數據安全法的“銜接”問題，可從兩方面審視：一方面是微觀層面其具體法律條文與其他法律、法規的銜接，另一方面是宏觀層面其自身與其他法律、法規、規范性文件的銜接。3.2.1具體條文的對外

64、銜接數據安全法 的對外銜接條款，主要規定于第三十一條、第三十四條及第五十一條至第數據安全法合規指引數據安全法條文精讀022023具體來看，如 數據安全法 第三十一條系對關鍵信息基礎設施（CII）運營者的要求，可與 網絡安全法 第三十七條進行銜接。如 數據安全法 第三十四條提出行政許可要求，征信行業即為典型（參見 征信業管理條例）。再如 數據安全法 第五十一至五十四條，可分別視為 數據安全法 相應條文與諸如 反壟斷法民法典 治安管理處罰法 刑法 保守國家秘密法以及需另行制定的軍事數據安全保護法等的銜接。3.2.2數據安全法自身的對外銜接數據安全法 與其他法律之間的銜接，在此我們重點探討 數據安全

65、法 與 網絡安全法 以及尚未但終將出臺的 個人信息保護法 之間的關系。我們的結論為，網絡安全、數據安全、個人信息保護，三者不存在完全的包含與被包含關系，各有不同程度的交集，且交集的“主題”需要分而論之，具體分析如下：1）網絡安全法 雖然對“網絡”這一概念進行了較為寬泛的定義，但被記錄的個人信息、數據，并不必然“置身”于網絡，例如傳統意義上的紙質文檔無法納入 網絡安全法 范疇，且 網絡安全法 的規制內容在數據層面側重于 CII 等的重要數據，在個人信息層面則側重于網絡運營者的用戶信息。2）數據安全法 對數據概念的界定是“任何以電子或者其他方式對信息的記錄”。照此定義，一切形式的信息記錄皆為數據，

66、范圍極其廣泛。而 個人信息保護法（草案二次審議稿）對個人信息概念的界定是“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！睆亩x本身而言，個人信息均可納入數據范疇。3）但值得關注的是，數據安全法 的側重點在于“安全”，而 個人信息保護法 的側重點在于“保護”，側重點的不同導致兩部法律的章節、條文設置存在較大差異，數據安全法 中存在大量的“義務性”條款，而 個人信息保護法 在“義務性”條款之外，還有大量的“權利性”條款。此外，前者涉及的主體主要包括“政府部門等監管機構”和“開展數據處理活動的主體”，未見“數據主體”“數據控制者”等主體表達，

67、而在 個人信息保護法 中，在“政府部門等監管機構”和“個人信息處理者”之外，還會大量涉及“個人信息主體”的相關內容?；诖?，雖然個人信息可納入數據范疇，但 個人信息保護法相關條文的“豐富度”遠超 數據安全法，行政法色彩則弱于數據安全法。綜上，談網安、數安、個保的三者銜接，實質是談具體場景下可能存在的重復適用或互為援引，我們認為，三者不是非此即彼的關系，也不是“普通法”和“特殊法”的關系，更像是彼此交織、互為補充的關系。誠如前言中所言，數據安全法是“數據領域的基礎性法律，也是國家安全領域的一部重要法律”。以其為界，回望的，是一騎絕塵的網絡安全法（2016 年 11月），遙盼的，網絡安全法 第三十

68、七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。是呼之欲出的個人信息保護法（尚未正式出臺），共同組成護航我國數字網絡時代的“三駕馬車”。此外，最新的 網絡安全審查辦法（修訂草案征求意見稿）于 2021 年 7月 10 日由國家互聯網信息辦公室下發，該草案征求意見稿明確將數據安全法列為其制定依據，并將“數據處理者開展數據處理活動”亦歸入網絡安全審查范圍?；诖?，修訂后的新版 網絡安全審查辦法較大概率將與 數據安全法在

69、“網絡安全審查”問題上進行銜接，對于網絡安全審查辦法（修訂草案征求意見稿）的修訂要點及相應評注，請參見本指引附件三：網絡安全審查辦法修訂要點比對與評注。4.適用范圍數據安全法第二條明確了其適用范圍，第三條對“數據”“數據處理”和“數據安全”進行了界定，以更好地明確適用范圍的邊界，該等規定在歷次版本中未發生實質變更。適用范圍具體包含地域范圍和主體范圍。就地域范圍而言，以在中華人民共和國境內適用為主，但賦予了必要的境外適用效力，旨在加強對在中國境外開展數據處理活動的威懾和提供追責的法律依據；就主體與行為范圍而言，將從事數據處理活動的所有主體均納入了規制主體。數據安全法第五十三條、第五十四條明確了開

70、展涉及國家秘密的數據處理活動、在統計、檔案工作中開展的數據處理活動、開展涉及個人信息的數據處理活動和軍事數據安全保護四種特殊數據處理活動的適用規定，其中在統計、檔案工作中開展數據處理活動的適用系正式稿增加的特殊適用規定。整體而言，開展涉及國家秘密的數據處理活動和軍事數據安全保護均適用專屬的規定，而在統計、檔案工作中開展的數據處理活動或開展涉及個人信息的數據處理活動，除遵守 數據安全法外，還需對應遵守統計、檔案相關或個人信息保護相關的法律、行政法規的規定。第二條在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或

71、者公民、組織合法權益的，依法追究法律責任。第三條本法所稱數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。第五十三條開展涉及國家秘密的數據處理活動，適用 中華人民共和國保守國家秘密法等法律、行政法規的規定。在統計、檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。第五十四條軍事數據安全保護的辦法，由中央軍事委員會依據本法另行制定。數據安全法實務指引025數據安全法合規指引0244.1地域范

72、圍從地域范圍看，數據安全法 不僅適用于在中國境內開展的數據處理活動，也賦予了必要的域外適用效力，彰顯了我國維護國家安全和數據主權的信心和決心。具體來說，只要在中國境內開展數據活動，無論是中國境內的組織、個人還是中國境外的組織、個人，均適用本法。而對于在中國境外開展數據活動的組織和個人，如果其數據處理活動損害了中國國家安全、公共利益或者公民、組織的合法權益，我國也會依法追究其法律責任。面向中國提供服務但數據處理活動發生在境外的跨國企業，對此應予以高度重視，不得抱有法律無法有效規制該等行為的僥幸心理。從實踐角度看，雖然域外適用效力的落實可能存在一定的障礙，但不可否認的是，數據安全法規定必要的域外適

73、用效力，與世界各國通過立法擴大數據方面管轄權的做法相一致和對應，有助于我國在激烈的數據競爭中掌握主動權和話語權，維護我國的國家主權和數據主權完整。4.2主體與行為范圍不同于網絡安全法 將網絡安全義務的主體主要限定在網絡運營者，數據安全法并未將適用主體直接限定為某一特定類型的主體，而是從行為角度出發將從事數據處理活動的主體均納入規制主體。要理解數據處理活動，需要重點把握“數據”和“數據處理”兩個要點：1）對于“數據”，數據安全法 第三條第一款規定了“數據”的含義，即“任何以電子或者其他方式對信息的記錄”。亦即，數據安全法 將所有對信息進行記錄的載體均認定為數據，適用范圍極廣?！捌渌问健钡亩档妆?/p>

74、述，將常見的諸如樓宇管理場景下訪客填寫紙質登記表而收集的數據也納入到數據安全管理范疇，填補了以往既有立法無法有效規制純線下、不借助網絡開展數據活動的立法空白。2）對于“數據處理”，數據安全法 第三條第二款規定了“數據處理”的含義，即“數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等?！痹摱x基本沿用了 民法典 第一千零三十五條對“個人信息處理”的定義，采取了“列舉+兜底”的方式，將數據全生命周期的相關活動基本納入到數據處理的范疇。將所有從事數據處理活動的主體均納入適用范圍，有助于從全主體、全鏈條、全環節的角度規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權

75、益，維護國家主權、安全和發展利益。第三條本法所稱數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。4.3特殊適用4.3.1開展涉及國家秘密的數據處理活動國家秘密系涉及國家安全和利益的事項，其泄露后可能損害國家在政治、經濟、國防、外交等領域的安全和利益，因此，我國對于國家秘密給予了單獨的立法保護。對于開展涉及國家秘密的數據處理活動，數據安全法作出了特殊適用規定，即，其需要適用“中華人民共和國保守國家秘密法等法律、行政法規的規定”，此處所

76、稱的“行政法規”主要包括 保守國家秘密法實施條例等。4.3.2統計、檔案工作中開展數據處理活動歷次版本條文對比草案一審稿草案二審稿正式稿第四十九條第二款 開展涉及個人信息的數據活動，應當遵守有關法律、行政法規的規定。第五十一條第二款 開展涉及個人信息的數據處理活動，應當遵守個人信息保護法律、行政法規的規定。第五十三條第二款 在統計、檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。從歷次版本條文對比可以看出，數據安全法在正式稿中增加了“在統計、檔案工作中開展數據處理活動”這一場景下的特殊適用規定，即“還應當遵守有關法律、行政法規的規定”。這里主要包

77、括兩個要點：1)“還”字的使用，意味著“統計、檔案工作中開展數據處理活動”既需要適用 數據安全法的規定，在此基礎上還需要適用其他的規定，而非像涉及國家秘密的數據活動那樣直接僅適用其特定的規定即可；2)“有關法律、行政法規”，對于統計、檔案工作而言，此處的“有關法律、行政法規”主要包括 統計法 統計法實施條例 檔案法 檔案法實施辦法等。數據安全法合規指引數據安全法條文精讀0260274.3.3開展涉及個人信息的數據處理活動歷次版本條文對比草案一審稿草案二審稿正式稿第四十九條第二款 開展涉及個人信息的數據活動，應當遵守有關法律、行政法規的規定。第五十一條第二款 開展涉及個人信息的數據處理活動，應當

78、遵守個人信息保護法律、行政法規的規定。第五十三條第二款 在統計、檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。從歷次版本條文對比可以看出，對于開展涉及個人信息的數據處理活動，數據安全法在正式稿中作出了實質變更，主要體現在增加了“還”這一表述。草案一審稿和二審稿對該條的規定基本一致，其似乎意在表明，涉及個人信息的數據活動，單獨適用個人信息方面的法律、行政法規，無需適用 數據安全法 及其配套的行政法規（如有）。但正式稿增加了“還”，這意味著，涉及個人信息的數據處理活動，除需要適用個人信息方面的法律、行政法規外，亦需要適用 數據安全法 及其配套的行政

79、法規（如有）的規定。就個人信息方面的法律、行政法規而言，主要包括 網絡安全法 民法典 以及后續即將出臺的 個人信息保護法 及該等法律配套的行政法規。4.3.4軍事數據安全保護與 網絡安全法 第七十八條規定“軍事網絡的安全保護，由中央軍事委員會另行規定”相類似，數據安全法 第五十四條規定軍事數據安全保護的辦法由中央軍事委員會根據 數據安全法另行制定，強化對軍事數據的特殊保護。5.監管監督體系數據安全法 在“監督管理體系”問題上著墨頗多，可對應到第四條、第五條、第六條、第九條、第十條、第十二條、第十七條以及第十八條，該等條文詳列如下:第一章總則第四條總體國家安全觀維護數據安全，應當堅持總體國家安全

80、觀，建立健全數據安全治理體系，提高數據安全保障能力。第五條數據安全的國家監督管理體制中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。第六條數據安全的地區與部門監督管理體制各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。國家網信部門依照本法和有關法

81、律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。第九條數據安全的社會參與國家支持開展數據安全知識宣傳普及，提高全社會的數據安全保護意識和水平，推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發展的良好環境。第十條數據安全的行業自律相關行業組織按照章程，依法制定數據安全行為規范和團體標準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展。第十二條違反數據安全法的投訴、舉報及處理任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。數據安全法合規指引數

82、據安全法條文精讀028029第二章數據安全與發展第十七條數據開發利用技術、產品和數據安全的標準制定國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。第十八條數據安全社會化服務體系建設國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。第一，最高規格的頂層設計。數據安全法

83、第四條中的“總體國家安全觀”、第五條中的“中央國家安全領導機構”和“國家數據安全工作協調機制”等措辭表達的使用，均屬首次，在 網絡安全法 個人信息保護法（草案二次審議稿）中均未涉及，亦無類似表述。如此高規格的頂層設置，實為罕見，亦是“數據主權”問題重要性的直觀體現。第二，廣泛而堅實的中層力量。數據安全法 第六條通過四款內容，列明了從中央到地方的監管部門。從中央部委看，有與頂層設計銜接的國家安全機關，有傳統的“四輪驅動”（網信、工信、公安、市監），還有涵蓋各行各業的主管部門（交通、金融、教育等）；從地區管轄看，既包括地方政府，也包括前述各部委在地方的分支機構?？芍^縱橫交錯、各有分工，構織出廣泛、

84、嚴密而堅實的監管網絡。第三，支持促進“軟法”活動。擴張來看，“軟法”活動可包括全國范圍內的數據安全知識第四條維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。第五條中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。第六條各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。公安機關、國家安全機關等依照本法和有關法律

85、、行政法規的規定，在各自職責范圍內承擔數據安全監管職責。國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。宣傳普及（第九條）、行業自律組織自律行動（第十條）、暢通且保密的投訴舉報通道（第十二條）、各類標準的制定修訂（第十七條）、配套檢測認證活動（第十八條），納入其中的主體包括國家、有關部門、行業組織、科研機構、企業、個人，基本實現全覆蓋。當然，“全覆蓋”的監管體系必然可能涉及“多頭監管”問題，九龍治水對監管主體和被監管對象而言都非易事。各部門、各地區在執法尺度及標準上的差異，一定程度上可能會影響到執法的穩定性和可預期性，加大監管主體之間的溝通成本。此外，各

86、監管主體下發的各類文件，涵蓋法律法規、部門規章、規范性文件、標準指南或其他文件，或具有強制性效力，或僅具有指導性意義，但在實務中卻均可成為監管主體治理活動的觀點來源，導致被監管對象合規和創新成本的提升。龐大的監管機器如何啟動、如何協調，進而引導數據安全領域監管進入常規化、有序化，仍有待觀察與實踐優化。6.特色亮點在現有 網絡安全法 及配套法規、文件的基礎上，我們歸納了 數據安全法 的七大特色亮點，包括三種管制、分類分級、數據出境、數據交易、政務數據的處理、智能化公共服務與特殊人群、執法活動中的境內配合與境外提供報批等。6.1三種管制6.1.1安全審查數據安全法 第二十四條規定了數據安全審查制度

87、，該規定在歷次版本中均未發生實質變更。其從國家安全的角度，要求對影響或者可能影響國家安全的數據處理活動進行安全審查，以加強對特定數據處理活動的管制。數據安全審查制度的審查范圍和重點是“影響或者可能影響國家安全的數據處理活動”，系對 國家安全法第三十五條在數據安全領域的響應。但 數據安全法 對數據安全審查的審查主體、審查流程、審查期限、審查內容等未進行具體規定。網絡安全審查辦法（修訂草案征求意見稿）發布之前，彼時，數據安全法規定的數據安全審查和 網絡安全法規定的網絡安全審查之前的關系如何，是并行、合并適用亦或是其他關系，眾說紛紜，但似乎占據主流的猜測為二者并行，且后續會像 網絡安全法 配套出臺

88、網絡安全審查辦法 一樣出臺 數據安全法配套的數據安全審查相關管理辦法。第二十四條國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。網絡安全法 第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。數據安全法合規指引數據安全法條文精讀030031網絡安全審查辦法（修訂草案征求意見稿）發布之后，此時，似乎“撥開云霧見月明”，可以初步得出的理解為，網絡安全審查和數據安全審查一并由 網絡安辦法（修訂草案）加以規定，二項審查可能同時觸發，亦可能單獨觸發。而后續

89、再出臺單獨的數據安全審查相關辦法的可能性，也就比較低了。此外需要注意的是，該條第二款規定“依法作出的安全審查決定為最終決定”，意味著數據安全審查的決定一經作出即告生效，不存在行政復議或行政訴訟等救濟程序。6.1.2出口管制數據安全法第二十五條規定了特定類型數據的出口管制要求，該規定在歷次版本中未發生實質變更。其從出口的角度，對于維護國家安全和利益、履行國際義務相關的屬于管制物項的數據進行出口管制。對于出口管制的含義，數據安全法未進行明確，出口管制法 第二條將“出口管制”定義為“國家對從中華人民共和國境內向境外轉移管制物項，以及中華人民共和國公民、法人和非法人組織向外國組織和個人提供管制物項，采

90、取禁止或者限制性措施?！睌祿踩ㄊ状翁岢隽藬祿隹诠苤频囊?，管制的范圍為“與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據”。但數據安全法 并未對具體的管制范圍進行明確。從文義理解的角度，結合 出口管制法 第二條的規定，屬于管制物項的數據可能包括兩用物項、軍品、核等的數據，例如大規模殺傷性武器及其運載工具、軍用目的裝備、專用生產裝備的研發數據、生產數據、使用數據等。出口管制法 第四條明確“國家實行統一的出口管制制度，通過制定管制清單、名錄或者目錄（以下統稱管制清單）、實施出口許可等方式進行管理”，因此 出口管制法后續配套的管制清單將具有重要參考意義。此外，出口管制法 第二條涉及出

91、口管制的適用范圍、定義，第三十二條涉及信息的出口第二十五條國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。出口管制法 第二條國家對兩用物項、軍品、核以及其他與維護國家安全和利益、履行防擴散等國際義務相關的貨物、技術、服務等物項（以下統稱管制物項）的出口管制，適用本法。前款所稱管制物項，包括物項相關的技術資料等數據。本法所稱出口管制，是指國家對從中華人民共和國境內向境外轉移管制物項，以及中華人民共和國公民、法人和非法人組織向外國組織和個人提供管制物項，采取禁止或者限制性措施。本法所稱兩用物項，是指既有民事用途，又有軍事用途或者有助于提升軍事潛力，特別是可以用于設

92、計、開發、生產或者使用大規模殺傷性武器及其運載工具的貨物、技術和服務。本法所稱軍品，是指用于軍事目的的裝備、專用生產設備以及其他相關貨物、技術和服務。本法所稱核，是指核材料、核設備、反應堆用非核材料以及相關技術和服務。出口管制法 第三十二條國家出口管制管理部門根據締結或者參加的國際條約，或者按照平等互惠原則，與其他國家或者地區、國際組織等開展出口管制合作與交流。中華人民共和國境內的組織和個人向境外提供出口管制相關信息，應當依法進行；可能危害國家安全和利益的，不得提供。管制。后續如何實現 數據安全法 第二十五條規定與 出口管制法 前述規定的妥善銜接，以及如何實現數據出口管制與數據安全審查、數據出

93、境安全評估等制度的銜接與協調，有待進一步研究和明確。6.1.3國際對等反制數據安全法 第二十六條規定了國際/地區的對等反制要求，該規定在歷次版本中未發生實質變更。其從反歧視的角度，對向我國采取數據和數據開發利用技術等有關的投資、貿易等方面歧視措施的國家和地區進行對等反制。隨著我國綜合國力的不斷發展壯大，部分國家和地區開始不斷對我國在政治、經濟、外交等方面采取限制、打壓、歧視等措施，妄圖通過不正當手段阻礙我國的發展步伐。對此，我國已經擺脫“落后就要挨打”的艱難處境，對該等國家和地區采取對等的反制措施予以有效反擊，積極維護國家利益。與 數據安全法同日表決通過并于通過當日直接生效的 反外國制裁法，從

94、法律的角度明確“外國國家違反國際法和國際關系基本準則，以各種借口或者依據其本國法律對我國進行遏制、打壓，對我國公民、組織采取歧視性限制措施，干涉我國內政的，我國有權采取相應反制措施”，充分彰顯了我國維護國家主權、安全、發展利益，保護我國公民、組織的合法權益的信心與決心。就數據方面，數據安全法也規定了國際對等反制要求，以有效應對與數據和數據開發利用技術等有關的投資、貿易等方面采取歧視性的禁止、限制等措施，有助于維護我國數據主權和國家利益。6.2分類分級網絡安全法 第二十一條首次從法律層面提出了“數據分類”的要求。數據安全法 第二十一條則進一步從法律層面確定了站在國家角度、自上而下的數據分類分級保

95、護制度，將數據劃分為國家核心數據、重要數據和其他數據三種類型，并明確了從國家角度制定重要數據目錄以及各地區、各部門制定重要數據具體目錄的分工監管架構，系對 中華人民共和國國民經濟和社會發展第第二十六條任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。網絡安全法 第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（四）采取數據分類、

96、重要數據備份和加密等措施；第二十一條國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。數據安全法合規指引數據安全法條文精讀032033十四個五

97、年規劃和 2035 年遠景目標綱要提出的“完善適用于大數據環境下的數據分類分級保護制度”要求的踐行和落實。對于企業而言，應嚴格按照國家重要數據目錄和本地區、行業監管部門制定的重要數據具體目錄對重要數據加強保護，對于重要數據以外的其他數據，亦需自主開展分類分級并給予相應程度的保護。就企業如何開展數據分類分級工作問題，請參見本指引“二、數據安全法實務指引”第 4部分“數據分類分級”的相關內容。6.3數據出境自 網絡安全法實施以來，數據的本地化存儲要求與出境合規就一直備受關注，也是眾多跨國公司合規工作中的難點，數據安全法 第三十一條自草案二審稿開始，加入了關于重要數據出境的相關管理要求。此前談及數據

