環球律師事務所：2021年網絡安全與數據合規新規評論文章集錦（207頁）.pdf

1、2021年網絡安全與數據合規新規評論文章集錦環球律師事務所數據合規團隊編制2022年1月24日1目錄1.數據安全法正式出臺，企業合規紅線，你了解嗎？22.關鍵信息基礎設施安全保護條例要點解讀243.“隱私”與“個人信息”別傻傻分不清384.個人信息保護工作機構及負責人設置要求455.個人信息保護法八步走，落地路徑與實務解讀586.重要數據識別指南新版草案出臺，兼議十二項企業合規義務767.征信信息已成為保護重點暨同步解讀征信業務管理辦法878.互聯網信息服務管理辦法大修，信息安全監管釋放趨嚴信號1009.網絡交易監督管理辦法壓實平臺主體責任，企業未來該如何應對？10410. 境外上市中的網絡安

2、全審查10911. 面對網絡安全審查，中概股企業需做何準備？12212. 企業數據出境評估指引暨數據出境安全評估辦法（征求意見稿）解讀 13413. 蘋果將實施史上最嚴厲隱私保護要求，定向廣告的嚴冬真的來了？14714. 算法相關新型壟斷模式的法律風險16115. 從汽車數據安全管理若干規定探索汽車數據的合規與發展169附件一：互聯網信息服務管理辦法合規義務清單179附件二：網絡交易監督管理辦法合規義務清單194附件三：App收集使用個人信息企業自評估核對清單2021數據安全法正式出臺，企業合規紅線，你了解嗎？環球律師事務所孟潔 | 張淑怡 | 徐晨2【前言】隨著信息技術和生產生活緊密融合，各

3、行各業的數據迅猛增長，并匯聚融合，對經濟、社會和人民生活都產生了革命性的影響。數據安全已成為事關國家安全與社會經濟發展的重要課題?；诖?，2021年6月10日，第十三屆全國人大常委會第二十九次會議審議并通過了中華人民共和國數據安全法（以下簡稱“數據安全法”），并于2021年9月1日起施行。數據安全法共七章五十五條，與中華人民共和國網絡安全法（以下簡稱“網絡安全法”）、數據安全管理辦法（征求意見稿）（以下簡稱“數據安全管理辦法”）相比，有較大的創新和突破，從國家法律的層面，對于國家與數據活動實施者兩個角色，規定了一系列提升數據安全治理和數據開發利用水平的原則、制度與措施，落實主體責任；為適應電子

4、政務發展的需要，建立數據流通利用與安全管理的要求。正如新華社所評述，“制定數據安全法是維護國家安全的必然要求。數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全?！毕挛膶⑹紫冉榻B數據安全法相較于二審稿的修改之處與亮點，其后總結了數據安全法的合規要點，以期幫助企業了解立法精神，梳理合規義務，厘清基本紅線。數據安全法正式出臺，企業合規紅線，你了解嗎？3一、數據安全法正式稿相較于 二審稿的修改亮點（一）建立工作協調機制，完善數據安全領域治理體系數據安全法第五、六條明確了數據安全領域內治理體系的頂層設計，即中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究和制定重大方針政策，統籌協調國家

5、數據安全的重大事項和重要工作，建立國家數據安全工作協調機制；各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。工業、電信、自然資源、衛生健康、教育、國防科技工業、金融業等行業主管部門承擔本行業、本領域數據安全監管職責；并且，由公安機關和國家安全機關承擔其范圍內的監管職責；最后由國家網信部門統籌協調網絡數據安全的監督管理工作，這與國家網信部門的一貫職責與功能是配套和銜接的。從以上表述可以看出，相較于數據安全管理辦法和網絡安全法所涉及的監管部門權屬劃分，數據安全法既有保留也有突破。在網絡監管方面，數據安全法沿襲了“網信部門+公安部門+國務院其他下屬機構聯動”的監管體系，但值得注意

6、的是，數據安全法首次將數據安全全局決策統籌工作升格至中央國家安全領導機構，與國家安全法保持一致，從側面鞏固了數據安全在國家安全體系中的重要地位，以基本法成文化的方式將數據安全工作上升至國家安全最高監管和行動決策的層級。盡管我國近年來持續加快對數據以及個人信息保護方面的立法進度，比如民法典人格權編中對個人信息保護做出了原則性規定，出臺了包括網絡安全法數據安全管理辦法信息安全技術 個人信息安全規范等一系列法律法規、部門規章和國家標準，但仍然存在法律效力有限、規定分散、體系不完備的問題。數據安全法此次將數據安全集中、專門地反映在一部基本法中，完善了我國在數據保護領域的立法架構，也為后續配套文件的跟進

7、提供了堅實的基礎?？傮w來說，國家從戰略和規劃層面上重視數據的保護與應用，也意味著企業需要更加謹慎地處理數據，不但需從自身角度，還要從維護國家利益層面上履行數據安全保護義務、承擔社會責任，不得危害國家安全與社會、公共利益。（二）明確關系國家安全、國民經濟命脈等重要數據的重要性數據安全法第四條規定，維護數據安全，應當堅持總體國家安全觀。這一概念是以人民安全為宗旨，以政治安全為根本，以經濟安全為基礎，以軍事、文化、社會安全為保障，以促進國際安全為依托的全方位國家安全體系。這條規定呼應了國家安全法第二十五條所提出的，國家應建設網絡與信息安全保障體系，提升網絡與信息安全防護能力，維護國家網絡空間主權、安

8、全和發展利益。在各國數據博弈深化的國際背景下，主權已經不再局限于一國領土而是拓展至網絡空間中的數據和設施，數據要素已經成為國家基礎性和戰略性資源，數據安全已經成為國家安全不可或缺的組成部分。應對數據可能帶來的非傳統領域的國家安全風險與挑戰，切實維護和確立國家數據主權、安全和發展利益，正是當今時代賦予的新課題。數據安全法正式出臺，企業合規紅線，你了解嗎？4數據安全法第二十一條第二款則進一步強調關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。這一點也在罰則部分有所體現，數據安全法最終稿新增的第四十五條第二款明確，違反國家核心數據管理制度，危害國家主

9、權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下的罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。（三）進一步完善保障政務數據的規定為保障政務數據安全，并推動政務數據開放利用，數據安全法第五章對國家機關收集、使用、運用數據的行為、能力提出了要求（第三十七條到四十三條）。國家機關為履行法定職責的需要收集、使用數據時，應當對其在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據依法予以保密，不得泄露或者非法向他人提供（第三十八條）。其次，第四十條對國家機關委托他人存儲、加工或者向他人提供政務數據的審批要求和監

10、督義務做出了規定，并明確受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。國家機關還應按照規定及時準確公開政務數據，制定開放目錄，構建互聯互通、安全可控的開放平臺（第四十一、四十二條）。數據安全法雖未對政務數據進行定義，但可以根據今年6月17日浙江省發布的全國首部公共數據開放辦法浙江省公共數據開放與安全管理暫行辦法（下稱公共數據暫行辦法）對“公共數據”的界定汲取經驗。公共數據指各級行政機關以及具有公共管理和服務職能的事業單位，在依法履行職責過程中獲得的各類數據資源。聯系實際而言，可能包含政府才有權利采集的數據，如資源、稅收數據，政府在

11、提供服務過程中所收集的公民消費和檔案數據，如社會保險、水電數據，政府履行監管職