98、出境的相關規定，主要以 網絡安全法 為總領，輔以 GB/T 352732020 信息安全技術 個人信息安全規范 等國家標準作為規范參考。在相關規范尚不健全的情況下，還存在 個人信息保護法（草案二次審議稿）個人信息和重要數據出境安全評估辦法（征求意見稿）關鍵信息基礎設施安全保護條例（征求意見稿）信息安全技術 數據出境安全評估指南（草案）個人信息出境安全評估辦法（征求意見稿）數據安全管理辦法（征求意見稿）等一系列尚未生效的法規、指南和標準，一定程度上也代表監管部門對這一問題的看法。也正因相關規范尚不健全，而尚未生效的法規、指南和標準又將相應的合規要求進行了提升，實踐中對于哪些數據需要境內存儲、數據

99、出境需要履行什么手續等問題存在較大的爭議。數據安全法 的出境相關規定，系在 網絡安全法 的基礎上，再次明確所有重要數據的出境安全管理均受到特別規制，并按照是否屬于關鍵信息基礎設施的運營者區分是否適用 網絡安全法 的相關規定，但具體的規則仍有待監管部門進一步明確。關于哪些數據原則上需要本地化儲存、數據出境的前提與手續、如何進行數據出境的安全評估等話題，請具體參閱本指引“二、數據安全法實務指引”第 6 部分“數據本地化存儲與出境”的相關內容。6.4數據交易數據安全法第十九條、第三十三條延續草案一審稿、二審稿的相關規定，明確了國家建立健全數據交易管理制度，規范數據交易市場，并對從事數據交易中第三十一

100、條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。第十九條國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。第三十三條從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。介服務的機構提出了交易方身份核查、數據來源審核、交易記錄留存等義務要求。6.4.1數據交易立法現狀在基本法律層面，我國刑法嚴格規制個人數據7交易行為，刑法修正案（九

101、）更是將違規出售公民個人信息行為的犯罪主體擴大至一般主體。此外，民法典 第一百二十七條以引致條款的方式將數據與網絡虛擬財產并列表述，表明數據與虛擬財產在權利屬性上具有一致性。該第一百二十七條并未明確規定數據權屬的相關內容，未明確民事主體對數據享有的權益屬于財產權還是人格權，這也為未來法律進一步細化數據的利用、交易規則留有一定余地。在特別法層面，雖然 消費者權益保護法 第二十九條、電子商務法 第二十五條都明確禁止經營者出售消費者的個人信息，網絡安全法 第四十四條亦規定“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”，但均未嚴格禁止合法的數據交易活動

102、。2020年10月公布的 個人信息保護法（草案二次審議稿）規定了處理個人信息的六項例外情形，也在一定程度上突破“知情同意”原則為數據交易打開了窗口。數據安全法正式為數據交易提供了法律支撐，該法第十九條不僅提出國家要“培育數據交易市場”，還在第三十三條和第四十七條對“從事數據交易中介服務的機構”規定了相應的義務與責任。7 個人信息與個人數據屬于法律意義上的概念，二者實質相同。參見彭誠信,向秦.“信息”與“數據”的私法界定 J.河南社會科學,2019,27(11):25-37.刑法 第二百五十三條之一【侵犯公民個人信息罪】違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期

103、徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。民法典 第一百二十七條法律對數據、網絡虛擬財產的保護有規定的，依照其規定。消費者權益保護法 第二十九條經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。經營者收集、使用

104、消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。經營者應當采取技術措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施。經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。電子商務法 第二十五條有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的，電子商務經營者應當提供。有關主管部門應當采取必要措施保護電子商務經營者提供的數據信息的安

105、全，并對其中的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。第十九條國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。第三十三條從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。第三十七條從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。數據安全法合規指引數據安全法條文精讀034035保數據安全合規流通，緩解數據隱私泄露、數據濫用等問題。6.4.3數據交易合規制度框架（1）數據交易原則目前尚未建立完善的數據交易具體法律規范，需要法律基本原

106、則彌補法律漏洞，為法律規則提供指導性的價值準則，作為數據交易司法實踐的確認規范。數據安全法第八條可以作為數據交易基本原則的淵源之一。國家標準 信息安全技術 數據交易服務安全要求（GB/T 37932-2019）8中具體規定了五個數據交易安全原則：“數據交易合法合規原則”、“主體責任共擔原則”、“數據安全防護原則”、“個人信息保護原則”、“交易過程可控原則”。多份地方性法規也確立了數據交易的原則，如 深圳經濟特區數據條例 第六十八條規定市場主體應當遵守“公平競爭原則”，不得侵害其他市場主體或者消費者合法權益。數據交易基本原則也在各數據交易服務機構中制定的交易規則中有所體現，如上海數據交易中心 數

107、據互聯規則中針對個人數據保護、數據互聯行為、數據權益保護、數據安全防控四個方面分別確立了六條基本原則。（2）交易參與方法律義務數據安全法第三十三條賦予從事數據交易中介服務機構“要求數據提供方說明數據來源，審核交易雙方身份，留存審核、交易記錄”的法律義務，未履行義務的依照第四十七條承擔相應的法律責任。為落實數據安全保護義務，國家標準 信息安全技術 數據交易服務安全要求（GB/T 37932-2019）也對數據交易服務機構提出了相應要求9。除了滿足應當“得到我國行政或主管部門的授權或許可”、“具備承擔數據交易服務相對應的安全保障能力”、“在一年內無重大數據類違法違規記錄”等基本要求外，還應當滿足組

108、織安全管理要求8參見信息安全技術 數據交易服務安全要求（GB/T 37932-2019）4.2 數據交易安全原則9參見信息安全技術 數據交易服務安全要求（GB/T 37932-2019）5.3 數據交易服務機構安全要求第八條開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。第三十三條從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。第四十七條從事數據交易中介服務的機 構未 履行本法第三十三條規定的義務

109、的，由有關主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上一百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。第十七條國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。在行政規范性文件中，國務院 2015 年 關于引發促進大數據發展行動綱要的通知 關于推進國內

110、貿易流通現代化建設法制化營商環境的意見、2016 年“十三五”國家信息化規劃、2019 年 關于印發 6 個新設自有貿易試驗區總體方案的通知、2020 年 海南自由貿易建設總體方案均提出要培育數據交易市場、建立數據交易標準與規則、規范數據交易行為，發展大數據交易中心、數據中心、大數據交易所。工信部、發改委、網信辦、標委會等部門也相應發布 關于工業大數據發展的指導意見關于組織實施促進大數據發展重大工程的通知 信息安全技術 數據交易服務安全要求（GB/T 37932-2019）等文件，提出要研究制定數據交易規則、探索開展大數據交易平臺試點。各地方政府也相繼制定頒布地方性法規、規章、規范性文件規范數

111、據交易行為。比較有代表性的是深圳經濟特區數據條例 貴州省大數據發展應用促進條例 海南省大數據開發應用條例和 上海數據條例（草案），對數據交易原則、交易市場及平臺建設、數據交易規則等方面進行了不同程度的規定，探索構建數據要素市場建設的基本框架。6.4.2數據交易的地方探索2015 年成立的貴陽大數據交易所（以下簡稱“貴交所”）是我國首家大數據交易所，面向全國提供數據交易服務，采用“政府指導，社會參與、市場化運作”的模式，向社會提供完整的數據交易、結算、交付、安全保障、數據資產管理和融資等綜合配套服務。根據貴交所制定的 貴陽大數據交易所702公約，為保護隱私、個人信息與數據安全，在貴陽大數據交易所

112、不能直接交易底層數據，數據提供方負有對底層數據進行“清洗、分析、建模、可視化”等處理義務，貴交所提供技術服務協助將數據變成“可交易的資產”，數據賣方則需要支付數據交易金額的 10%作為服務費用。2016 年成立的上海數據交易中心有限公司（以下簡稱“上海數交中心”）是根據 上海市大數據發展實施意見 等文件，經市政府批準，市經信委、市商務委聯合批復的國有控股混合所有制企業。作為上海市大數據發展“交易機構+創新基地+產業基金+發展聯盟+研究中心”五位一體規劃布局內的重要商業機構，上海數據交易中心承擔著促進商業數據流通、政府數據與商業數據融合與開放、通用數據治理服務等業務。為做好數據交易合規工作，上海

113、數交中心制定了 數據互聯規則 個人數據保護原則 流通數據處理準則 交易要素標準體系 流通數據禁止清單 多個交易相關準則與標準，規范數據交易行為，逐步完善數據交易標準和監管體系。2021 年 3 月北京國際大數據交易所（以下簡稱“北數所”）正式成立，它由市屬國企對現有交易所進行重組更名，是國內首家基于“數據可用不可見，用途可控可計量”新型交易范式的數據交易所。北京國際大數據交易所設立工作實施方案指出了北數所的五大功能定位，即“權威的數據信息登記平臺”、“受市場廣泛認可的數據交易平臺”、“覆蓋全鏈條的數據運營管理服務平臺”、“以數據為核心的金融創新服務平臺”、“新技術驅動的數據金融科技平臺”。北數

114、所依托隱私計算、區塊鏈等領域的技術先發優勢，為數據供需雙方提供可信的數據融合計算環境，以確數據安全法合規指引數據安全法條文精讀036037和數據交易服務平臺安全要求。數據交易雙方也要確保自身主體資格合規，根據國家標準，數據交易主體應當“為一年內無重大數據類違法違規記錄的合法組織機構”，并“為一年內無重大數據類違法違規記錄的合法組織機構”，“遵守數據交易服務機構的安全管理制度和流程”，并提供相關“書面安全承諾”，在多地數據交易機構實踐中體現為會員制要求。除此之外，數據供方還負有數據來源合法的證明義務，并“證明其具備向數據需方安全交付數據的能力”10；數據需方則負有數據使用合法的保證義務，即“證明

115、具備對交易數據實施安全保護的能力“，并按約定使用數據，“禁止進行個人信息的重新識別”11等。（3）交易對象合規數據安全法 并未規定可交易數據的具體內容，但在第十七條提出“組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準”。參考國家標準 電子商務數據交易準則（征求意見稿）中的規定，可交易數據需要滿足的要求包括但不限于：1）應符合法律、行政法規的規定，不應涉及受法律、行政法規保護的個人信息、個人敏感信息以及法律、行政法規明確禁止交易的數據；2）應通過合法渠道獲取，對數據擁有的權利應清晰無爭議；3）應符合 GB/T 36073、GB/T 36344 等中有關數據質量的規定，也可參考 I

116、SO 8000系列標準的相關規定；4）數據本身應與平臺上的數據描述保持一致。對于禁止交易的數據采取目錄制管理，由數據交易服務機構依法制定，根據國家標準至少應當包括12：1）受法律保護的數據；2）涉及個人信息的數據，除非獲得了全部個人數據主體或未成年人的監護人的明示同意,或者進行了必要的去標識化處理以達到無法識別出個體的程度；3）涉及他人知識產權和商業秘密等權利的數據，除非取得權利人明確許可；4）從非法或違規渠道獲取的數據；10參見信息安全技術 數據交易服務安全要求（GB/T 37932-2019）5.1 數據供方安全要求11參見信息安全技術 數據交易服務安全要求（GB/T 37932-2019

117、）5.2 數據需方安全要求12參見信息安全技術 數據交易服務安全要求（GB/T 37932-2019）6.1 禁止交易數據第十七條國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。5）與原供方所簽訂的合約要求禁止轉售或公開的數據；6）其他法律法規明確禁止交易的數據。深 圳 經濟 特區 數 據 條 例第六十七條也指出“市場主體合法處理數據形成的數據產品和服務”才能依法交易，并對三類情形作出例外規定。由此可見，企業在數據交易中應

118、當注意盡量避免原始數據交易。數據應當依照國家標準進行合規處理，滿足相應國家標準和數據質量、數據安全保護要求，方可進行交易。同時也應當確保數據交易不損害國家安全、公共利益和他人合法權益。（4）交易流程合規數據安全法 第十九條僅指出國家應當“建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場”，但未明確數據交易的具體流程。國家標準 信息安全技術 數據交易服務安全要求（GB/T 37932-2019）中指出了數據交易服務的參考框架13，數據交易流程包括“交易申請交易磋商交易實施交易結束”四個環節，電子商務數據交易準則（征求意見稿）中則指出“交易程序包括但不限于：數據登記、數據審核、交易實施

119、和交易結算”14。為確保數據交易流程合規，鼓勵市場主體進行場內交易成為地方立法的重點。場內數據交易有利于國家進行監管，一方面能確?？山灰讛祿目煽?、可追溯，另一方面也降低了交易成本和安全風險。例如，貴州省大數據發展應用促進條例 第十九條規定“鼓勵和引導數據交易當事人在依法設立的數據交易服務機構進行數據交易”，海南省大數據開發應用條例第四十一條規定“鼓勵和引導數據交易主體在依法設立的大數據交易平臺進行數據交易，加強對大數據交易平臺的監管”，深圳經濟特區數據條例 第六十五條也規定“引導市場主體通過數據交易平臺進行數據交易”；第六十六條還規定了數據交易平臺一定的監管義務，促進數據在場內依法合規高效流

120、通?？梢?，數據的場內交易將成為未來數據交易合規發展的重點。6.5政務數據的處理在電子政務系統穩步推進的大背景下，隨著流調信息泄露等社會事件的影響，在利用政務數據提升社會治理水平的同時，如何保障政務數據的安全也成為非常緊迫的需求。在此背景下，13參見信息安全技術 數據交易服務安全要求（GB/T 37932-2019）4.1 參考框架14參見電子商務數據交易準則（征求意見稿）7 交易程序與規則深圳經濟特區數據條例 第六十七條市場主體合法處理數據形成的數據產品和服務，可以依法交易，但是具有下列情形之一的除外：（一）交易的數據產品和服務包含個人數據而未依法獲得授權的；（二）交易的數據產品和服務包含未經

121、依法開放的公共數據的；（三）法律、法規規定禁止交易的其他情形。第十九條國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。數據安全法合規指引數據安全法條文精讀038039數據安全法 第五章以專章形式（第三十七條至第四十三條）規定了政務數據的安全與開放問題，涵蓋電子政務建設、政務數據處理原則、政務數據開放目錄制度、國家機關保密義務、委托建設電子政務系統的相關要求等內容。6.5.1政務數據的定義與范圍雖然 數據安全法并未給出政務數據的定義，但是結合第三十八條的規定，可以將政務數據理解為“國家機關為履行法定職責所收集、使用的數據”，政務數據與個人隱私、個人信息、商業秘密、保密商務信息等

122、其他數據維度之間存在一定的重合度，多維度數據需要同時滿足各維度對數據安全提出的合規要求。除國家機關以外，根據數據安全法第四十三條的規定，對于“法律、法規授權的具有管理公共事務職能的組織”，在履行法定職責開展數據處理活動時，亦適用政務數據的相關管理規定。需要注意的是，正式稿中對于此類組織新增了“法律、法規授權”這一管理職能授權的前提，因此在判斷某一組織是否符合本條規定時，需要嚴格究其職權來源，限縮其于法律、法規的框架之內。6.5.2國家機關的義務根據數據安全法 第五章的相關規定，國家機關（以及法律、法規授權的具有管理公共事務職能的組織）在處理政務數據過程中，需要履行以下主要義務：（1）數據處理應

123、遵循法定范圍、條件與程序數據安全法 第三十八條對于國家機關履行法定職責需要收集、使用數據的行為，要求“應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行”，換言之對國家機關的數據處理行為提出了范圍、條件、程序等多維度的要求。（2）個人隱私、個人信息、商業秘密、保密商務信息等數據的保密義務第三十七條國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力。第三十八條國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等

124、數據應當依法予以保密，不得泄露或者非法向他人提供。第四十三條法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動，適用本章規定。第三十八條國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。在草案一審稿、二審稿的基礎上，數據安全法 正式稿在第三十八條中新增了國家機關“對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供”這一義務要求。該條規定看

125、似簡單直白，但細思仍能發現其存在著眾多模糊之處，例如個人隱私與個人信息的概念、商業秘密與保密商務信息的概念之間存在眾多重合，依“法”予以保密、非“法”向他人提供中的“法”所指向的具體法律維度、層級，行政合同中約定的合同保密義務是否屬于前述“法”的構成要素，行政合同履行過程中所收集的信息是否屬于“履行職責中知悉的信息”，向他人提供中的“他人”是否包括其他的國家機關等。此外，我們認為，數據安全法 單獨就此四類信息要求國家機關進行保密的規定，系強調性規范，并非意味著國家機關可以公開或隨意向他人提供其他政務數據。（3）建立健全數據安全管理制度的義務數據安全法 第三十九條中所規定的國家機關建立數據安全管

126、理制度的義務來源，系法律、行政法規的規定，但目前并無此類具體的規定，因此對于國家機關而言，應該建立怎樣的數據安全管理制度還有待法律法規的進一步明確。（4）對受托方的合同約束與監管義務數據安全法 第四十條規定對國家機關委托他人建設、維護電子政務系統過程中的數據存儲、加工等行為作出新的要求，基于此，無論是國家機關還是為國家機關提供技術服務的供應商，均需注意到簽署相關合同、履行批準程序的義務，具體流程亦尚待進一步出臺明確規定。需要注意的是，在正式稿中對于受托方新增了“應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據”這一義務規定，對于超出法律規定

127、或合同規定的數據處理活動，均將被視為違法行為，因此合同中對數據使用目的的約定將顯得尤為重要，對未來政務數據的商業化使用亦提出了新的合規挑戰。（5）政務數據的公正、公平、便民原則第三十八條國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的范圍內依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。第三十九條國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。第四十條國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經

128、過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。數據安全法合規指引數據安全法條文精讀040041結合 數據安全法 第四十一條、第四十二條的規定，未來在國家制定的政務數據開放目錄的基礎上，國家機關應按照規定及時、準確地公開政務數據。此項義務的履行，仰賴于政務數據開放目錄的制定，但考慮到現階段各地政務數據電子化進程存在較大差異，技術保障能力也存在一定差異，如何逐步推進政務數據的開放利用仍是難點。6.6智能化公共服務與特殊人群智能化公共服務與特殊人群條款系 數據安全法 正式稿的

129、新增條款。此次立法過程中，在審議草案二審稿時，有的常委委員和社會公眾提出，在大力推進公共服務數字化發展的過程中，不應當對老年人、殘疾人享受應有的公共服務造成障礙，建議增加有針對性規定。憲法和法律委員會經研究，建議增加一條規定：國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，不得對老年人、殘疾人的日常生活造成障礙。從第十五條的條文內容出發，“智能化公共服務”和“老年人、殘疾人”兩個關鍵表述較為突顯，該條文一方面對“數據驅動”的智能化公共服務予以鼓勵和支持，但另一方面又對特殊群體的使用、融入、需求保有關注，顯現出“審慎樂觀”色彩。6.6.1對“數

130、據驅動”的智能化公共服務予以鼓勵和支持公共服務是指由政府部門、國有企事業單位和相關中介機構履行法定職責，根據公民、法人或者其他組織的要求，為其提供幫助或者辦理有關事務的行為。公共服務事項是由法律、法規、規章或者行政機關的規范性文件設定，是相關部門必須有效履行的義務。15另，根據國務院關于在線政務服務的若干規定第四條“政務服務事項包括行政權力事項和公共服務事項”和第六條“行政機關和其他負有政務服務職責的機構（以下統稱政務服務機構）應當按照規范化、標準化要求編制辦事指南，明確政務服務事項的受理條件、辦事材料、辦理流程等信息”等規定，公共服務屬于政務服務事項之一，其受理條件、辦事材料、辦理流程等信息

131、由政務服務機構編制。因此公共服務的職能的主體是行政機關和其他負有政務服務職責的機構（包括國有企事業單位和中介機構）。15 中央政府門戶網站的 推行公共服務便捷化，切實轉變政府智能：http:/ 年國務院發布 國務院關于加快推進全國一體化在線政務服務平臺建設的指導意見，要求編制公共服務事項清單及辦事指南，全面梳理教育、醫療、住房、社保、民政、扶貧、公共法律服務等與群眾日常生產生活密切相關的公共服務事項，逐步推進公共服務事項規范化。在此基礎上，例如重慶市政府在 2018 年已曬出 426 項市級公共服務事項目錄清單。對于智能化公共服務，從 2015 年 國務院辦公廳關于簡化優化公共服務流程方便基層

132、群眾辦事創業的通知16到 2021 年 3 月的 中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要17，國務院不斷在強調“互聯網+公共服務”的建設。作為政務服務中的“公共服務”事項，智能化有助于優化公共服務流程、方便基層群眾辦事創業。6.6.2對特殊群體的使用、融入、需求保有關注數據安全法 首次將智能化公共服務滿足老年人、殘疾人的需求單獨成條，充分體現了國家對弱勢群體需求的關注。但特殊群體僅限定于老年人、殘疾人，具體來看：對于老年人而言，2020 年疫情期間老年人難以運用智能終端設備出示“健康碼”，導致出行、就醫、進入公眾場合受阻的問題引發國人對 App 適老性的探

133、討。針對老年人面臨的“數字鴻溝”問題，國務院專門發布 關于切實解決老年人運用智能技術困難的實施方案要求“要適應統籌推進疫情防控和經濟社會發展工作要求，聚焦老年人日常生活涉及的高頻事項，做實做細為老年人服務的各項工作，增進包括老年人在內的全體人民福祉，讓老年人在信息化發展中有更多獲得感、幸福感、安全感?！边@也符合我國社會老齡化的發展需求。對于殘疾人群體而言，該群體是我國持續關注的弱勢群體，在智能科技的使用方面，殘疾人面臨的數字鴻溝與老年人類似，同樣需要給予足夠的重視。對于本次特殊群體未包括未成年人的問題，我們初步認為，對于未成年人，其數據安全問題偏向于保護未成年人的個人信息，而本條側重于公共服務

134、的智能化的適用性，偏重于主體享16 國務院辦公廳關于簡化優化公共服務流程方便基層群眾辦事創業的通知 一、：“數據開放共享。加快推進“互聯網+公共服務”，運用大數據等現代信息技術，強化部門協同聯動，打破信息孤島，推動信息互聯互通、開放共享，提升公共服務整體效能?！焙投?、“二、主要任務（一）全面梳理和公開公共服務事項目錄。各地區、各部門要根據法律法規規定，結合編制權力清單、責任清單、負面清單以及規范行政審批行為等相關工作，對本地區、本部門以及相關國有企事業單位、中介服務機構的公共服務事項進行全面梳理，列出目錄并實行動態調整。要以創業創新需求為導向，明確有關政策支持、法律和信息咨詢、知識產權保護、就

135、業技能培訓等綜合服務事項；以公共服務公平、可及為目標，明確公共教育、勞動就業、社會保障、醫療衛生、住房保障、文化體育、扶貧脫貧等與群眾日常生產生活密切相關的公共服務事項。要對所有公共服務事項逐項編制辦事指南，列明辦理依據、受理單位、基本流程、申請材料、示范文本及常見錯誤示例、收費依據及標準、辦理時限、咨詢方式等內容，并細化到每個環節。公共服務事項目錄和辦事指南等須通過政府網站、宣傳手冊等形式向社會公開?！?7 中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要 第十六章第一節：“聚焦教育、醫療、養老、撫幼、就業、文體、助殘等重點領域，推動數字化服務普惠應用，持續提升群

136、眾獲得感。推進學校、醫院、養老院等公共服務機構資源數字化，加大開放共享和應用力度。推進線上線下公共服務共同發展、深度融合，積極發展在線課堂、互聯網醫院、智慧圖書館等，支持高水平公共服務機構對接基層、邊遠和欠發達地區，擴大優質公共服務資源輻射覆蓋范圍。加強智慧法院建設。鼓勵社會力量參與“互聯網+公共服務”，創新提供服務模式和產品?！睌祿踩ê弦幹敢龜祿踩l文精讀042043受公共服務的便捷，避免因智能化反而給老年人和殘疾人等較難熟練使用智能設備的群體的日常生活造成障礙。未成年人一方面在公共服務的需求范圍較小，多限于科教文衛領域，另一方面在接受公共服務時也往往有監護人予以協助，且未成年人更易

137、學習和掌握智能化技術，可以較快使用智能化公共服務，因此與本條所需保護的對象并不一致。最后，結合 數據安全法 第十五條后半句“提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙”的規定，我們亦作出倡議，諸如“微信”“支付寶”等公眾服務也應參考本條規定，充分考慮老年人、殘疾人等特殊群體的需求。此類公眾服務與公共服務的主要區別，在于其需要考慮營利需求和開發成本，因此我們在此僅作呼吁，公眾服務參考本條，倡導其實現社會公益責任。6.7執法活動中的境內配合與境外提供報批數據安全法 通過第三十五條和三十六條對執法（司法）活動中的數據提供相關義務進行了規制，分別為基于

138、國家安全或偵查犯罪的數據調取配合義務和向外國司法或者執法機構提供數據的報批義務，并在第四十八條中列明違反該兩項義務的法律責任。第四章數據安全保護義務第三十五條基于國家安全或偵查犯罪的數據調取配合義務公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。第三十六條向外國司法或者執法機構提供數據的報批義務中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國

139、司法或者執法機構提供存儲于中華人民共和國境內的數據。第六章法律責任第四十八條違反基于國家安全或偵查犯罪的數據調取配合義務和向外國司法或者執法機構提供數據的報批義務的法律責任違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。違反本法第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，

140、并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。6.7.1基于國家安全或偵查犯罪的數據調取配合義務第三十五條以列舉方式限定公安機關、國家安全機關作為有權機構，且未通過“等”之類的表述進行兜底，似乎是嚴格限定調取數據的有權機構范圍。我們認為，在“依法維護國家安全或者偵查犯罪”的目的下，有權機關的范圍應適當擴張，例如，根據中華人民共和國人民檢察院組織法 第二十條人民檢察院行使下列職權：“（一）依照法律規定對有關刑事案件行使偵查權”，檢察院也有偵查的職權，在有關案件偵查中，檢察院也可能需要企業提供相關數據，但卻

141、被排除在 數據安全法規定的有權機構之外。此外，相關機構調取數據的目的被限定為“依法維護國家安全或者偵查犯罪”。但企業日常經營中更多面臨的是行政處罰相關的調查，本法并未對配合行政調查作出相關要求，但實踐中，在行政部門進行行政調查時，如對企業的賬務、人事等進行核查的權限，已經被規定在現行相關法律法規中，是行政執法部門應有的權限。從這個角度看，第三十五條不能被理解為其排除了非公安、國安機關之外其他有權機構的調查權（其中必然包含數據調取相關內容）。第三十五條公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合

142、。數據安全法合規指引數據安全法條文精讀044045最后，諸如 數據安全管理辦法（征求意見稿）第九條18、信息安全技術 個人信息安全規范（GB/T 35273-2020）第 9.5 條的披露豁免19等規定，是從個人同意豁免角度進行的規制，而第三十五條是基于有權機構依法調取的角度。有權機構限定于特定主體、特別目的，以及需要“經過嚴格的批準手續”，這是“把權力關進籠子”的表現，防止濫用“維護國家安全或者偵查犯罪”的名義，有利于權力運行的公開透明。6.7.2向外國司法或者執法機構提供數據的報批義務第三十六條的“淵源”規定，可見于刑法領域的 中華人民共和國國際刑事司法協助法，其第四條規定，非經中國主管機

143、關同意，外國機構、組織和個人不得在中國境內進行刑事案件調查、偵查、起訴、審判和執行等刑事訴訟活動，中國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助。20在理解第三十六條相關文義時，三個版本的條文對比頗具價值且易引發思考：18數據安全管理辦法（征求意見稿）第九條：以下情形中，收集、使用個人信息無需征得個人信息主體的授權同意：1）與個人信息控制者履行法律法規規定的義務相關的；2）與國家安全、國防安全直接相關的；3）與公共安全、公共衛生、重大公共利益直接相關的；4）與刑事偵查、起訴、審判和判決執行等直接相關的；5）出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本

144、人授權同意的；6）所涉及的個人信息是個人信息主體自行向社會公眾公開的；7）根據個人信息主體要求簽訂和履行合同所必需的；8）從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道；9）維護所提供產品或服務的安全穩定運行所必需的，例如發現、處置產品或服務的故障；10）個人信息控制者為新聞單位，且其開展合法的新聞報道所必需的；11）個人信息控制者為學術研究機構，出于公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理的。19信息安全技術 個人信息安全規范（GB/T 35273-2020）9.5 共享、轉讓、公開披露個人信息

145、時事先征得授權同意的例外：以下情形中，個人信息控制者共享、轉讓、公開披露個人信息不必事先征得個人信息主體的授權同意：a)與個人信息控制者履行法律法規規定的義務相關的；b)與國家安全、國防安全直接相關的；c)與公共安全、公共衛生、重大公共利益直接相關的；d)與刑事偵查、起訴、審判和判決執行等直接相關的；e)出于維護個人信息主體或其他個人的生命、財產等重大合法權益但又很難得到本人授權同意的；f)個人信息主體自行向社會公眾公開的個人信息；g)從合法公開披露的信息中收集個人信息的，如合法的新聞報道、政府信息公開等渠道。20 中華人民共和國國際刑事司法協助法 第四條：“中華人民共和國和外國按照平等互惠原

146、則開展國際刑事司法協助。國際刑事司法協助不得損害中華人民共和國的主權、安全和社會公共利益，不得違反中華人民共和國法律的基本原則。非經中華人民共和國主管機關同意，外國機構、組織和個人不得在中華人民共和國境內進行本法規定的刑事訴訟活動，中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助?！钡谌鶙l中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。歷次版本條文對比草案一審

147、稿草案二審稿正式稿第三十三條 境外執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。中華人民共和國締結或者參加的國際條約、協定對外國執法機構調取境內數據有規定的，依照其規定。第三十五條 中華人民共和國境外的司法或者執法機構要求調取存儲于中華人民共和國境內的數據的，非經中華人民共和國主管機關批準，不得提供；中華人民共和國締結或者參加的國際條約、協定有規定的，可以按照其規定執行。第三十六條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中

148、華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。在草案一審稿中，該條包括兩個完整的句子，第一句談“基于調取要求情形下的主管機關批準”，第二句談“國際條約、協定締結情形下的另行處理”，兩個句子中，都很清晰地限定為“境外調取境內數據”場景。在草案二審稿中，用分號將條文一切為二，前半段談“基于調取要求情形下的主管機關批準”，后半段談“國際條約、協定締結情形下的另行處理”，前后兩段所談內容也都清晰地限定為“境外調取境內數據”場景?；诖?，我們可以看到，草案一審稿和二審稿的行文句式表述是趨同的，都限定于“境外調取境內數據”場景，調取一詞暗含該項動作

149、的發起方為境外機構，不包括境內向境外的主動提供。然后來看正式稿，行文句式表述發生重大變化，第三十六條包括兩個完整句子，第一句談“國際條約、協定締結情形下的境外提供數據請求處理”，第二句則直抒胸臆“向境外司法執法機構提供境內存儲數據需要境內主管機關批準”。對比草案一審稿和二審稿的句式和標點使用，似乎無法得出正式稿第二句是否被限定于“境外調取境內數據”場景的相關結論。如作此嚴格理解，則不論是否基于“境外調取”請求或要求，境內的組織、個人在向外國司法或者執法機構提供存儲于境內的數據時，均需以獲取境內主管機關批準為前提，即，“向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”的前提條件應同時滿

150、足：1）存在受理依據：包括中國有關法律，或者中國締結或者參加的國際條約、協定，或者按照平等互惠原則；數據安全法合規指引數據安全法條文精讀0460472）外國司法或者執法機構主動提起提供數據的請求；3）必須經過中國主管機關批準。如果不能同時滿足上述三項條件而向外國司法或者執法機構提供存儲于中華人民共和國境內的數據，將違反本條規定。但如此嚴格的理解，似乎使得“向外國司法或執法機構提供數據”與“重要數據出境”面臨著同樣的“待遇”，較之于草案一審稿和二審稿確立的“基于調取請求而報批”進行了較大的收緊?；诖?，我們認為 數據安全法 第三十六條的條文釋義尺度有待澄清。更何況在企業運營過程中，當前境外司法或

151、者執法機構請求提供數據，或者境內主體需要主動提供數據的主要情形包括：（1）境內企業或其境外關聯主體涉訴，境外法院等司法機關請求境內企業提供相關證據材料；（2）境內企業或其境外關聯主體在境外上市，境外的證券市場管理機構如 SEC 進行合規調查；（3）境外企業簽訂相關適用境外反腐敗法等合同、協議，受到相關國家/地區的調查等。由于境內主體涉外業務、投資、融資活動已成為常態，上述 1）和 2）情形也是相關企業極有可能面臨的情形，但是更為常見的情形是企業為了應訴或者配合證券合規調查需要主動提交相關材料，在相關執法機構尚未主動請求境內主管機構予以協助的情況下，此類情形是否因為不符合“外國司法或者執法機構主

152、動提起提供數據的請求”這一項條件而不適用本條？如果第三十六條的含義是指數據從境內相關主體到境外的司法/執法機關都必須要滿足上述的三個條件（即按嚴格理解），那么在適用該條時就可能產生上述適用不配套的問題。此外，第三十六條中所稱“法律”，專指全國人大及常委會制定的法律，不應包括行政法規、部門規章等。這主要從條文本身進行解讀，與“法律”并列的是中華人民共和國締結或者參加國際條約、協定，后者是由全國人大會常務委員會決定、國家主席根據決定批準和廢除，參考后者的審批主體和程序，前者的“法律”應進行限縮解釋。同時這也是本條封堵境外長臂管轄的目的的應有之義。目前本條相關的“法律”包括 中華人民共和國國際刑事司

153、法協助法等。另外也需要注意到，第三十六條中所稱的“中華人民共和國主管機關”尚未明確，是否為一個統籌機關或機構，抑或是依據不同的司法/執法事項對應不同的主管機關尚不可知。我們初步的意見認為，多主管機關分管不同事項的數據出境。例如，就刑事司法協助，中華人民共和國國際刑事司法協助法 第五條21、第六條22規定司法部（沒有刑事司法協助條約，通過外交途徑）作為對外聯系機關，轉遞刑事司法協助請求；國家監察委員會、最高人民法院、最高人民檢察院、公安部、國家安全部等部門是開展國際刑事司法協助的主管機關,按照職責分工,審查轉遞的刑事司法協助請求。6.7.3違反第三十五條和第三十六條的法律責任與 數據安全法 第三

154、十五條和第三十六條相匹配的罰則條款為第四十八條。從三個版本的條文對比來看：歷次版本條文對比草案一審稿草案二審稿正式稿無相關規定第四十六條 違反本法第三十四條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款。違反本法第三十五條規定，未經主管機關批準向境外的司法或者執法機構提供數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處二萬元以上二十萬元以下罰款。第四十八條 違反本法第三十五條規定，拒不配合數據調取的，由有

155、關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。違反本法第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。21 第五條：中華人民共和國和外國之間開展刑事司法協助，通過對外聯系機關聯系。中華

156、人民共和國司法部等對外聯系機關負責提出、接收和轉遞刑事司法協助請求，處理其他與國際刑事司法協助相關的事務。中華人民共和國和外國之間沒有刑事司法協助條約的，通過外交途徑聯系。22 第六條：國家監察委員會、最高人民法院、最高人民檢察院、公安部、國家安全部等部門是開展國際刑事司法協助的主管機關,按照職責分工,審核向外國提出的刑事司法協助請求,審查處理對外聯系機關轉遞的外國提出的刑事司法協助請求,承擔其他與國際刑事司法協助相關的工作。在移管被判刑人案件中，司法部按照職責分工，承擔相應的主管機關職責。辦理刑事司法協助相關案件的機關是國際刑事司法協助的辦案機關,負責向所屬主管機關提交需要向外國提出的刑事司

157、法協助請求、執行所屬主管機關交辦的外國提出的刑事司法協助請求。數據安全法條文精讀049數據安全法合規指引048該條在草案二審稿時首次添加，相較于二審稿，正式稿在外國司法或者執法機構關于提供數據的請求及相應報批義務的罰則上有了較為明顯的加碼。（1）拒不配合數據調取的法律責任歷次版本變更對比草 案一審稿草案二審稿正式稿/第四十六條第一款 違反本法第三十四條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款。第四十八條第一款 違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門責令

158、改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。從上述歷次版本變更對比可以看出，數據安全法（草案二審稿）開始增加了拒不配合數據調取的法律責任，在此基礎上 數據安全法 正式稿未作實質性變更。數據安全法 第三十五條規定了公安機關、國家安全機關調取數據的條件和程序要求，并明確了有關組織、個人配合調取數據的義務。明確拒不配合數據調取的法律責任，有助于提高其威懾力。有關組織、個人應當配合該等情形下的數據調取，以避免承擔責令改正、警告、罰款的法律責任。（2）未經批準向境外司法或者執法機構提供數據的法律責任第三十五條公安機關、國家安全機關因依

159、法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。歷次版本變更對比草案一審稿草案二審稿正式稿/第四十六條第二款 違反本法第三十五條規定，未經主管機關批準向境外的司法或者執法機構提供數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處二萬元以上二十萬元以下罰款。第四十八條第二款 違反本法第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一

160、萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。從上述歷次版本變更對比可以看出，數據安全法（草案二審稿）開始增加了未經批準向境外司法或者執法機構提供數據的法律責任，在此基礎上 數據安全法 正式稿增加了“造成嚴重后果”情形下的法律責任。增加未經主管機關批準向外國的司法或者執法機構提供數據的罰則，為有關組織、個人拒絕外國不合理要求提供更為充分的法律依據。23新增罰則解決了 數據安全法 第三十六條規定下可能出現的難題，即面對外國司法機關或執

161、法機構提供數據的要求，企業以此條為依據進行對抗，但卻無法說明不報批的法律后果，可能導致對企業不利的認定。當然，未來尚需出臺配套規則來確保報批程序的規范化運行。就責任形式而言，一般情形下，法律責任包括警告和罰款；造成嚴重后果情形下，罰款額度大幅提高，并且可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。7.法律責任數據安全法 第六章（第四十四條至第五十二條）規定了開展數據活動的組織、個人、數據交易中介機構、國家機關、國家工作人員等主體違反 數據安全法 規定、未履行或未妥善履行法定義務需要承擔的相應的法律責任。在歷次版本變更中，法律責任發生了較大的變化，整體而言，法律責任大幅加重

162、，違法成本顯著上升。23 人民日報：建立數據分類分級保護制度（聚焦審議），載 http:/ 2021 年 7月 4 日。數據安全法合規指引數據安全法條文精讀0500517.1歷次版本對比解析歷次版本變更對比草案一審稿草案二審稿正式稿第四十二條 開展數據活動的組織、個人不履行本法第二十五條、第二十七條、第二十八條、第二十九條規定的數據安全保護義務或者未采取必要的安全措施的，由有關主管部門責令改正，給予警告，可以并處一萬元以上十萬元以下罰款，對直接負責的主管人員可以處五千元以上五萬元以下罰款；拒不改正或者造成大量數據泄漏等嚴重后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任

163、人員處一萬元以上十萬元以下罰款。第四十四條 開展數據處理活動的組織、個人不履行本法第二十六條、第二十八條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。第四十五條 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全

164、保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。從上述歷次版本變更對比可以看

165、出，數據安全法大幅提高了不履行數據安全保護義務的法律責任，具體體現在：1）大幅提高了罰款額度。從“一萬元以上十萬元以下”到“五萬元以上五十萬元以下”，從“五千元以上五萬元以下”到“一萬元以上十萬元以下”，從“十萬元以上一百萬元以下”到“五十萬元以上二百萬元以下”，從“一萬元以上十萬元以下”到“五萬元以上二十萬元以下”，四種不同情形下的罰款額度均大幅提高。2）新增違反國家核心數據管理制度的法律責任，罰款下限提高至二百萬元，上限提高至一千萬元。國家核心數據與國家主權、安全和發展利益密切相關，因此非常違法事由對應法律責任法律條文數據處理活動存在較大安全風險約談，要求整改，消除隱患第四十四條不履行第

166、27 條、第 29 條、第 30條數據安全保護義務一般情形 企業 改正 警告 5-50 萬元罰款 直接負責的主管人員和其他直接責任人員 1-10 萬元罰款第四十五條有必要增加其對應的法律責任，并且規定較重的法律責任，以更好地威懾潛在違法行為和處置違法行為。罰款下限提高至二百萬元，上限提高至一千萬元，足以體現立法態度。此外，還增加了“構成犯罪的，依法追究刑事責任”的規定，進一步強化其威懾力和影響力。3）擴大了處罰對象的范圍。在不履行數據安全保護義務的一般法律責任情形下，從草案二審稿開始就已經將“其他直接責任人員”納入進來，擴大了處罰對象的范圍。4）大幅加重了責任形式。在拒不改正或者造成大量數據泄

167、露等嚴重后果的加重情形下，從草案二審稿開始就新增規定“可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照”，大幅加重了責任形式。7.2法律責任梳理為便于理解與快速查閱，我們按照違法事由、對應法律責任和法律條文的形式對數據安全法項下的法律責任進行了梳理，具體如下表所示：數據安全法合規指引數據安全法條文精讀052053違法事由對應法律責任法律條文不履行第 27 條、第 29 條、第 30 條數據安全保護義務嚴重情形24 企業 50-200 萬元罰款 暫停相關業務 停業整頓 吊銷相關業務許可證或者吊銷營業執照 直接負責的主管人員和其他直接責任人員 5-20 萬元罰款第四十五條特別嚴重

168、情形25 企業 200-1000 萬元罰款 暫停相關業務 停業整頓 吊銷相關業務許可證或者吊銷營業執照 構成犯罪的，依法追究刑事責任違反第 31條規定，向境外提供重要數據一般情形 企業 改正 警告 10-100 萬元罰款 直接負責的主管人員和其他直接責任人員 1-10 萬元罰款第四十六條情節嚴重 企業 100-1000 萬元罰款 暫停相關業務 停業整頓 吊銷相關業務許可證或者吊銷營業執照 直接負責的主管人員和其他直接責任人員 10-100 萬元罰款24拒不改正或者造成大量數據泄露等嚴重后果。25違反國家核心數據管理制度，危害國家主權、安全和發展利益。數據交易中介機構未履行第三十三條規定的義務

169、企業 改正 沒收違法所得 處違法所得 1-10 倍罰款 沒有違法所得或者違法所得不足 10 萬元的，處 10-100萬元罰款 暫停相關業務 停業整頓 吊銷相關業務許可證或者吊銷營業執照 直接負責的主管人員和其他直接責任人員 1-10 萬元罰款第四十七條拒不配合數據調取 企業 改正；警告；5-50 萬元罰款 直接負責的主管人員和其他直接責任人員 處一萬元以上十萬元以下罰款第四十八條未經主管機關批準向外國司法或者執法機構提供數據一般情形 企業 警告；10-100 萬元罰款 直接負責的主管人員和其他直接責任人員 1-10 萬元罰款嚴重情形26 企業 100-500 萬元罰款 暫停相關業務 停業整頓

170、吊銷相關業務許可證或者吊銷營業執照 直接負責的主管人員和其他直接責任人員 5-50 萬元罰款26造成嚴重后果。違法事由對應法律責任法律條文數據安全法實務指引055數據安全法合規指引054國家機關不履行數據安全保護義務處分直接負責的主管人員和其他直接責任人員第四十九條國家工作人員玩忽職守、濫用職權、徇私舞弊處分第五十條竊取或者以其他非法方式獲取數據，開展數據處理活動排除、限制競爭，依照有關法律、行政法規的規定處罰第五十一條給他人造成損害承擔民事責任第五十二條違反治安管理治安管理處罰違反治安管理追究刑事責任通過上述表單梳理可以看出，罰款金額動輒上百萬元甚至最高可達 1000 萬元，整體而言數據安全

171、違法的法律責任較為嚴苛，違法成本比較高昂。對此，建議企業予以高度重視，深入學習、研究和理解數據安全法的規定，并結合本指引“二、數據安全法實務指引”部分的相關內容，盡快妥善開展數據安全合規安排，以降低數據安全違規的風險，避免吞下數據安全違法違規的苦果。違法事由對應法律責任法律條文網絡安全法詞頻圖數據安全法實務指引057數據安全法合規指引056二、數據安全法實務指引數據安全法 第四章以專章的形式規定了企業在開展數據處理活動中的數據安全保護義務，主要包括建立健全全流程數據安全管理制度、組織開展數據安全教育培訓、采取技術措施和必要措施、加強風險監測及應對、應對數據安全事件、重要數據處理活動的風險評估與

172、出境安全管理、數據來源審核、依法取得行政許可等，這些都構成企業最為直接的合規義務來源，因此本部分根據不同的主題與維度，對企業的主要數據合規義務進行介紹與分析。1.網絡安全等級保護及其延伸第四章“數據安全保護義務”開篇即明確了利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上履行相關數據安全保護義務。這表明 數據安全法再次突出強調網絡安全等級保護制度的基礎地位，對于企業而言，落實等級保護管理工作仍將是企業開展數據安全工作的首要重點。數據安全法 第二十七條在出臺過程中，自草案二審稿開始加入了網絡安全等級保護制度的要求。在正式稿出臺時，將網絡安全等級保護制度的實施對象從所有的數

173、據處理主體調整為“利用互聯網等信息網絡開展數據處理活動”的主體，一方面更符合 網絡安全法 對網絡安全等級保護制度的實施要求，另一方面也符合權責一致與適當性要求。數據安全法 第二十七條的歷次修訂情況如下：第二十七條開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。數據安全法實務指引059數據安全法合規指引058歷次版本條文對比草案

174、一審稿草案二審稿正式稿第二十五條 開展數據活動應當依照法律、行政法規的規定和國家標準的強制性要求，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。重要數據的處理者應當設立數據安全負責人和管理機構，落實數據安全保護責任。第二十六條 開展數據處理活動應當依照法律、法規的規定，在網絡安全等級保護制度的基礎上，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。第二十七條 開展數據處理活動應當依照法律、法規的規定，建立健

175、全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。就網絡安全等級保護制度本身而言，其前身為信息系統安全等級保護制度，由 信息安全等級保護管理辦法 關于開展全國重要信息系統安全等級保護定級工作的通知 關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知 關于進一步推進中央企業信息安全等級保護工作的通知 等具體的規定和文件規范，被稱為等保1.0 時代。在 網絡安全法實施后

176、，國家對網絡安全等級保護制度提出了新的要求，開啟等保 2.0 時代。1.1網絡安全等級保護制度的內涵等保 2.0 時代的網絡安全等級保護制度源于網絡安全法第二十一條的規定，全國人大常委會法工委經濟法室副主任楊合慶主編的 中華人民共和國網絡安全法解讀 中，對于 網絡安全法第二十一條所列的五項安全保護義務解讀為：（1）內部安全管理制度，是網絡運營者制定的有關網絡安全管理組織架構、人員配備、行為規范、管理責任的規則；操作規程是網絡運營者制定網絡安全法 第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，

177、防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。的有關人員在操作設備或辦理業務時應當遵守的程序或者步驟。安全管理制度和操作規程規定的每一項具體制度、每一個操作步驟都應當有具體的責任人；（2）網絡運營者應當依照法律、行政法規及網絡安全等級保護制度的規定，切實采取技術防范措施，從技

178、術上防范計算機病毒和網絡攻擊、網絡侵入等網絡安全風險。例如，安裝防病毒軟件、網絡身份認證系統、網絡入侵檢測系統、網絡風險審計系統等；（3）配備相應的硬件和軟件監測、記錄網絡運行狀態、網絡安全事件，按照規定留存相關網絡日志?？紤]到網絡日志的種類較多，哪些需要按照本條規定留存不少于六個月，需要根據維護網絡安全的實際來確定；（4）數據分類是指按照某種標準，例如重要程度，對數據進行區分、歸類。數據備份是指為防止系統故障或者其他安全事件導致數據丟失，而將數據從應用主機的硬盤或陣列復制、存儲到其他存儲介質。數據加密是指通過加密算法和密鑰將明文數據轉變為密文數據，從而實現數據的保密性。網絡運營者應當依照 網

179、安法 和有關法律、行政法規以及網絡安全等級保護制度的規定，采取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務，系指除 網安法規定外，其他法律、行政法規規定的網絡安全保護義務。在網安法出臺后，有關網絡安全等級保護制度的配套標準也逐漸發布，這些在 2019 年末2020 年初制定的一系列標準亦可以作為企業在實施網絡安全等級保護制度時的具體參考文件，標志著正式邁入等保 2.0 時代：1）GB/T 28449-2018 信息安全技術 網絡安全等級保護測評過程指南；2）GB/T 28448-2019 信息安全技術 網絡安全等級保護測評要求；3）GB/T 22239-2019 信息

180、安全技術 信息安全技術網絡安全等級保護基本要求；4）GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求；5）GB/T 25058-2019 信息安全技術 網絡安全等級保護實施指南；6）GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南。1.2網絡安全等級保護的定級與測評備案網絡安全等級保護所面向的對象，根據GB/T 22239-2019 信息安全技術 信息安全技術網絡安全等級保護基本要求，是指“由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統，主要包括基礎信息網絡、云計算平臺/系統、大數據應

181、用/平臺/資源、物聯網、工業控制系統和采用移動互聯技術的系統等?！币虼似髽I有多個系統的，需要對每一個涉及的系統分別進行定級保護。根據不同的系統在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等，由低到高被劃分為五個安全保護等級。根據GB/T 22240-2020 信息安全技術 網絡安全等級保護定級指南，數據安全法實務指引061數據安全法合規指引060網絡安全等級的五級保護等級與定級要素之間的具體關系為：受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、

182、公共利益第二級第三級第四級國家安全第三級第四級第五級根據上述定義，通過網絡提供服務的企業（包括但不限于運營線上商城、面向用戶提供注冊/登錄等業務功能等形式）很有可能被定級在第二級以上的保護等級，也就引申出很多企業所關心的，二級以上系統是否強制進行測評備案的問題。對于該問題，雖然 網絡安全法 第二十一條的條文本身并未嚴格要求企業必須進行網絡安全等級保護的測評備案，但 網絡安全等級保護條例（征求意見稿）第十八條第一款規定：“第二級以上網絡運營者應當在網絡的安全保護等級確定后 10 個工作日內，到縣級以上公安機關備案?！彪m然該條例目前仍處于征求意見稿階段，尚未正式頒布生效，尚不構成網絡運營者的法定義

183、務來源，但結合考慮到在等保 1.0 時代，信息安全等級保護管理辦法 就已經要求，“第二級以上的系統應當在安全保護等級確定后 30 日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。新建第二級以上信息系統，應當在投入運行后 30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續?！蔽覀冋J為二級以上系統的強制定級備案會成為未來趨勢，建議企業提前布局。同時需要注意的是，目前實操中存在部分屬地公安機關對企業提出等級保護定級備案要求的情形，特別是針對企業運營、管理的主要系統，該等要求將會更為強烈，在發生網絡安全風險事件時，是否已經完成網絡安全等級保護定級備案工作也會成為

184、相關機關開展追責工作的重要依據。1.3數據安全法 對網絡安全等級保護工作的延伸在網絡安全等級保護制度的基礎上，數據安全法 第二十七條在強調全流程數據安全管理制度、技術措施和其他必要措施保障數據安全的同時，第二十七條開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。進一步提出了企業組織開展數據安全教育培訓的義務。同時，該等數據安全

185、保護義務并不以利用互聯網等信息網絡為前提，換言之，即使是僅使用企業內部網絡開展數據處理活動的，仍需履行相應義務。因此 數據安全法 第二十七條是對原有網絡安全等級保護制度的進一步延伸，對于企業而言，需要進一步關注未來相關的數據安全標準與認證。2.全流程內部管理制度建設無論是數據安全法還是網絡安全法，均明文要求開展數據處理活動的企業需建立相應的全流程內部管理制度。結合企業自身數據處理活動的特性與企業組織機構的特點，這些內部制度可能包括安全責任組織管理、員工訪問權限管理、信息系統安全管理、應急事件預警管理等多個維度，并以此建立針對數據安全事件的監測預警機制、應急響應報告機制、日常培訓演練機制，提高自

186、身數據安全保護能力。2.1數據安全負責人和管理機構前文提及，網絡安全等級保護制度已經要求網絡運營者制定內部安全管理制度和操作規程，確定網絡安全負責人。在此基礎上：（1）網絡安全法第三十四條明確，“關鍵信息基礎設施的運營者”應當設置“專門”安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；（2）GB/T 35273-2020 信息安全技術 個人信息安全規范 第 11 條明確，“個人信息控制者”應任命個人信息保護負責人和個人信息保護工作機構，對于主要業務涉及個人信息處理且【合規指引總結】對于利用互聯網等信息網絡開展數據處理活動的企業，建議落實網絡安全等級保護制度的相關要求

187、，并盡可能完成相關系統的定級備案工作。第二十七條開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。網絡安全法 第三十四條除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查；（二）定期對從業人員進行網絡安全教育、技術

188、培訓和技能考核；（三）對重要系統和數據庫進行容災備份；（四）制定網絡安全事件應急預案，并定期進行演練；（五）法律、行政法規規定的其他義務。數據安全法實務指引063數據安全法合規指引062從業人員規模大于 200 人，或處理超過 100 萬人的個人信息或預計在 12 個月內處理超過 100萬人的個人信息，或處理超過 10 萬人的個人敏感信息的，應設立“專職”的個人信息保護負責人和個人信息保護工作機構；（3）數據安全法 第二十七條明確，“重要數據的處理者”應當明確數據安全負責人和管理機構，落實數據安全保護責任。此外，個人信息保護法（草案二次審議稿）也提出了類似的要求，其第五十二條規定，“處理個人信

189、息達到國家網信部門規定數量的個人信息處理者”應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。雖然“關鍵信息基礎設施的運營者”“重要數據的處理者”“處理個人信息達到國家網信部門規定數量的個人信息處理者”在法律概念上存在一定的差異與重合，但只要符合任一主體的定義，即需要設立相應的（數據）安全負責人和管理機構，其區別點只在于相應的（數據）安全負責人和管理機構是否應設為專職機構而不能兼任。如果未能履行該等規定，根據數據安全法 第四十五條的規定，未能設立數據安全負責人和管理機構的重要數據處理者，其自身及直接負責的主管人員、其他責任人員均可能面臨責令改正、給予警告、處以罰款

190、甚至關停業務、吊銷執照等行政處罰。在確定數據安全負責人和管理機構時，需要考慮權責一致原則，切實保障該等負責人及管理機構能夠切實履行數據安全保護能力，其整體管理組織架構通?？梢暻闆r考慮分為策略層、管理層、控制層、執行層等。2.2數據安全管理制度數據安全管理制度需要落實到各個業務環節與工作流程中，結合企業的整體實踐進行制定，為了保障管理制度的切實有效運行，通常需要明確相關工作的責任部門和責任人、文本清晰易懂，并依據規定實施獎懲措施。結合從產生/收集、傳輸、存儲、使用、共享/轉讓/委托處理、出境、查詢/更正/刪除等全生命周期的各項數據處理活動，根據相關法律法規的要求，并參考中國信息通信研究院（工第二

191、十七條開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。第四十五條開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露

192、等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬業和信息化部電信研究院）及阿里巴巴網絡技術有限公司共同編寫的 大數據時代數據安全防護通用最佳實踐等文件，我們認為，通?？蓮囊韵戮S度制定與企業實際情況相適應的安全管理制度。1）數據識別與分類分級管理數據分類是網絡安全等級保護制度中的明確義務，數據安全法第二十一條也已明確提出，國家建立數據分類分級保護制度。企業根據要求對數據進行分類分級，是實現數據有效管理和利用、保障數據安全的基礎，通?？删蛿祿愋停▽傩?、來源、內容等）進行識別

193、分類、根據數據安全等級劃分標準（重要性、敏感程度等）、明確對應數據的安全責任部門與責任人等。有關數據分類分級管理的內容，可進一步參閱本指引“二、數據安全法實務指引”第 4 部分“數據分類分級”的內容。2）賬號權限管理及審批流程完善的賬號管理與授權規則是防范內部人員竊取、泄露數據的有效措施之一，通常而言在賬號權限管理及審批流程制度中，將圍繞賬號類型/組別對每個賬號類型/組別設置不同的權限、設立權限定期復核與回收機制、明確權限審批的不同層級審批流程與負責人。在設置權限時，應依據最小必要原則，確保賬號權限與對應的實際工作需求相匹配。對于業務過程中產生的外包服務人員的賬號，更需設置更為嚴格的數據權限與

194、審批流程，并及時根據項目進展情況回收權限或關閉賬號。3）第三方數據交互安全管理在企業與第三方進行數據交互的場景下，無論是共享數據時的審查評估義務，還是接收數據時的來源合規要求，都建議企業從制度層面予以落實。具體而言，在開展數據共享活動前，對數據接收方的背景、資質、數據安全能力進行審查，特別是在涉及個人信息或重要數據時，還需要根據相關法律法規與國家標準的要求開展安全評估；在接收數據前，也需要對數據提供方的數據來源合法合規性進行審查。此外，建議企業進一步完善與第三方簽署的數據安全協議條款，明確雙方的數據安全責任與數據使用范圍。第二十一條國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程

195、度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。數據安全法實務指引065數據安全法合規指引0644）日志管理和安全審計網絡安全等級保護制度已經要求網絡運營者采取監測、記錄網絡運行狀態、網絡安全事件的技術

196、措施，并按照規定留存相關的網絡日志不少于六個月，數據安全法第二十九條亦再次強調開展數據處理活動應當加強風險監測。在此基礎上，企業需對各類賬號訪問、操作數據的行為進行日志記錄，并定期或自動開展審計，這是開展風險監測、認定違規行為所必備的要素。通常而言，在日志管理與安全審計制度中，可以包括日志記錄信息范圍、保存期限、審計周期等內容，并針對不同類別、等級的數據制定不同的日志管理與安全審計要求。5）災備與應急預案數據災備可以說是企業應對數據安全風險事件的最后底牌，網絡安全等級保護制度要求企業對重要數據進行備份，網絡安全法 對關鍵信息基礎設施的運營者也提出重要系統與數據庫的容災備份義務。在制定數據災備制

197、度時，通常需根據不同數據明確備份策略、備份頻率、恢復測試的頻率與范圍等內容。此外為了面對數據安全風險事件，企業可在原 網絡安全法 框架下的網絡安全事件應急預案基礎上，進一步制定數據安全事件應急預案。參考 網絡安全法解讀中關于網絡安全應急預案的解讀，數據安全事件應急預案通常也應包括：1）明確有關各方的分工和責任；2）明確各類事故的診斷方法和流程；事故場景應覆蓋電力故障、火情水災、人為破壞、病毒爆發、網絡攻擊、計算機硬件故障、操作系統故障、系統漏洞、應用系統故障以及其他各類與網絡相關的故障；3）制定網絡恢復流程和應急處置操作手冊；4）明確應急恢復過程中的關鍵狀態，并明確不同狀態的溝通和報告內容及等

198、級；5）明確應急相關人員的協調內容和溝通方式；6）明確系統重建步驟，確保網絡恢復正常業務處理能力?！竞弦幹敢偨Y】建議企業明確內部數據安全負責人與管理機構，并結合從產生/收集、傳輸、存儲、使用、共享/轉讓/委托處理、出境、查詢/更正/刪除等全生命周期的各項數據處理活動，制定與企業實際情況相適應的安全管理制度，通常包括數據識別與分類分級管理、賬號權限管理及審批流程、第三方數據交互安全管理、日志管理和安全審計、災備與應急預案等維度。3.數據資產盤點數據安全管理制度的制定，需結合企業的整體實踐，也就意味著制度制定的前提，是厘清數據處理的全生命周期，識別自身的主體定位，以業務實際情況出發完善內部制度。

199、因此在制定數據安全管理制度前，進行數據資產盤點的必要性與重要性不言而喻。此外，數據安全法 對于重要數據、核心數據等不同類型的數據提出了相對應的保護方式，例如第二十一條規定了國家建立數據分類分級保護制度，并由國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，第二十七條規定了重要數據處理活動需明確數據安全負責人和管理機構，第三十條規定了對于識別出的重要數據的處理活動需要定期開展風險評估等義務內容，第三十一條規定了重要數據的出境管理要求等。具體落實這些定義務，也需要建立在梳理數據資產、識別數據類型等前提上。數據資產盤點，簡言之就是需要明確企業自身具體處理的數據有哪些、其中涉及敏感數據/重要數

200、據的分布情況、數據安全保護現狀如何、面臨何種數據安全風險等事項，了解數據的不同維度以滿足不同的保護要求。3.1數據來源盤點數據來源的合法合規是企業構建自身數據資產過程中非常關鍵的第一步，企業可根據需要，將數據來源分為自身生產數據與來源于第三方的數據兩大類，其中來源于第三方的數據亦可分為來源于企業直接收集的數據、來源于第三方共享的數據、來源于數據交易平臺的數據、來源于政府提供的數據等多個維度。區分數據來源有助于判斷數據產生/收集過程中的合規要素，例如在企業直接收集數據第二十一條國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對

201、國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。第二十七條開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等

202、級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。第三十一條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用 中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。數據安全法實務指引067數據安全法合規指引066的場景下，根據數據安全法 第三十二條的規定，核實收集數據的合法性、正當性特定情形下的必要性就尤為重要。又例如，企業如存在從第三方間接收集數據的情形的，也需要核實第三方數據來源的合法性

203、、正當性，并通過數據安全盡調、合同約束管理等方式進行安全審查。如果存在違反收集數據的合法性、正當性和特定情形下的必要性原則的，根據數據安全法第五十一條的規定，結合近年來發生的例如網絡爬蟲、侵犯公民個人信息、數據權屬引發的不正當競爭等眾多案例，相應的違規責任可能進一步援引至 網絡安全法 反壟斷法 民法典 刑法 以及尚未出臺的 個人信息保護法等規定中。3.2數據類別識別除了本指引“二、數據安全法實務指引”第 4 部分“數據分類分級”另行展開闡述的數據分類分級問題外，企業需要根據數據類別情況，判斷是否存在法律、行政法規所規定的例如個人信息、重要數據等特殊數據類別，以識別特殊主體的額外合規要求。需要注

204、意的是，如果存在處理重要數據的情形，根據數據安全法的規定，企業還需滿足額外的合規要求，包括：1）根據第二十七條規定，重要數據的處理者需明確數據安全負責人和管理機構，落實數據安全保護責任（具體詳見本指引“二、數據安全法實務指引”第 2 部分“全流程內部管理制度建設”的內容）；2）根據第三十條的規定，重要數據的處理者應當按照規定對其數據活動定期開展風險評估，并向有關主管部門報送風險評估報告，風險評估報告的內容應當包括：本組織掌握的重要數據的種類、數量、收集、存儲、加工、使用數據的情況、面臨的數據安全風險及其應對措施等內容（具體的報送對象和審核流程，很有可能仍需在各地區、各部門確定的本地區、本部門以

205、及相關行業、領域的重要數據具體目錄后進一步明確和細化）；第三十二條任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。法律、行政法規對收集、使用數據的目的、范圍有規定的，應當在法律、行政法規規定的目的和范圍內收集、使用數據。第五十一條竊取或者以其他非法方式獲取數據，開展數據處理活動排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規的規定處罰。第三十條重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措

206、施等。3）根據第三十一條的規定，重要數據出境時，對于屬于關鍵信息基礎設施的企業需要根據網絡安全法的要求履行相關合規義務，對于其他主體則適用國家網信部門會同國務院有關部門制定的出境安全管理辦法。對于違反上述前兩項義務的，根據數據安全法 第四十五條的規定，“由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下

207、罰款。違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任?！睂τ谶`反上述第三項義務的，根據數據安全法 第四十六條的規定，“由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

208、”3.3安全現狀盤點為了滿足在數據使用過程中的合規要求，建議企業進一步梳理數據處理現狀，例如傳輸階段的數據加密情況、存儲階段的數據分區與去標識化措施、使用階段的場景與權限設置、共享階段的評估與數據溯源機制等，這些都將成為數據合規制度完善的基礎。3.4前置性行政許可梳理數據安全法 第三十四條特別規定，“法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可?！痹摋l規定雖然條文較為籠統，但聯想到目前在例如金融、個人征信等個別強監管領域內已經對數據處理企業提出資質要求，未來在智能汽車、醫療健康等更多行業內對數據處理活動提出資質要求很可能會成為一種趨勢。甚至再進一步，不排

209、除未來監管將所有領域內專門針對數據處理服務都納入范疇并創設行政許可的可能。企業需要結合自身所處行業的特性，關注這類行政許可的最新動態，避免出現無證經營的情形。第三十一條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用 中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。數據安全法實務指引069數據安全法合規指引0684.數據分類分級4.1根據目錄對重要數據加強保護企業應嚴格按照國家重要數據目錄和本地區、行業監管部門制定的重要數據具體目錄對重要數據加強保護。

210、4.1.1概述網絡安全法 第二十一條首次從法律層面提出了“數據分類”的要求。數據安全法第二十一條則進一步首次從法律層面確定了站在國家角度、自上而下的數據分類分級保護制度，將數據劃分為國家核心數據、重要數據和其他數據三種類型，并明確了從國家角度制定重要數據目錄、各地區、各部門制定重要數據具體目錄的分工監管架構，系對 中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035年遠景目標綱要 提出的“完善適用于大數據環境下的數據分類分級保護制度”要求的踐行和落實。4.1.2重要數據的定義對于重要數據的定義，數據安全法并未加以明確，可能有待后續配套立法加以明確，或者在后續制定的重要數據目錄中加以明確

211、?，F有可供參考的“重要數據”的定義主要出現在 數據安全管理辦法（征求意見稿）第三十八條，其將“重要數據”界定為“一旦泄露網絡安全法 第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（四）采取數據分類、重要數據備份和加密等措施；第二十一條國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌

212、協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護?！竞弦幹敢偨Y】作為數據分類分級、內部制度建設等的前置程序，企業需結合自身的整體實踐，厘清數據處理的全生命周期，識別自身的主體定位，明確企業自身具體處理的數據有哪些、其中涉及敏感數據/重要數據的分布情況、數據安全保護現狀如何、面臨何種數據安全風險等事項，了解數據的不同維度以滿足不同的保護要求?？赡苤苯佑绊憞野踩?、經濟

213、安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。重要數據一般不包括企業生產經營和內部管理信息、個人信息等?！贝送?，信息安全技術 數據出境安全評估指南（征求意見稿）第 3.5 條對“重要數據”也進行了定義，“相關組織、機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據（包括原始數據和衍生數據）”。4.1.3劃分行業重要數據的探索對于劃分行業重要數據，信息安全技術 數據出境安全評估指南（征求意見稿）附錄A“重要數據識別指南”界定了石油天然氣、煤炭、石化、電力、通信等 27個重點行業的重要數據；汽車數據安全管

214、理若干規定（征求意見稿）第三條界定了汽車行業的重要數據，包括：（1）軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據；（2）高于國家公開發布地圖精度的測繪數據；（3）汽車充電網的運行數據；（4）道路上車輛類型、車輛流量等數據；（5）包含人臉、聲音、車牌等的車外音視頻數據；（6）國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。上述規定，均系對行業重要數據劃分的有益探索，具有一定的參考意義。重要數據目錄有待國家數據安全工作協調機制統籌協調有關部門制定，重要數據具體目錄有待所屬地區、所屬主管部門制定?？梢灶A見的是，重要數據具體目錄，有助于

215、在統一重要數據目錄之上進一步提高本地區、本部門以及相關行業、領域重要數據保護的顆粒度和針對性，可執行性更好。4.2針對其他數據自主開展分類分級并予以相應保護對于重要數據以外的其他數據，企業亦需自主開展分類分級并給予相應程度的保護。4.2.1概述除重要數據外，企業還會處理大量的其他數據。對于其他數據，雖然無需像重要數據那樣給予加強保護，但仍應遵循分類分級制度的要求，自主對其他數據進行分類和分級，并給予相應程度的保護。4.2.2如何開展其他數據的分類分級從 數據安全法 第二十一條可以看出，數據分類分級的標準主要包括兩個維度，一個維度是數據的重要程度，另一個維度是發生數據安全事件的危害程度。對于數據

216、分類分級的原則和流程，信息安全技術 大數據安全管理指南（GB/T 379732019）第 7.1 條和第 7.2 條數據安全法實務指引071數據安全法合規指引070作出了規定，可以作為基礎性參考。我們也梳理了現行有效的、主要的涉及數據分類分級的行業性文件，具體如下：序號文件名稱發文單位生效時間1證券期貨業數據分類分級指引（JR/T 01582018）證券監督管理委員會2018-09-272工業數據分類分級指南（試行）（工信廳信發 20206 號）工業和信息化部辦公廳2020-02-273信息安全技術 大數據安全管理指南（GB/T 379732019）市場監管總局、國家標準化委員會2020-03

217、-014金融數據安全 數據安全分級指南（JR/T 0197-2020）中國人民銀行2020-09-135基礎電信企業數據分類分級方法（YD/T 3813-2020）工業和信息化部2020-12-09為了幫助企業更好地了解如何進行數據分類分級，我們以 工業數據分類分級指南（試行）（工信廳信發 2020 6 號）和 信息安全技術 大數據安全管理指南（GB/T 379732019）為例，在此梳理工業數據和電信行業數據分類分級的標準和分類分級的效果。（1）工業數據分類分級參考工業企業應結合生產制造模式、平臺企業結合服務運營模式，分析梳理業務流程和系統設備，考慮行業要求、業務規模、數據復雜程度等實際情況

218、，對工業數據進行分類梳理和標識，第二十一條國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。形成企業工業數據分類清單。我們先來看一下工業數據的

219、分類圖示：工業數據分類圖示工業企業工業數據分類研發數據域研發設計數據開發測試數據其他研發數據生產數據域控制信息工況狀態工藝參數系統日志其他生產數據運維數據域物流數據產品售后服務數據其他運維數據管理數據域系統設備資產信息客戶與產品信息產品供應鏈數據業務統計數據其他管理數據外部數據域與其他主體共享的數據其他外部數據平臺企業工業數據平臺運營數據域物聯采集數據知識庫模型庫數據研發數據其他平臺運營數據企業管理數據域客戶數據業務合作數據人事財務數據其他企業管理數據工業企業應根據不同類別工業數據遭篡改、破壞、泄露或非法利用后，可能對工業生產、經濟效益等帶來的潛在影響，將工業數據分為一級、二級、三級等 3 個

220、級別。我們來看一下工業數據的分級圖示：數據安全法實務指引073數據安全法合規指引072工業數據分級圖示數據級別對應條件（符合條件之一即可）防 護 措 施 要求數 據 開 放 共 享 要求三級數據易引發特別重大生產安全事故或突發環境事件，或造成直接經濟損失特別巨大應 能 抵 御 來自 國 家 級 敵對 組 織 的 大規 模 惡 意 攻擊原則上不共享，確需 共 享 的 應 嚴 格控制知悉范圍對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響二級數據易引發較大或重大生產安全事故或突發環境事件，給企業造成較大負面影響，或直接經濟損失較大應 能 抵 御 大規模、較強惡意攻擊在 做 好 數

221、據 管 理的前提下適當共享二級數據，充分釋放 工 業 數 據 的 潛在價值。但二級數據只能對確需獲取該 級 數 據 的 授 權機構及相關人員開放引發的級聯效應明顯，影響范圍涉及多個行業、區域或者行業內多個企業，或影響持續時間長，或可導致大量供應商、客戶資源被非法獲取或大量個人信息泄露恢復工業數據或消除負面影響所需付出的代價較大一級數據對工業控制系統及設備、工業互聯網平臺等的正常生產運行影響較小應 能 抵 御 一般惡意攻擊在 做 好 數 據 管 理的前提下適當共享一級數據，充分釋放 工 業 數 據 的 潛在價值給企業造成負面影響較小，或直接經濟損失較小受影響的用戶和企業數量較少、生產生活區域范圍

222、較小、持續時間較短恢復工業數據或消除負面影響所需付出的代價較?。?）電信行業數據分類分級參考依據支撐電信業務的業務支撐域系統（B 域）、網絡支撐域系統（O 域）、管理信息域系統（M域）、信令/DPI 數據系統、業務管理平臺等五大領域的數據，電信大數據分為以下四類：電信行業數據分類圖示類別子類及范圍（A 類）用戶身份相關數據（A1）用戶身份和標識信息（A1-1）自然人身份標識（A1-2）網絡身份標識（A1-3）用戶基本資料（A1-4）實體身份證明（A1-5）用戶私密資料（A2）用戶網絡身份鑒權信息（A2-1）密碼及關聯信息（B 類）用戶服務內容數據（B1）服務內容和資料數據（B1-1）服務內容數

223、據（B1-2）聯系人信息（C 類）用戶服務衍生數據（C1）用戶服務使用數據（C1-1）業務訂購關系（C1-2）服務記錄和日志（C1-3）消費信息和賬單（C1-4）位置數據（C1-5）違規記錄數據（C2）設備信息（C2-1）設備標識（C2-2）設備資料數據安全法實務指引075數據安全法合規指引074電信行業數據分類圖示類別子類及范圍（D 類）企業運營管理數據（企業運營管理數據依據其商業價值，分為“核心”、“重要”、“一般”、“公開”四類數據。）（D1）企業管理數據（D1-1）：企業內部核心管理數據（D1-2）:企業內部重要管理數據（D1-3）：企業內部一般管理數據（D1-4）：市場核心經營類數據

224、（D1-5）：市場重要經營類數據（D1-6）：市場一般經營類數據（D1-7）：企業公開披露信息（D1-8）：企業上報信息（D2）業務運營數據（D2-1）：重要業務運營服務數據（D2-2）：一般業務運營服務數據（D2-3）：業務運營服務數據（D2-4）：數字內容業務運營數據（D3）網絡運維數據（D3-1）：網絡設備及 IT 系統密碼及關聯信息（D3-2）：核心網絡設備及 IT 系統資源數據（D3-3）：重要網絡設備及 IT 系統資源數據（D3-4）：一般網絡設備及 IT 系統資源數據（D3-5）：公開網絡設備及 IT 系統資源數據（D3-6）：公開網絡設備及 IT 系統支撐據（D4）合作伙伴數據

225、（D4-1）：渠道基礎數據（D4-2）：CP/SP 基礎數據依據個人信息保護需求和電信業務運行需要，電信大數據分級如下表所示：電信行業數據分級圖示類別定位子類及范圍第 4 級極敏感級（A1-4）實體身份證明（A1-5）用戶私密資料（A2-1）用戶密碼及關聯信息（D1-1）企業內部核心管理數據（D1-4)市場核心經營類數據（D3-1）網絡設備及 IT 系統密碼及關聯信息（D3-2）核心網絡設備及 IT 系統資源類數據第 3 級敏感級（A1-1）自然人身份標識（A1-2）網絡身份標識（A1-3）用戶基本資料（B1-1）服務內容數據（B1-2）聯系人信息（C1-2）服務記錄和日志（C1-4）位置數據

226、（D1-2)企業內部重要管理數據（D1-5）市場重要經營類數據（D1-8）企業上報信息（D2-1）重要業務運營服務數據（D3-2）重要網絡設備及 IT 系統資源類數據（D4-1）渠道基礎數據（D4-2）CP/SP 基礎數據第 2 級較敏感級（C1-3）消費信息和賬單（C2-1）終端設備標識（C2-2）終端設備資料（D1-3）企業內部一般管理數據（D1-6）市場一般經營類數據（D2-2）一般業務運營服務數據（D3-3）一般網絡設備及 IT 系統資源類數據（D3-6）網絡設備及 IT 支撐數據第 1 級低敏感級（C1-1）業務訂購關系（C1-5）違規記錄數據（D1-7）企業公開披露信息（D2-3）

227、業務運營服務數據（D2-4）數字內容業務運營數據（D3-5）公開網絡設備及 IT 系統資源類數據數據安全法實務指引077數據安全法合規指引0765.安全監測與應急處置依托于數據安全法 第二十二條、第二十三條所規定的，在由國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制以及數據安全應急處置機制的基礎上，根據數據安全法第二十九條的規定，開展數據處理活動應當“加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告?！庇纱艘l企業的日常風險監測與數據安全事件的應急處置義務。根據對第

228、二十九條條文本身的解讀，可以看出前半句風險監測與補救，針對的是企業根據日常監測活動主動發現安全缺陷與漏洞的情形，而后半句發生數據安全事件時的處置與報告，針對的則是被動應對風險事件進行處置的情形。5.1風險監測與補救數據安全法所規定的“加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施”義務事實上與網絡安全等級保護制度中對于“采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”的要求存在一定的關聯，整體的體系建設也可以視為網絡安全法第五章內容的銜接與更新?！竞弦幹敢偨Y】對于分類分級，企業應予以高度關注。在盤點數據的基礎上，開展如下合規安

229、排：對于重要數據，待重要數據目錄和重要數據具體目錄出臺后，第一時間對照目錄，如本企業處理的數據位列該等目錄之中，應嚴格按照重要數據的保護要求進行保護。當然，對于已經開展并落實數據分類分級的企業而言，則需要根據重要數據目錄的頒布情況對已有數據分類分級體系作出針對性調整。對于重要數據以外的數據，企業可以參考既有數據分類分級文件的規定，根據數據安全法的規定和所屬行業的數據分類分級要求（如有），結合企業自身的實際情況，開展適合企業自身的、行之有效的數據分類分級。第二十二條國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險

230、信息的獲取、分析、研判、預警工作。第二十三條國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息。第二十九條開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。正是因為此處規定的是主動發現與補救，因此實踐中較難判斷是否完全履行了這一法定義務，建議結合等級保護制度中的相應標準與規范予以執行，保留定期檢測、審計、改進的記錄，以佐證這一義務的實際履行。5.2風險事件

231、處置與報告數據安全法 第二十九條使用了“數據安全事件”這一用語，與 網絡安全法 國家網絡安全事件應急預案等在先規定中所使用的“網絡安全事件”用語有一定差異，但究其實質又存在很大的重合，在具體細則未出臺前，我們可以沿用“網絡安全事件”的定義進行分析。國家網絡安全事件應急預案 將“網絡安全事件”定義為“由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統或者其中的數據造成危害，對社會造成負面影響的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件?！本唧w包括有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害

232、性事件和其他事件等類型，具體而言：1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。2）網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。4）信息內容安全事件是指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。5）設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞

233、事故和其他設備設施故障。6）災害性事件是指由自然災害等其他突發事件導致的網絡安全事件。7）其他事件是指不能歸為以上分類的網絡安全事件。就上述每項網絡安全事件的具體含義，亦可參考 GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南 中的相關定義。一旦發生數據安全事件，企業應根據事先制定的數據安全應急預案，采取相應的補救措施，并及時以電話、短信、郵件或信函等方式告知用戶，并按要求向行業主管監管部門和網信部門報告，履行相應的報告和通知義務。需要注意的是，以上解讀僅系結合 網絡安全法 國家網絡安全事件應急預案等的規定作出，在 數據安全法 及配套規定未對數據安全事件及相應的報告通知對

234、象作出明確定義數據安全法實務指引079數據安全法合規指引078的情況下，如何相應、如何處置、如何報告、如何通知仍存在實操難題。6.數據本地化存儲與出境前文提及，自 網絡安全法 實施以來，數據的本地化存儲要求與出境合規就一直備受關注，也是眾多跨國公司合規工作中的難點，數據安全法 第三十一條，則自草案二審稿開始，加入了關于重要數據出境的相關管理要求。此前關于這一問題的相關規定，主要以 網絡安全法為總領，輔以 GB/T 352732020 信息安全技術 個人信息安全規范等國家標準作為規范參考。在相關規范尚不健全的情況下，還存在 個人信息保護法（草案二次審議稿）個人信息和重要數據出境安全評估辦法（征求

235、意見稿）關鍵信息基礎設施安全保護條例（征求意見稿）信息安全技術 數據出境安全評估指南（草案）個人信息出境安全評估辦法（征求意見稿）數據安全管理辦法（征求意見稿）等一系列尚未生效的法規、指南和標準，一定程度上也代表監管部門對這一問題的看法。也正是因為相關規范尚不健全，而尚未生效的法規、指南和標準又將相應的合規要求進行了提升，實踐中對于哪些數據需要境內存儲、數據出境需要履行什么手續等問題存在較大的爭議。6.1原則上需要本地化存儲的數據在網絡安全法框架下，以境內存儲為原則的數據主要系指“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。作為網絡安全法的初期配套文件，

236、個人信息和重要數據出境安全評估辦法（征求意見稿）將境內存儲為原則的數據擴張為“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。在重要數據與個人信息分軌監管后，個人信息出境安全評估辦法（征求意見稿）取代了【合規指引總結】企業需加強數據安全的日常監測活動，在主動發現安全缺陷與漏洞的情形下及時采取補救措施，并在發生數據安全事件時，根據事先制定的數據安全事件風險應急預案的相關規定，及時采取相應措施。第三十一條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用 中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生

237、的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。上述 個人信息和重要數據出境安全評估辦法（征求意見稿），其中對于個人信息的出境，不再以本地化存儲為原則，而是以安全評估先于個人信息出境為原則。但在辦法未落地的情況下，相關的安全評估亦無法實際開展，因此我們認為實質上并未改變以本地化存儲為原則的現狀。個人信息保護法（草案二次審議稿）進一步規定了個人信息的境內存儲原則，規定“國家機關處理的個人信息”和“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中華人民共和國境內收集和產生的個人信息”需要以境內存儲為原則。在上述復雜規定之下，數據安全法更進一步，將

238、以境內存儲為原則的數據擴展為所有的“在中華人民共和國境內運營中收集和產生的重要數據”。結合上述法律、法規和文件，我們總結了現階段必須以境內本地化存儲為原則的數據，具體包括：1）在中華人民共和國境內運營中收集和產生的重要數據；2）關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息；此外，如企業涉及個人信息出境行為，或是國家機關處理的個人信息需出境的，根據目前的立法趨勢，亦建議將數據進行本地化存儲，以滿足日漸趨嚴的監管要求。6.2數據出境的前提與手續在 網絡安全法框架下，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”如需向境外提供的，需按照

239、“國家網信部門會同國務院有關部門制定的辦法”進行安全評估。個人信息和重要數據出境安全評估辦法（征求意見稿）則對“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”向境外提供的行為設置了安全評估的要求，并對“含有或累計含有 50 萬人以上的個人信息”“數據量超過 1000GB”“包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等”“包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息”“關鍵信息基礎設施運營者向境外提供個人信息和重要數據”等情形下的數據出境附加了“報請行業主管或監管部門組織安全評估”的要求。另外對于個人信息的出境，

240、也提出了“同意”這一前置要求。而后 個人信息出境安全評估辦法（征求意見稿）將個人信息的出境評估義務變更為由網絡運營者向所在地省級網信部門申報個人信息出境安全評估，但因為該辦法未生效，也尚不存在報請省級網信部門進行出境安全評估的渠道。個人信息保護法（草案二次審議稿）進一步將安全評估劃分為，如屬于“國家機關處理的個人信息”出境，需進行安全評估（未規定主體，從文義而言應由出境的國家機關自行評估）；如屬于“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者在中華人民共和國境內收集和產生的個人信息”出境，則需通過國家網信部門組織的安全評估。數據安全法實務指引081數據安全法合規

241、指引080此外，對于個人信息出境行為，除了通過國家網信部門組織的安全評估外，還設置了“按照國家網信部門的規定經專業機構進行個人信息保護認證”“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準”等可選方案，一定程度上放寬了個人信息出境問題的監管態勢。數據安全法 將“重要數據”的出境安全管理同樣進行了二分監管，即對于“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據”出境，直接援引 網絡安全法 的規定；但對于“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據”，則需進一步由國家網信部門

242、會同國務院有關部門制定出境安全管理辦法，這也填補了非關鍵信息基礎設施運營者的其他主體在向境外提供重要數據時的監管空白。結合上述法律、法規和文件，我們梳理了針對企業不同類型數據在出境時的不同前提與手續，具體包括：1）個人信息出境，在告知并征得信息主體個人的同意后，對于關鍵信息基礎設施的運營者，需按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的網絡運營者，在 個人信息保護法生效前，對于少量個人信息的出境，鑒于目前尚無正式的報請評估依據與途徑，在必須出境的情況下可借鑒實施內部的安全評估程序，并在 個人信息保護法生效后，還可能選擇“按照國家網信部門的規定經專業機構進行個人信息保護認

243、證”或“按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務，并監督其個人信息處理活動達到本法規定的個人信息保護標準”等其他方式；2）重要數據出境，對于關鍵信息基礎設施的運營者，需按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；對于一般的數據處理企業，需進一步由國家網信部門會同國務院有關部門制定出境安全管理辦法。同時需要注意的是，此處的數據出境問題并未包含關于數據對外共享的討論，但是考慮到數據出境往往伴隨著集團數據融合共享、公司對外共享數據等場景，因此亦很可能涉及到數據共享的相關規制，并進而引發新的合規要求。6.3數據出境安全評估考慮到目前國家網信部門尚未發布標準

244、合同，個人信息保護認證機構也未設立，相應的網信部門安全評估制度亦未成型，為了滿足日益趨嚴的監管要求，結合參考包括 信息安全技術 數據出境安全評估指南（草案）在內的眾多尚未正式生效的草案、指南、標準，我們建議有數據出境需求的企業可自行組織數據出境安全評估，一方面可以作為向監管部門證明履行相關數據保護義務的重要參考資料，另一方面也可以為未來的合規工作做好鋪墊，未雨綢繆。針對具體的數據出境場景，企業可從數據出境的合法正當、風險可控兩方面展開數據出境安全評估，具體而言：1）合法正當，包括數據合法性、授權同意的合法性，業務活動、履行合同的正當性等維度；2）風險可控，包括數據屬性（類型、敏感度、數量、范圍

245、、技術處理情況等維度）、收發雙方的技術和管理能力、數據接收方所在國家或地區的整體法律環境等維度。如評估結果顯示數據出境的安全風險為極高或高的，企業可進一步修正數據出境計劃，并對修正后的數據出境計劃重新進行評估。6.4違法向境外提供重要數據的法律責任歷次版本變更對比草案一審稿草案二審稿正式稿/第四十六條 違反本法第三十一條規定，向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執

246、照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。從上述歷次版本變更對比可以看出，數據安全法在正式稿增加了違法向境外提供重要數據的法律責任的規定，這里的法律責任主要適用于關鍵信息基礎設施運營者之外的數據處理者。對于關鍵信息基礎設施的運營者而言，因為 數據安全法第三十一條明確關鍵信息基礎設施的運營者的重要數據出境安全管理適用 網絡安全法 的規定，其法則亦主要指向 網絡安全法第六十六條的規定。對于關鍵信息基礎設施運營者之外的數據處理者，如果違反后續國家網信部門會同國務院有關部門制定的重要數據出境第三十一條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的

247、出境安全管理，適用 中華人民共和國網絡安全法的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。網絡安全法 第六十六條關鍵信息基礎設施的運營者違反本法第三十七條規定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。數據安全法實務指引083數據安全法合規指引082安全管理辦法的規定，需要承擔責令改正、警告

248、、罰款的法律責任，情節嚴重的，除罰款額度提高外，還可以一并責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。7.執法活動中的境內配合與境外提供報批作為此次立法特色之一，數據安全法通過第三十五條和三十六條對執法（司法）活動中的相關義務進行了規制，分別為基于國家安全或偵查犯罪的數據調取配合義務和外國司法或者執法機構關于提供數據的請求及相應報批義務，并在第四十八條中列明違反該兩項義務的法律責任。第四章數據安全保護義務第三十五條基于國家安全或偵查犯罪的數據調取配合義務公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有

249、關組織、個人應當予以配合。第三十六條向外國司法或者執法機構提供數據的報批義務中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據?！竞弦幹敢偨Y】從目前的監管趨勢而言，數據的境內本地化存儲已然成為主流，無論是個人信息、重要數據，在出境前均需根據要求完成安全評估。在通常情況下，數據出境還面臨著數據共享的相關風險，亦需引起足夠的合規關注。第六章法律責任第四十八條違反基于國家安全或偵查犯罪的數據調取配

250、合義務和向外國司法或者執法機構提供數據的報批義務的法律責任違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。違反本法第三十六條規定，未經主管機關批準向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬

251、元以上五十萬元以下罰款。第三十六條關于向外國司法或者執法機構提供數據的報批義務的規定，一定程度上可視為與 數據安全法同日通過的 反外國制裁法的延伸，但其適用范圍、報批程序等問題尚有待進一步細化和明確。關于執法活動的境內配合與境外提供報批問題的條文理解，可參見本指引“一、數據安全法條文精讀”第 6.7 部分“執法活動中的境內配合與境外提供報告”的相關內容，在此我們先提出如下建議供企業參考：1）關于應訴、配合調查等與企業存續、盈利緊密相關的行為，因為大體上危害性和數據數量較小，我們認為屬于可不予管制太嚴的數據活動，只有在符合 數據安全法 第二條第二款“損害國家安全、公共利益或者公民、組織合法權益”

252、的情形時才需要追究法律責任。但是涉事企業應當僅提供應訴所必須的最小數量的數據，一旦需要提交的數據數量過大，或者數據類型屬于個人信息、重要數據等特殊類型的，應當主動咨詢相關主管部門，或尋求中國法專家的意見，不應抱有僥幸心理。2）對于非出于應訴、配合企業調查等情形，原則上企業應當等待中國主管機構的批準再行提供，不得主動提供。3）企業不得向非司法機關/執法機關等主動提供數據。企業在收到相關機構的調查請求或者是關聯公司提出的配合義務時，應注意審查調取數據用途，以及請求調查的主體。4）對于最為隱秘而難以拒絕的關聯企業請求調查數據用于境外事務，我們認為即便是在存在境外制裁等危急情況下，關聯企業請求調取數據

253、配合調查，境內企業仍應審數據安全法實務指引085數據安全法合規指引084慎審核數據調查主體、相關的境外機構類型及職權、調取數據類型、數量和用途，評估提供數據的風險，在必要時應報告中國主管機構，征得批準后再行提供。綜上，境內企業應當盡快梳理涉外業務、投融資相關情況，對可能引起境外司法/執法機構請求提供數據的案件進行整理，同時應綜合本法和其他數據出境要求，綜合評估數據出境的風險和必要性，不得未經主管機關批準向外國司法或者執法機構提供數據。否則依據數據安全法 第四十八條，企業可能面臨著警告、罰款、責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等處罰，直接負責的主管人員和其他直接責任人

254、員也可能面臨罰款等處罰?！竞弦幹敢偨Y】首先，關于應訴、配合調查等與企業存續、盈利緊密相關的行為，因為大體上危害性和數據數量較小，我們認為屬于可不予管制太嚴的數據活動，只有在符合數據安全法第二條第二款“損害國家安全、公共利益或者公民、組織合法權益”的情形時才需要追究法律責任。但是涉事企業應當僅提供應訴所必須的最小數量的數據。一旦需要提交的數據數量過大，或者數據類型屬于個人信息、重要數據等特殊類型的，應當主動咨詢相關主管部門，或尋求中國法專家的意見，不應抱有僥幸心理。其次，對于非出于應訴、配合企業調查等情形，原則上企業應當等待中國主管機構的批準再行提供，不得主動提供。再次，企業不得向非司法機關/

255、執法機關等主動提供數據。企業在收到相關機構的調查請求或者是關聯公司提出的配合義務時，應注意審查調取數據用途，以及請求調查的主體。最后，對于最為隱秘而難以拒絕的關聯企業請求調查數據用于境外事務，我們認為即便是在存在境外制裁等危急情況下，關聯企業請求調取數據配合調查，境內企業仍應審慎審核數據調查主體、相關的境外機構類型及職權、調取數據類型、數量和用途，評估提供數據的風險，在必要時應報告中國主管機構，征得批準后再行提供。因此，境內企業應當盡快梳理涉外業務、投融資相關情況，對可能引起境外司法/執法機構請求提供數據的案件進行整理，同時應綜合本法和其他數據出境要求，綜合評估數據出境的風險和必要性，不得未經

256、主管機關批準向外國司法或者執法機構提供數據。否則依據數據安全法 第四十八條的規定，企業可能面臨著警告、罰款、責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等處罰，直接負責的主管人員和其他直接責任人員也可能面臨罰款等處罰。8.網絡安全險帶來的保障隨著全球信息化的快速發展，網絡安全問題已成為信息時代人類共同面臨的挑戰。根據世界經濟論壇（World Economic Forum）于 2021年 1月發布的 2021年全球風險格局報告，網絡安全風險是整個世界在今年及以后將面臨的一項重大風險。該報告指出，在日益復雜和頻繁的網絡犯罪面前，企業、政府和家庭網絡安全基礎設施或措施正在變得脆弱或

257、者過時，從而導致經濟混亂、財務損失、地緣政治局勢緊張和社會動蕩。應對網絡安全問題需要全球合作，實現經驗和優勢的共享，共同抵御日益全球化的網絡安全風險。中國是互聯網發展和數據化運用最前沿和最大的市場之一。中國企業站在了捍衛數字世界安全的最前端。保障企業網絡安全，包括探究硬件投資、管理執行、法律合規、金融工具等一系列的策略，將成為今日以及未來中國企業最重要的管理議題之一。8.1網絡安全領域的全球趨勢8.1.1網絡安全事件全球概覽網絡攻擊與安全防御相生相克，如同最鋒利的矛與最堅固的盾，從未間斷彼此的斗爭。盡管企業不斷加大網絡安全相關投入，但層出不窮的“創新”攻擊還是令企業面臨各種網絡風險。如本指引“

258、二、數據安全法實務指引”第 5 部分“安全監測與應急處置”所述，根據中央網信辦于2017 年印發的 國家網絡安全事件應急預案，網絡安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網絡安全事件等。網絡安全問題更新迭代極快，當今企業面臨的網絡安全事件常常是復合型問題。近期較為頻繁且典型的網絡安全事件都是以雙重勒索的形式呈現：即攻擊者會首先竊取大量敏感信息，然后對受害者的數據進行加密，并威脅受害者如果不支付贖金就會泄露這些數據。來自怡安的網絡安全研究小組的統計分析顯示，勒索軟件攻擊與數據泄露事件貫穿全年、威脅頻發，網來源：怡安網絡安全研究小組分析

259、整理，數據更新至 2021 年 5 月1日數據安全法實務指引087數據安全法合規指引086絡攻擊事件總量更是逐年顯著增加。以勒索軟件攻擊為例，2020 年第四季度案件數量較 2018年第一季度增長了486%。美國聯邦調查局（FBI）局長 Christopher Wray 在 2021 年 6 月 4 日接受 華爾街日報（the Wall Street Journal）時表示，網絡勒索的威脅堪比“911”事件后全球恐怖主義帶來的挑戰。遭遇勒索軟件攻擊時，企業不僅承受巨額勒索金威脅，還面臨數據泄露和營業中斷等損失。根據網絡安全公司 Emsisoft 的報告，2020 年美國境內至少發生 15000

260、 起勒索攻擊事件，帶來的直接經濟損失達 230 億美元，該金額是 2015 年的 43 倍。（1）2021 年開年至今，全球網絡安全攻擊情況未有緩解：（2）2021 年 3 月，黑客組織攻擊了美國最大的保險公司之一 CNA Financial，在 IT 網絡上部署了勒索軟件，并加密了15000 臺設備導致無法正常使用。CNA Financial 嘗試了兩周試圖自行恢復數據無果后，最終向黑客組織支付了高達 4000萬美元的贖金，這也是迄今為止全球支付最高的網絡攻擊勒索贖金；（3）2021 年 3 月，航空運輸數據巨頭 SITA 遭黑客襲擊，涉及到存儲在 SITA 旅客服務系統（Passenger

261、 Service System）服務器上的多家航空公司乘客數據。受波及的有馬來西亞航空、芬蘭航空、新加坡航空、韓國濟州航空等航空公司；（4）2021 年 5 月，美國東部最大的燃油管道殖民管道公司 Colonial Pipeline 被黑客組織 Darkside 勒索，勒索金額為 500 萬美金。該公司運營網絡被迫中斷，美國多州陷入無油可用的尷尬局面，美國政府宣布進入國家緊急狀態；（5）2021 年 5 月，黑客組織對全球最大的肉類供應商 JBS 發動攻擊，直接導致澳大利亞及美國肉食供應短缺。在國際重大勒索攻擊事件頻發的同時，中國境內遭受網絡安全攻擊的形勢也不樂觀。來自360 政企安全的數據顯

262、示，僅 2020 年一年，他們就接到并處理了3800 多起勒索軟件攻擊事件。安聯保險集團的數據顯示，中國每年遭受的網絡損失居亞洲第一，損失預計達到 600 億美元。8.1.2針對數據安全的監管變化2020 年 7 月，IBM Security 發布 2020 年數據泄露成本報告。報告顯示，2020 年全球數據泄露總條數約為 360 億條，數據泄露事件給企業造成的平均損失達 386 萬美元。全球主要國家和地區都在加強對應的監管。11）中國如本指引“一、數據安全法條文精讀”部分所述，數據安全法的出臺，把數據安全上升到了國家安全層面，基于總體國家安全觀，將數據要素的發展與安全統籌起來，為數字化轉型，

263、構建數字經濟、數字社會提供法治保障。違反該法案可能面臨高額罰款，甚至遭受停業整頓、吊銷營業執照等行政處罰。今年以來，監管部門針對數據安全的罰單也大幅增多，尤其是對金融機構的處罰。央行對保護客戶信息安全日益重視。據統計，截至 6 月 28 日，央行今年涉及客戶信息安全有關的罰單達 31 張，包括未經客戶同意查詢客戶信息、泄露客戶信息等，其中罰沒金額最高為 485 萬人民幣。2）歐盟歐盟于 2018 年 5月25日出臺的 GDPR（General Data Protection Regulation）通用數據保護條例，對企業的數據處理提出嚴格要求，也在全球掀起個人信息保護的浪潮。根據歐盟數據保護委

264、員會（Europe Data Protection Board，簡稱 EDPB）的回顧評估報告，自 2018 年 5 月到 2019 年 12 月 30 日，歐盟各國監管機構已對GDPR 下的違規行為進行了總計 785 次的行政罰款，罰款金額累計超過 4.2 億歐元。GDPR 生效以來，深刻影響歐盟乃至全球范圍內個人數據保護和數字經濟發展態勢。根據跨國律師事務所 DLA Piper 2021 年初公布的 GDPR 罰款和數據違規報告，報告顯示數據泄露事件共計 28.1 萬起，其中德國(77747 起)、荷蘭(66527 起)和英國(30536 起)向監管機構通報的數據泄露數量最多。DLA Pi

265、per 的報告發現數據泄露數量每年都在大幅增加。在 2020 年 1月 28 日至 2021 年 1月 27 日期間，平均每天有 331 份數據泄露事件，較上一年平均每天 278 起增加了19%。3）美國在美國聯邦層面，國會頒布了一系列的數據保護聯邦立法，在數據保護立法方面不斷推進。與歐盟統一立法模式不同，因涉及到各種法律問題，包括與州立法平衡問題、執法問題、憲法第一修正案以及個人訴訟等問題，美國聯邦層面并沒有統一的數據保護基本法，而是采取了分行業式分散立法模式，同時各州也形成了各自的數據保護法律框架（具體可參見本指引“附件一：域外數據立法梳理與統計”），部分州的法案亦規定了巨額的罰款標準。1

266、 來源：IBM2020 年數據泄露成本報告。數據安全法實務指引089數據安全法合規指引0888.1.3網絡安全事件帶來的損失1）除了可能遭受高額贖金的要求，網絡安全事故還會企業帶來許多其他的直接和間接損失：2）營收下降損失因網絡安全事故導致企業聲譽受損，消費者信心下降并引起營收下降；3）第三方損失（即民事法律責任損失）因數據泄露或產品責任造成第三方訴訟的相關抗辯費用、判決金額或和解金；4）緊急響應費用包括網絡安全事件的調查取證費用、公關費用及數據恢復相關費用；5）額外成本支出升級系統、更換設備及額外的人工成本，商譽損失致使獲客成本增加；6）監管部門罰款2數據泄露事故極有可能遭到各監管部門的懲罰

267、，如在歐盟GDPR 和美國 CCPA 的相關罰款及要求，否則可能面臨被關停的風險。8.2網絡安全險的作用及保障8.2.1風險轉移與處置所有風險一樣，處置網絡攻擊風險需要企業探究硬件投資、管理執行、法律合規等一系列的策略問題，從而獲得可管理、可迭代、可預期的系統化管理機制。在窮盡一切物理可能后，啟用風險對沖或者風險轉移的金融工具是現代企業網絡安全風險管理工作的最后一棒，避免訴諸風險自擔聽天命。網絡安全攻擊是網絡世界無法消除的存在，網絡安全保險能夠幫助企業在系統受到威脅時盡可能轉移和減輕財務和名譽損失，包括網絡安全事故造成的第一方損失及第三方損失。網絡安全險產品誕生于上個世紀 90 年代中期。自美

268、國修改立法要求將非法披露個人信息納入承保范圍后，該類金融工具保險解決方案開始逐漸盛行起來。當前網絡安全事件頻發，網絡安全險已經成為一個全球快速發展的熱點金融工具。2020 年全球網絡安全險市場保費規模高達 78 億美金，到 2025 年預測市場保費規模將可能增至 204 億美金。從 2013 年首個保障網絡安全和隱私的保險產品由外資保險公司引進中國以來，網絡安全險在中國迅速發展。諸多外資和中資保險公司紛紛試水拓寬保障范圍，越來越多的企業也從戰略重視走到了采購落地階段。8.2.2網絡安全險的保障范圍網絡安全險是專門用于應對數據隱私和安全風險的獨特險種，是企業用以轉移因數據泄2 監管風險轉移以當地

269、法律許可為準。露事件造成的財務和聲譽損失的金融補償機制，是企業用以穩定財務波動性的堅強后盾。不同保險公司的網絡安全險產品保障范圍各有特點，企業應該根據自身情況（企業網絡安全管理實務、企業經營規模、所在行業特性等）選擇適合的解決方案。通常情況下，網絡安全險承保因網絡安全事故造成的第一方損失及第三方損失，還能拓展彌補其他風險后果。（1）第一方損失1）數字資產損失，如數據或軟件項目的損壞或中斷造成的直接損失和恢復重置費用。2）網絡癱瘓造成的業務中斷損失。3）網絡敲詐的賠付和應對費用，如黑客威脅破壞或泄露公司重要數據信息。4）客戶通知費用，尤其是在法律監管要求下，公司必須通知客戶信息安全或泄露的義務。

270、5）應對和減輕聲譽損失的相關成本費用，數據泄密引起的違約風險或者客戶流失所產生的聲譽風險。（2）第三方損失1）安全和隱私泄露引發的相關調查，訴訟費用和民事賠償責任等。2）多重媒體責任，涵蓋由紙質或者電子媒體報道中的隱私泄露、過失或誹謗言論等所造成的訴訟費用和民事賠償風險。第三方數據丟失，包括由拒絕訪問、系統或軟件的中斷所面臨的客戶索賠風險。8.3來自保險顧問的建議：如何獲得更好的保障8.3.1保險顧問的作用考慮到網絡安全險的復雜性和專業性，聘請專業的網絡安全險保險顧問十分必要。目前網絡安全險在國內仍處于發展初級階段，一些外資險企及國內大型保險公司將海外成熟市場的網絡安全產品移植到國內，保單用語

271、及保險保障內容描述習慣也以繼承海外市場標準為主，熟悉國內外法律差異的專業網絡安全險保險顧問可協助企業就保單保障內容進行專業解讀。其次，各主要保險市場為了保持競爭力，提供差異化的網絡安全險解決方案。不同于常規保險產品，各主流保險公司的網絡安全險保單沒有同一標準格式。專業保險顧問將支持被保險企業更精確了解不同保險解決方案的保障內容差異，從而獲得符合企業需求的保障精確的風險轉移方案。然后但不是最后，網絡風險形式持續變化，新興風險不斷涌現，網絡安全風險的可保邊界數據安全法實務指引091數據安全法合規指引090也不持續變化迭代中。保險市場不斷調整營銷策略，引起此類保險合同保障內容及保費標準大幅波動，相較

272、于保險公司被保險人處于保險信息弱勢方。保險顧問作為被保險人委托的專業顧問，將支持被保險人獲得保險知識與專業的對等地位，從而協助企業在購買網絡安全險過程中，獲得最優議價能力和專業協商能力，定制符合可保風險總成本最佳的網絡風險管理方案。8.3.2網絡安全險建議保障額度及成本（1）保障額度網絡安全事故可能帶來的損失是難以估量的。目前各法域還沒有建立將網絡安全險作為轄區內的強制保險的制度實踐。企業根據自身風險情況、外部攻擊報告、第三方求償規模、同行業購買保險行為、財務預算等決策是否購買網絡安全保險以及合適的保障額度。專業的保險顧問可為企業提供詳實的專業報告和建議，輔助企業做出科學理性的決策：陳述企業自

273、身的網絡安全建設情況。企業自身的網絡安全建設情況對保險的購買決策有極大影響。隨著保險市場的收緊，自身網絡安全建設尚待完善的企業，可能面臨更高風險，需要購買更高額度；也可能會被保險公司視為高風險客戶，從而面臨保險費率偏高甚至拒保的問題。分析外部攻擊方。網絡安全攻擊整體呈現數量越來越多、規模越來越大且攻擊手段越來越先進的趨勢。2021 年，Colonial Pipeline、JBS、愛爾蘭醫療系統等事件的損失規模都高達數百萬甚至上千萬美元?，F有網絡安全險客戶都在尋求更高的保障額度。司法管轄需求。因司法管轄不同，各法域內第三方可訴損失金額差異巨大。根據目前的中國司法管轄情況，在中國第三方求償數量及規

274、模均相對較小。但隨著 網絡安全法、數據安全法 及即將出臺的 個人信息保護法“三駕馬車”的落地實施，企業面臨的來自第三方的民事損害賠償責任風險增加。對于有海外業務或海外客戶的企業而言，由于受制于歐洲和北美的司法管轄，其風險敞口較大。參考同行業購買保險行為。金融機構一直是受網絡攻擊最多的行業，也是購買額度最高的行業。近兩年來，除金融機構外，醫療行業和制造業也成為了最受黑客關注的目標。來自以上相關行業的網絡安全險保險合同問詢量及簽約量大幅增加。由于網絡安全險的特殊性，公司一般不被建議公開披露是否購買網絡安全險或者披露其網絡安全險具體保障信息。專業網絡安全險保險顧問可為企業提供同行業參保實踐的脫敏數據

275、，是了解全面的、合法的同行業購買實踐的專業渠道。持續更新保險行業市場數據。由于網絡風險的跨地域性和累積性等特殊狀況，保險公司的承保能力始終動態。通過持續更新保險行業市場信息，保險顧問輔助企業做出理性決策。（2）可保風險總成本保險費用并不是可保風險總成本的全部構成?？杀ｏL險總成本包括：保險顧問可為企業提供最優經濟效益的成本構成建議。根據可保風險的特質、保險市場的成熟度、企業自身管理能力、企業風險承受能力、財務目標等綜合因素，保險顧問為企業提供定性、定量的總成本分析。保險費用是可保風險總成本的關鍵構成。相較于傳統險種，網絡安全險費率相對高且隨市場浮動變化較大。由于網絡安全險還在不斷變化迭代中，不同

276、于常規格式合同，網絡安全險是高度定制化的保險合同。不同保險公司的報價方案由于保險市場供給行情、被保險企業自身網絡風險管理水平、所在行業、保障范圍、免賠額、等待期、理賠情況等因素差異，存在巨大差異（保障范圍差異大或者保險成本差異大）。企業采購網絡安全險在考慮價格時，需要特別重視保單保障范圍的差異。如果保險報價對應的保障水平無法覆蓋企業自身的風險管理需求，那么一份相對保費便宜的網絡安全險保單并不是一個好交易。在考慮價格因素的前提下，企業應尋求保險顧問的支持仔細比對和考核不同的保險報價方案的條款和條件。8.3.3如何完善對網絡風險的防護（1）加強網絡安全管理體系建設在當前環境下，無論是出于主動提高系

277、統安全還是被動抵御網絡攻擊的目的，加強網絡安全防御都是必要的。公司應該在網絡安全險保險顧問的幫助下，制定有效的網絡安全風險轉移策略，加強網絡安全風險的識別和分析，從多個環節做好風險防范及管理措施。需要考量的具體要素包括但不限于：數據安全法實務指引093數據安全法合規指引0921）公司現行的網絡安全體系是否有效？尤其是針對近期的大型風險，如數字化改革、第三方風險和勒索軟件風險？2）公司最需要保護的資產是哪些？3）公司面臨的網絡安全威脅主要有哪些？一旦發生，能否分類及量化公司的損失？4）公司是否了解主要的監管要求？一旦違反，面臨的懲罰是什么？5）公司是否對網絡安全團隊及員工有定期培訓？（2）通過保

278、險實現風險轉移網絡安全險構建復雜、理賠繁瑣，選擇充分了解這個特殊保險領域的專業保險顧問將有利于企業的業務成功。網絡安全險保險顧問有豐富經驗向公司進行廣泛的風險概況分析，了解如何為公司安排網絡安全險。一個詳盡而全面的關于公司運營、網絡安全管理、財務和治理的分析有助于確保公司將自己和其余同行區別開來。尤其是對處在高風險行業的客戶來說，做好對保險公司的展示有助于企業得到更好的條件和費率。選擇保險顧問時，需要考慮的要素主要有：1）保險顧問是否有安排大型網絡安全保險的經驗？是否了解時下網絡安全攻擊現狀及市場情況？2）決定保險項目限額和結構時，保險顧問是否可以提供深刻的市場見解和同行參考信息？3）保險顧問

279、如何確保自己隨時獲悉市場最新發展？是否和保險市場有緊密聯系？4）一旦發生理賠，保險顧問是否專注于以公司立場向保險公司提出索賠請求和申訴主張？5）保險顧問是否有全球性網絡？是否熟悉海外市場及監管制度？（3）制定專項緊急響應機制如本指引“二、數據安全法實務指引”第 2 部分“全流程內部管理制度建設”所述，一旦發生勒索或數據泄露事故，需要啟動緊急響應機制以快速高效地應對相應事件。緊急響應機制是企業整體風險管理極其重要的一部分，由公司管理層驅動。中怡的網絡安全風險專家擁有豐富相關經驗，能在制定風險管理政策和目標過程中提供充分支持。9.配套立法關注數據安全法作為數據領域的基礎性法律，確立了數據分類分級管

280、理、數據安全審查、數據安全風險評估、監測預警和應急處置等基本制度，明確了數據安全保護義務，對規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益和維護國家主權、安全和發展利益具有里程碑的意義?？梢哉f，數據安全法的出臺，開啟了我國數據安全保護的新篇章。但與 網絡安全法相類似，作為基礎性法律，數據安全法內容更多地系原則性規定，需要通過配套立法進一步提高其可執行性，也能方便企業更好地理解和把握 數據安全法 的規定。9.1配套立法明細根據我們對既往立法的觀察，法律一般會設置配套的行政法規。除了配套的行政法規之外，從 數據安全法 的規定中，我們梳理出了如下配套立法：序號配套立法內容

281、制定主體條文依據1有關數據開發利用技術、產品和數據安全相關標準國務院標準化行政主管部門和國務院有關部門第十七條2數據交易管理制度國家第十九條3數 據 分 類 分級保護制度重要數據目錄國家數據安全工作協調機制統籌協調有關部門第二十一條各 行業/領 域 重要數據具體目錄各地區、各部門4數據安全審查制度國家第二十四條5重要數據出境安全管理辦法國家網信部門會同國務院有關部門第三十一條6政務數據開放目錄國家第四十二條7軍事數據安全保護的辦法中央軍事委員會第五十四條Compliance Guidelines095數據安全法合規指引0949.2配套立法規劃配套立法不會來的太晚。根據國務院辦公廳關于印發國務院

282、 2021 年度立法工作計劃的通知（國辦發 2021 21 號），擬制定的行政法規中包含 數據安全管理條例，該條例由網信辦組織起草?？梢灶A見的是，作為 數據安全法 配套的行政法規，數據安全管理條例 對于數據安全法的細化和落地將發揮著重要作用。同時其本身的法律位階較高，其威懾力和影響力毋庸置疑。除了 數據安全管理條例外，后續其他配套立法應該也會陸續提上日程，將會從不同的角度對數據安全管理產生重要影響。企業應高度關注 數據安全法 后續的配套立法，及時跟進研究，有序開展合規安排，以未雨綢繆，防措手不及。個人信息保護法（草案二次審議稿）詞頻圖數據安全法合規指引Compliance Guidelines

283、096097!#$%&#(!#$%&($!#$%&!&$#()*+!,$-&.)$!#!$%!&#(!)%)$*!+,!&,#-,#.*!/0(!12(3,4(#/!56!/0(!1(5-7(83!9(-:7,;!56!5?!AB!*+$%&!&$#()*+!,$-&.$/0$!#$1#/23#45$6#2)73+($/0$8+9&$,-($-.&/0.$-0$0+$12!$3(4&5$&6$0+$30-5.457$8&400$&6$0+$*+4#050+$9-04&5-:$;&/:$?5$11=$-5.$4($+#AB$/#&:7-0.C$,+4%+$,4:$A$4/:50.$(45%$=$

284、3/0A#$11=)$!C6!/0(!#$%&()*#+$,-!,3!=!-5(D*!E0,;0!5#(!45!F5!/0,#G!CH!30574!:(I!C#!2(3-(;/!56!CHJ!-53,/,5#,#.!=#4!/0(!0(,.0/!,/!D,.0/!:(B!:*,+9;$!/$&5(#9$?!$.&*05$&33$2#&5$)9#*$/)*$0#!A$!KL=D,#,#.!CHJ!3-(;,6,;!;5#/(#/!=#4!/0(!E,4(!M2,34,;/,5#*!,/!D,.0/!:(B!&*5$&9;$/.9$/9$!#$7*#&$:#$=/9$;)5#5$+9$!#$;*#

285、&!$*+B#*45$()*#9!A$!J-(=G,#.!56!CHJ!D,7(3/5#(!3/=/3!=#4!/0(!4(.2(!56!=/(#/,5#*!,/!D,.0/!:(B!C&($&;#$7*+9;5$0/*!$9#.$;#9+)5$/9$!+5$9/73#$3&9$C&($.+33$*)3#$+!5$/.9$(E3!O.(#;F*!/0(!#$%&()*#+$,-!,3!P-$A-(4%$:-,$45$0+$64:.$&6$.-0-$-($,:$-($-5$4/�-50$:-,$45$0+$64:.$&6$5-04&5-:$(%#40BS?!H=G,#.!,/!=3!/0(!

286、E=/(230(4*!E0=/!E(!755G!:=;G!/5!,3!/0(!5/3/=#4,#.!.+/&)0&()*#+$,-T!U0=/!E(!755G!652E=24!/5!,3!/0(!1&)0234$5362)7#*23$1)2#&#*23$,-!5#!/0(!052,V5#?!/0(F!/5.(/0(2!652D!/0(!P/25,G=S*!(3;52/,#.!=#4!#=N,.=/,#.!/0,3!4,.,/=7!#(/E52G!(2=?!CHJ!=22,N=7!0=3!/2,.(2(4!/0(!0(=/(4!4,3;33,5#3!,#!/0(!E057(!35;,(/F!=#

287、4!(N(#!=/2=;/(4!.75:=7!=/(#/,5#*!:2,#.,#.!(L/(#3,N(!W(3/,5#3!/5!:(!;5#/(D-7=/(4?!U0=/!G,#43!56!(66(;/3!E,77!:(!2(37/(4!625D!3;0!#(E!7(.,37=/,5#I!X5E!30=77!N=2,53!3:M(;/3!;5-(!E,/0!/0(3(!;5#3(W(#;(3I!X5E!E,77!CH!:(!;50(2(#/!=#4!;50(3,N(!E,/0!/0(!;F:(23(;2,/F!=#4!-(235#=7!3(;2,/F!=#4!05E!;574!CH!:(!(D

288、:54,(4!=#4!=-7,(4!,#!;2,D,#=7!=#4!;,N,7!7=E!6,(743I!O77!G,#43!56!-25:7(D3!3(D!4,66,;7/!/5!:(!=#3E(2(4!,#!625#/!56!CHJ!YKK9OZ!=#4!JH9CYKH!2(.7=/52F!2(W,2(D(#/3*!7(=N,#.!;5#63,5#!5#7F?!U0=/!;574!E(!4(=7!E,/0!,/I!D3(/3$+9$03&;/9$E/*5$/0$(/95/3&!+/9A$!52!/0,3!7=E!E,/0!D,7(3/5#(!3/=/3*!E(!E,77!/2F!/5!4,3

289、=33(D:7(!=#4!2(=4!,/!,#/(#3,N(7F*!=#4!-/!652E=24!=3!D=#F!;5D-7,=#;(!.,4(7,#(3!=3!-533,:7(!/5!N=2,53!3:M(;/3!625D!/0(!-(23-(;/,N(!56!-2=;/,;=7!,D-=;/?!H0(!,#(!Y,4=#;(S!2(3-(;/,N(7F?!U(!05-(!/0=/!/0(!;5#/(#/!56!/0(!Y,4(7,#(3!;574!0(7-!2(=4(23!.(/!=!.7,D-3(!56!/0(!#$%&()*#+$,-!=#4!-25N,4(!=-25-2,=/(!2,

290、3G!E=2#,#.3!=#4!;5D-7,=#;(!2(;5DD(#4=/,5#3!652!=77!G,#43!56!3:M(;/3?!C#!=44,/,5#*!E(!0=N(!=735!=44(4!=/=;0D(#/3!=#4!=-(#4,;(3!=3!2(7(N=#/!,D-52/=#/!2(6(2(#;(3*!,#;74,#.!/0(!52.=#,V=/,5#!=#4!3DD=2F!56!(L/2=/(22,/52,=7!7(.,37=/,5#*!/0(!D,#4!D=-!=3!/5!;5D-=2,35#!56!-25N,3,5#3!#4(2!/0(!#$%&()*#+$,-*!/0(

291、!52.=#,V=/,5#!=#4!3DD=2F!56!45D(3/,;!;F:(23(;2,/F*!4=/=!-25/(;/,5#!=#4!-(235#=7!,#652D=/,5#!-25/(;/,5#!-25N,3,5#3!=#4!/0(!0,#(3(K#.7,30!;5D-=2,35#!56!;52(!2(.7=/,5#3?!U(!05-(!/0(!3-7(D(#/=/,5#!56!=-(#4,;(3!;=#!62/0(2!(#0=#;(!/0(!Y,4(7,#(3!/0(!=/2,:/(!56!P2(6(2(#;(!:55GS*!-25N,4,#.!2(=4(23!E,/0!/0(!;

292、5#N(#,(#;(!56!,#W,2F!=#4!3/4F,#.?!數據安全法合規指引Compliance Guidelines098099!$)(*+#,(-$)$(.#/01)2(3$4(-15#6)(!#!&#(!$%*!)%)$*!12(3,4(#/!+,!&,#-,#.!56!/0(!1(5-7(3!9(-:7,;!56!5?A!56!/0(!1(5-7(3!9(-:7,;!56!$&/2!#$&!$!#$GH!$#55+/9$/0$!#$!&9$GLGK$+5$#*#7,$2*/=)3;&!#$#00#(!+B#$#2!#=7#*$K$GLGKA$!#$%&()*$+,*-(&./

293、0)*H0(!#$%&()*#+$,-!;5#3,3/3!56!3(N(#!;0=-/(23!=#4!6,6/F6,N(!=2/,;7(3?!C/3!;0=-/(23!=#4!=2/,;7(3!;=#!:(!3DD=2,V(4!=3!65775E3B!#!$%&%!()*+,&-!.%/01!23%4&(+1!%56!7+&,)8(1!5D:,#(4!E,/0!52!#4(23/=#4,#.!56!/0(!#$%&()*#+$,-*!E(!(L/2=;/(4!G(FE5243!652!(=;0!=2/,;7(*!D=G,#.!/0(D!P3:0(=4,#.3S!=3!:(75EB!=/,5#=

294、7!J(;2,/F!O2/,;7(!=/,5#=7!J-(2N,3,5#!=#4!O4D,#,3/2=/,5#!JF3/(D!652!Q=/=!J(;2,/F!O2/,;7(!a!J-(2N,3,5#!=#4!O4D,#,3/2=/,5#!JF3/(D!652!Q=/=!J(;2,/F!,#!Z5;=7!Z(N(7!=#4!:F!C#43/2,(3!O2/,;7(!b!Q=/=!9,.0/3!=#4!C#/(2(3/3!125/(;/,5#!=#4!Q,.,/=7!K;5#5DF!Q(N(75-D(#/!O2/,;7(!12(7,D,#=2F!:7,.=/,5#3!652!=22F,#.!5/

295、!Q=/=!125;(33,#.!O;/,N,/,(3!O2/,;7(!c!J5;,=7!K#.=.(D(#/!56!Q=/=!J(;2,/F!O2/,;7(!$%!J(764,3;,-7,#(!56!Q=/=!J(;2,/F!C#43/2F!O2/,;7(!$!C#/(2#=/,5#=7!577=:52=/,5#!,#!Q=/=!J(;2,/F!O2/,;7(!$)!5D-7=,#/*!9(-52/!=#4!125;(33!=.=,#3/!_,57=/,5#!56!Q=/=!J(;2,/F!Z=E!=/,5#=7!5524,#=/,5#!56!Q=/=!Q(N(75-D(#/!=#4!J(;

296、2,/F!O2/,;7(!$A!CD-7(D(#/=/,5#!56!R,.!Q=/=!J/2=/(.F!=#4!17=#!652!/0(!Q(N(75-D(#/!56!Q,.,/=7!K;5#5DF!O2/,;7(!$!1:7,;!J(2N,;(3!C#/(77,.(#/,V=/,5#!=#4!J-(;,=7!Y25-!O2/,;7(!$a!125D5/,#.!Q=/=!Q(N(75-D(#/!=#4!d/,7,V=/,5#!=#4!9(3(=2;0!5#!Q=/=!J(;2,/F!H(;0#575.,(3!O2/,;7(!$b!52D7=/,5#!56!/0(!J/=#4=243!9(7=/

297、,#.!/5!Q=/=!Q(N(75-D(#/!=#4!d/,7,V=/,5#!H(;0#575.,(3*!1254;/3!=#4!Q=/=!J(;2,/F!O2/,;7(!$!5#3/2;/,5#!56!1:7,;!J(2N,;(3!JF3/(D!9(7=/,#.!/5!Q=/=!J(;2,/F!O2/,;7(!$c!Q=/=!H2=4,#.!e=#=.(D(#/!JF3/(D!O2/,;7(!)%!7/,N=/,5#!56!Q=/=!J(;2,/F!1256(33,5#=73!0=-/(2!Q=/=!J(;2,/F!JF3/(D!O2/,;7(!)$!Q=/=!7=33,6,;=/,5#!

298、=#4!X,(2=2;0,;=7!125/(;/,5#!JF3/(D!O2/,;7(!)!Q=/=!J(;2,/F!9,3G!O33(33D(#/*!9(-52/,#.*!C#652D=/,5#!J0=2,#.*!e5#,/52,#.*!=#4!K=27F!U=2#,#.!e(;0=#,3D!O2/,;7(!)!Q=/=!J(;2,/F!KD(2.(#;F!9(3-5#3(!e(;0=#,3D!O2/,;7(!)A!Q=/=!J(;2,/F!9(N,(E!JF3/(D!O2/,;7(!)!/:5#4!5#/257!9(7=/,#.!/5!Q=/=!J(;2,/F!O2/,;7(!)a!9(;,

299、-25;=7!9(/=7,=/,5#!9(7=/,#.!/5!Q=/=!J(;2,/F!0=-/(2!A!:7,.=/,5#3!652!Q=/=!O2/,;7(!)b!Q=/=!J(;2,/F!e=#=.(D(#/!JF3/(D!O2/,;7(!)!J5;,=7!9(3-5#3,:,7,/,(3!56!Q=/=!125;(33,#.!O;/,N,/,(3!O2/,;7(!)c!KD(2.(#;F!9(3-5#3(!e(=32(3!652!=22F,#.!5/!Q=/=!125;(33,#.!O;/,N,/,(3!J(;2,/F!125/(;/,5#3!O2/,;7(!%!9(.7=2!9,3G

300、!O33(33D(#/!=#4!9(-52/!:7,.=/,5#3!652!CD-52/=#/!Q=/=!125;(3352!O2/,;7(!$!J(;2,/F!e=#=.(D(#/!652!/0(!/:5#4!H2=#36(2!56!CD-52/=#/!Q=/=!O2/,;7(!)!Z=E67!125-(2!12,#;,-7(!652!Q=/=!577(;/,5#*!9(W,2(D(#/3!652!/0(!12-53(!=#4!J;5-(!56!Q=/=!577(;/,5#!=#4!d3(!O2/,;7(!:7,.=/,5#3!9(7=/,#.!/5!C#3/,/,5#!K#.=.(4!,#

301、!Q=/=!H2=#3=;/,5#!C#/(2D(4,=2F!J(2N,;(3!O2/,;7(!A!O4D,#,3/2=/,N(!Z,;(#3(!9(7=/,#.!/5!Q=/=!125;(33,#.!J(2N,;(3!O2/,;7(!9(/2,(N=7!=#4!=/,5#=7!J(;2,/F!52!C#N(3/,.=/,#.!2,D(3!O2/,;7(!a!:7,.=/,5#!/5!9(-52/!=#4!:/=,#!O-25N=7!9(7=/,#.!/5!125N,4,#.!Q=/=!/5!52(,.#!&4,;,=7!O/052,/,(3!52!Z=E!K#652;(D(#/!O.(#;,

302、(3!0=-/(2!Y5N(2#D(#/!Q=/=!J(;2,/F!=#4!Q,3;7532(!O2/,;7(!b!125D5/,#.!Q(N(75-D(#/!56!K7(;/25#,;!Y5N(2#D(#/!O2/,;7(!Q=/=!577(;/,5#!=#4!d3(!E,/0,#!/0(!J;5-(!56!J/=/52F!Q/,(3!O2/,;7(!c!Q=/=!J(;2,/F!e=#=.(D(#/!JF3/(D!56!Y5N(2#D(#/!Q=/=!O2/,;7(!A%!Y5N(2#D(#/!Q=/=!125;(33,#.!K#/23/D(#/!O2/,;7(!A$!Q,3;7532(!

303、56!Y5N(2#D(#/!Q=/=!O2/,;7(!A)!=/=75.(!56!Y5N(2#D(#/!Q=/=!652!Q,3;7532(!O2/,;7(!A!O-7,;=/,5#!56!Z=E!9(7=/,#.!/5!/0(!Q=/=!125;(33,#.!O;/,N,/,(3!=22,(4!5/!:F!/0(!2.=#,V=/,5#3!E,/0!/0(!#;/,5#3!56!O4D,#,3/(2,#.!1:7,;!O66=,23!=3!O/052,V(4!:F!Z=E3!=#4!9(.7=/,5#3!652!/0(!12-53(!56!1(2652D,#.!/0(,2!J/=/52F!Q

304、/,(3!=/,5#=7!52(!Q=/=!e=#=.(D(#/!JF3/(D!O2/,;7(!Aa!Z,=:,7,/F!9(7=/,#.!/5!/0(!_,57=/,5#!56!CD-52/=#/!Q=/=!/:5#4!H2=#36(2!J(;2,/F!e=#=.(D(#/!O2/,;7(!Ab!Z,=:,7,/F!9(7=/,#.!/5!C#3/,/,5#!K#.=.(4!,#!/0(!C#/(2D(4,=2F!J(2N,;(!56!Q=/=!H2=#3=;/,5#3!_,57=/,#.!9(7(N=#/!:7,.=/,5#3!O2/,;7(!A!Z,=:,7,/F!9(7=/,#.!/5

305、!d#-(2652D,#.!=/,5#=7!J(;2,/F!52!C#N(3/,.=/,#.!2,D(3!=#4!/0(!9(-52/,#.!:7,.=/,5#!E0(#!125N,4,#.!Q=/=!/5!52(,.#!&4,;,=7!52!Z=E!K#652;(D(#/!O/052,/,(3!O2/,;7(!Ac!Z,=:,7,/F!9(7=/,#.!/5!Y5N(2#D(#/!O.(#;,(38!=,72(!/5!1(2652D!,/3!Q=/=!J(;2,/F!125/(;/,5#!:7,.=/,5#3!數據安全法合規指引數據安全法條文精讀102103!O2/,;7(!%!Z,=:,7

306、,/F!9(7=/,#.!/5!Y5N(2#D(#/!#;/,5#=2F!E05!#(.7(;/3!0,3f0(2!4/,(3*!=:3(3!0,3f0(2!-5E(2!52!(#.=.(3!,#!D=7-2=;/,;(!652!-(235#=7!.=,#3!O2/,;7(!$!Z,=:,7,/F!652!C77(.=7!Q=/=!125;(33,#.!O;/,N,/,(3!O2/,;7(!)!5#(;/,5#!,#!,N,7*!2,D,#=7!=#4!O4D,#,3/2=/,N(!Z,=:,7,/F!0=-/(2!b!J-7(D(#/=2F!125N,3,5#3!O2/,;7(!J(;2,/

307、F!125/(;/,5#!56!Q=/=!C#N57N,#.!J/=/(!J(;2(/3!=#4!Q=/=!125;(33,#.!O;/,N,/,(3!56!1(235#=7!C#652D=/,5#!,#!J-(;,6,;!O2(=!O2/,;7(!A!125/(;/,5#!56!e,7,/=2F!Q=/=!O2/,;7(!K66(;/,N(!Q=/(!25D!/0(!=:5N(!3DD=2F*!E(!;=#!3(!/0=/!/0(!#$%&()*#+$,-!;5N(23!7(.,37=/,N(!-2-53(*!3;5-(*!3-(2N,3,5#!=#4!=4D,#,3/2=/,N(!3F3/

308、(D*!4(6,#,/,5#!56!G(F!/(2D3*!,#43/2F!4(N(75-D(#/*!3F3/(D!;5#3/2;/,5#*!3-(;,6,;!5:7,.=/,5#3*!7(.=7!7,=:,7,/F*!(/;?!C/!,3!P;5D-2(0(#3,N(S!=#4!P3/2,;/S?!O3!/0(!6#4=D(#/=7!7=E!,#!/0(!6,(74!56!4=/=!3(;2,/F*!,/3!3(/,#.!/=G(3!:5/0!:2(=4/0!g;5#(;/,5#!E,/0!5/0(2!7=E3h!=#4!4(-/0!g7(=N,#.!255D!652!3:524,#=/(!7

309、=E!=#4!3-52/,#.!7(.,37=/,5#h!,#/5!=;5#/?!1!23.)0$&.4*56(%7)*$+,*8/).&9*1:!:!23.)0$&.4*56(%7)*O2/,;7(!$!56!/0(!#$%&()*#+$,-!(L-7,;,/7F!3/=/(3!,/3!7(.,37=/,N(!-2-53(?!C/!3/=2/3!625D!6,N(!-(23-(;/,N(3*!,#;74,#.B!$h!D7:-0!4=/=!-25;(33,#.!=;/,N,/,(3T!)h!3-67-#.$4=/=!3(;2,/FT!h!;#&0!/0(!4(N(75-D(#/!=#4!/,

310、7,V=/,5#!56!4=/=!Ah!;#&0%0!/0(!7(.,/,D=/(!2,.0/3!=#4!,#/(2(3/3!56!,#4,N,4=73!=#4!52.=#,V=/,5#3T!h!3-67-#.!/0(!35N(2(,.#/F*!3(;2,/F!=#4!4(N(75-D(#/!,#/(2(3/3!56!/0(!J/=/(?!H0(!2(N,3,5#3!,#!/0(!/(L/!56!O2/,;7(!$!56!/0(!#$%&()*#+$,-!,#!/02(!N(23,5#3!305EB!D*!+(3#$K$89*0$,-$*0$&3#&:$*3$2):&)$#2$)&;(4#&$

311、:#$;()3#&$:#$0&()*#+$)272#&$#9&$:&=&42$3:$06&;():$#9&$02=&)&*;3#+$0&()*#+$3:$:&=&427&3#4$*3#&)&0#0$26$#9&$%#&$!8&/-#4(&5$&6$*+#$E#(4&5($F4#(0$G#-60$3%&5.$G#-60$H664%4-:$E#(4&5$I#04%:$=$H0,3!Z=E!,3!(#=;/(4!,#!524(2!/5!3=6(.=24!4=/=!3(;2,/F*!-25D5/(!/0(!4(N(75-D(#/!=#4!/,7,V=/,5#!56!4=/=*!-25/(;/!/0(!

312、7(.,/,D=/(!2,.0/3!=#4!,#/(2(3/3!56!%404J5(!=#4!52.=#,V=/,5#3*!=#4!3=6(.=24!/0(!35N(2(,.#/F*!3(;2,/F!=#4!4(N(75-D(#/!,#/(2(3/3!56!/0(!J/=/(?$I#04%:$=$H0,3!Z=E!,3!(#=;/(4!,#!524(2!/5!#7:-0$.-0-$/#&%(457$-%04K404(*!.=2=#/(!4=/=!3(;2,/F*!-25D5/(!/0(!4(N(75-D(#/!=#4!/,7,V=/,5#!56!4=/=*!-25/(;/!/0(!7(.,/,

313、D=/(!2,.0/3!=#4!,#/(2(3/3!56!45.4K4.-:(!=#4!52.=#,V=/,5#3*!=#4!3=6(.=24!/0(!35N(2(,.#/F*!3(;2,/F!=#4!4(N(75-D(#/!,#/(2(3/3!56!/0(!J/=/(?$I#04%:$=$H0,3!Z=E!,3!(#=;/(4!,#!524(2!/5!2(.7=/(!4=/=!-25;(33,#.!=;/,N,/,(3*!.=2=#/(!4=/=!3(;2,/F*!-25D5/(!/0(!4(N(75-D(#/!=#4!/,7,V=/,5#!56!4=/=*!-25/(;/!/0(!7(.,

314、/,D=/(!2,.0/3!=#4!,#/(2(3/3!56!,#4,N,4=73!=#4!52.=#,V=/,5#3*!=#4!3=6(.=24!/0(!35N(2(,.#/F*!3(;2,/F!=#4!4(N(75-D(#/!,#/(2(3/3!56!/0(!J/=/(?!H0(!(L-2(33,5#3!2(D=,#!#;0=#.(4!,#!/0(!66,;,=7!_(23,5#!;5D-=2,#.!E,/0!/0=/!56!/0(!J(;5#4!Q2=6/?!5D-=2(4!E,/0!/0(!,23/!Q2=6/*!/0(!-#04%:$,#!66,;,=7!_(23,5#!=443!/

315、0(!-02=3(!P2(.7=/(!4=/=!-25;(33,#.!=;/,N,/,(3S?!e(=#E0,7(*!/0(!J(;5#4!Q2=6/!=#4!66,;,=7!_(23,5#!;0=#.(!/0(!E524!P;,/,V(#3S!,#!/0(!,23/!Q2=6/!,#/5!P,#4,N,4=73S?!2!,#/(2-2(/=/,5#!652!/0(!2(=35#3!56!/0(!=44,/,5#3!=#4!;0=#.(3!,3!=3!65775E3B!,23/*!P2(.7=/,#.!4=/=!-25;(33,#.!=;/,N,/,(3S!,3!/0(!3/=2/,#.!-5

316、,#/!652!7(.,37=/,5#?!C/!,3!=735!/0(!7(.,37=/,5#!.5=7!652!P-25/(;/,#.!4=/=!3(;2,/FS*!P-25D5/,#.!4=/=!4(N(75-D(#/!=#4!/,7,V=/,5#S*!P3=6(.=24,#.!/0(!7(.,/,D=/(!2,.0/3!=#4!,#/(2(3/3!56!,#4,N,4=73!=#4!52.=#,V=/,5#3S!=#4!P3=6(.=24,#.!#=/,5#=7!35N(2(,.#/F*!3(;2,/F!=#4!4(N(75-D(#/!,#/(2(3/3S!E2,/(#!,#!/0(!7

317、=E?!25D!/0,3!-(23-(;/,N(*!=44,#.!/0(!-02=3(!P2(.7=/(!4=/=!-25;(33,#.!=;/,N,/,(3S!E574!D=G(!/0(!7(.,37=/,N(!-2-53(!=2/,;7(!D52(!=;2=/(?!J(;5#4*!/0(!2(N,3,5#!56!/0(!(L-2(33,5#!625D!i;,/,V(#i!/5!i,#4,N,4=7i!=-(=23!/5!0=N(!:25=4(#(4!/0(!5:M(;/!-25/(;/(4!:F!/0(!7=E?!K33(#/,=77F*!3;0!2(N,3,5#!305E3!/0(!,#

318、/(#/,5#!56!;522(;/,5#?!O3!42=6/(4*!i,#4,N,4=738!2,.0/!/5!;5D-7=,#!=#4!2(-52/i!=-(=23!,#!=77!/02(!4,66(2(#/!N(23,5#3!56!/0(!#$%&()*#+$,-?!X5E(N(2*!/0(!(L-2(33,5#!i-25/(;/,#.!;,/,V(#3!7(.,/,D=/(!2,.0/3!=#4!,#/(2(3/3i!;=#5/!;5D-7(/(7F!;5N(2!i-25/(;/,#.!,#4,N,4=73!2,.0/!/5!;5D-7=,#!=#4!2(-52/i*!數據安全法合規指

319、引Compliance Guidelines104105!:(;=3(!/0(!;5#;(-/!56!i,#4,N,4=7i!,3!:25=4(2!/0=#!/0=/!56!i;,/,V(#i?!H0(2(652(*!/0(!66,;,=7!_(23,5#!;522(;/3!/0(!i;,/,V(#i!,#!/0(!=2/,;7(!,#/5!P,#4,N,4=7S?!H0(!4,66(2(#;(!:(/E(#!/0(!7(.,37=/,N(!-2-53(3!56!/0(!.+/&)0&()*#+$,-*!/0(!#$%&()*#+$,-!=#4!/0(!1&)0234$5362)7#*23$1

320、)2#&#*23$,-$A%&23:$!)6#$62)$.277&3#0B$,3!=735!E52/0!-5#4(2,#.B!*+$8BA#(%#40B$L-,$*+$G-0-$3%#40B$L-,$*+$;#(&5-:$M56&#-04&5$;#&0%04&5$L-,$N3%&5.$G#-60$6&#$8&50(O$I#04%:$=$H0(!.+/&)0&()*#+$,-$26$#9&$1&24&C0$D&(/4*$26$.9*3!g0(2(,#=6/(2!2(6(22(4!/5!=3!/0(!iZ=Eih!,3!652D7=/(4!652!/0(!-2-53(3!56!(#32,#.!;F

321、:(23(;2,/F*!3=6(.=24,#.!;F:(23-=;(!35N(2(,.#/F*!#=/,5#=7!3(;2,/F!=#4!-:7,;!,#/(2(3/3*!-25/(;/,#.!/0(!7(.,/,D=/(!2,.0/3!=#4!,#/(2(3/3!56!;,/,V(#3*!7(.=7!-(235#3!=#4!5/0(2!52.=#,V=/,5#3*!=#4!-25D5/,#.!/0(!0(=7/0F!4(N(75-D(#/!56!(;5#5D,;!=#4!35;,=7!,#652D=/,V=/,5#?!I#04%:$=$H0,3!Z=E!,3!(#=;/(4!,#!524(2

322、!/5!2(.7=/(!4=/=!-25;(33,#.!=;/,N,/,(3*!.=2=#/(!4=/=!3(;2,/F*!-25D5/(!/0(!4(N(75-D(#/!=#4!/,7,V=/,5#!56!4=/=*!-25/(;/!/0(!7(.,/,D=/(!2,.0/3!=#4!,#/(2(3/3!56!,#4,N,4=73!=#4!52.=#,V=/,5#3*!=#4!3=6(.=24!/0(!35N(2(,.#/F*!3(;2,/F!=#4!4(N(75-D(#/!,#/(2(3/3!56!/0(!J/=/(?!I#04%:$=!H0,3!Z=E!,3!652D7=/(4!652!

323、/0(!-2-53(!56!-25/(;/,#.!-(235#=7!,#652D=/,5#!2,.0/3!=#4!,#/(2(3/3*!2(.7=/,#.!-(235#=7!,#652D=/,5#!-25;(33,#.!=;/,N,/,(3!=#4!-25D5/,#.!/0(!2=/,5#=7!/,7,V=/,5#!56!-(235#=7!,#652D=/,5#?!O3!=652(D(#/,5#(4*!E(!:(7,(N(!/0=/!/0(!=44,/,5#!56!/0(!-02=3(!i2(.7=/(!4=/=!-25;(33,#.!=;/,N,/,(3i!D=G(3!/0,3!-#04%:

324、!D52(!=;2=/(!5#!7(.,37=/,N(!-2-53(?!RF!2(N,(E,#.!/0(!/(L/*!E(!;=#!3(!/0=/!/0(!-#04%:(!56!/0(!#$%&()*#+$,-!=2(!i/,.0/(2!,#!75.,;i!/0=#!/0(!;522(3-5#4,#.!-#04%:(!56!/0(!5/0(2!/E5!7=E3?!H0(!7=E!6,23/!2(.7=/(3!3-(;,6,;!=;/,N,/,(3!/5!=3;(2/=,#!3(;2,/F*!65775E(4!:F!/0(!4=/=!4(N(75-D(#/!=#4!/,7,V=/,5#!E,/0

325、!3(;2,/F!=3!-2(;5#4,/,5#?!C#!/0(!-(2!7(N(7!56!/05.0/3*!,/!65;3(3!5#!-25/(;/,#.!i7(.=7!,#/(2(3/3i?!e(=#E0,7(*!/0(!7(.=7!,#/(2(3/3!/0=/!,/!P-25/(;/3S!=#4!P3=6(.=243S!.2=4=77F!-25.2(33!625D!,#4,N,4=7!2,.0/3!/5!#=/,5#=7!,#/(2(3/3?!1:1:!8/).&9*Q(3-,/(!/0(!6=;/!/0=/!/0(!#$%&()*#+$,-!45(3!#5/!;5#/=,#!=!3-(

326、;,6,;!=2/,;7(!(7=:52=/,#.!/0(!P#(;(33,/FS!652!3;0!7(.,37=/,5#*!/0(!E057(!/(L/!56!7=E!,/3(76!0=3!=72(=4F!4(D5#3/2=/(4!/0(!#(;(33,/F?!66,;,=7!;5DD(#/3!5#!/0(!#(;(33,/F!56!652D7=/,#.!/0(!#$%&()*#+$,-!=2(!D=,#7F!625D!/E5!352;(3B!/0(!,#/(2-2(/=/,5#!56!2(7(N=#/!566,;,=73!42,#.!/0(!-25;(33!56!/0(!#$%&()*#+

327、$,-83!652D7=/,5#!=#4!/0(!566,;,=7!D(4,=!2(N,(E3?!#!$%&()*+,-./001*)2(.3-4,5(%6%-+.#!)!&#(!)%)%*!=/!/0(!)%/0!J(33,5#!56!/0(!J/=#4,#.!=/,5#=7!1(5-7(3!5#.2(33*!Z,!&#;0(#*!4(-/F!4,2(;/52!56!/0(!7(.=7!E52G!;5DD,/(!56!/0(!J/=#4,#.!=/,5#=7!1(5-7(3!5#.2(33*!(L-5#4(4!/0(!#(;(33,/F!56!652D7=/,#.!/0(!Q=/=!J(;2

328、,/F!Z=E!,#!/0(!,#/(2-2(/=/,5#!56!/0(!#$%&()*#+$,-$26$#9&$1&24&C0$D&$:#$*0$3#*23F0$/0*$0#)#&;*$)&02()&$!#$0&()*#+$*0$#9&$*3$2):3&$-*#9$#9&$)&G(*)&7&3#0$26$#9&$2=&)44$=*&-$23$3#*234$0&()*#+$-&$092(4:$0#)&3;#9&3$:#$0&()*#+$*7)2=&$#9&$3#*234$:#$0&()*#+$)2#&#*23$&66&#*=&4+$:&4$-*#9$#9&$3#*234$0&()*#+$)*0

329、H0$3:$944&3;&0$*3$#9&$323I#):*#*234$6*&4:$26$:#$3:$&)3&0#4+$06&;():$3#*234$02=&)&*;3#+$0&()*#+$3:$:&=&427&3#$*3#&)&0#0$#(/9$()&3#4+$#9&$*:&3#*#*&0$26$=)*2(0$#+&0$26$:#$0(/J�$)&$:*=&)0&$1)2&00*3;$#*=*#*&0$)&$274&K$%&()*#+$)*0H0$)&$23$#9&$)*0&$53$2):&)$#2$0#)&3;#9&3$:#$0&()*#+$*#$*0$3&00)+$#2$&0#/4*

330、09$3:$*7)2=&$=)*2(0$0+0#&70$3:$7&0()&0$#9)2(;9$4&;*04#*23$:+*$:#$0944$4+$3$*7$#9&$7*3$;(*:&$3:$0($092(4:$/&$&4&)#&:$7H*3;$:#$/&#&)$0&)=&$.9*3C0$&2327*$3:$02*4$:&=&427&3#$53$2):&)$#2$&30()&$:&=&427&3#$-*#9$0&()*#+$3:$)272#&$0&()*#+$-*#9$:&=&42$-&$7(0#$)&;(4#&$:#$#*=*#*&0$#9)2(;9$4&;*04#*23$*7$*3$2):&

331、)$#2$7&#$#9&$3&:0$26$#9&$:&=&427&3#$26$&I;2=&)37&3#$3:$*7$73;&7&3#$3:$0&)=*&$-&$!#!$%&#(#&)&*+%!+%!,)&)!#-.*&/!0)1!+2!&3#!4#+(5#67!8#(.95*-!+2!:3*%)!;,)2&?111%(-A+B-%?%(-?-CDECF?GDGHDI?G#-2-EDIJK2HFHK#99DCKGH)#LG2GHL)73&M5N!)-#77#J!GL!O.%#!GDGH!數據安全法合規指引Compliance Guidelines106107!092(4:$7H&$4&)$#9&

332、$)(4&0$)&4#*3;$#2$;2=&)37&3#$:#$0&()*#+$73;&7&3#$0+0#&7$3:$2$3:$=*;2)2(04+$:&=&42=/,5#=7!1(5-7(3!5#.2(33!56!0,#=!-:7,30(4!/0(!=2/,;7(!#$%&()*#+$,-E$%6&;():$!#$%&()*#+$1)272#&$!*;*#4$L2327+$!&=&427&3#$C/!4(/=,7(4!/0(!i,#(N,/=:7(!2(W,2(D(#/3i*!i5:M(;/,N(!#(43i!=#4!i,D-52/=#/!D(=32(3i!652!652D7=/,#.!/0

333、(!#$%&()*#+$,-!B!M/*=)3&!+9;$!#$%&!&$#()*+!,$-&.$+5$9#(#55&*,$0/*$5&0#;)&*+9;$9&!+/9&3$5#()*+!,A$!#$*0$3#*23F0$/0*$0#)#&;*$)&02()&$!#$0&()*#+$*0$#9&$)&23:*#*23$26$3#*234$0&()*#+$89&$!#$%&()*#+$,-$*7$62(0&0$23$0#)&3;#9&30$#9&$2=&)44$22):*3#*23$26$3#*234$:#$0&()*#+$-2)H$3:$&0#/4*09&0$/0*$0+0#&70$)&4#*3;$#2$:#$400*6*#*23$3:$9*&)9*4$73;&7&3#$:#$0&()*#+$)&=*&-$:#$0&()*#+$)*0H$00&007&3#$723*#2)*3;$3:$&)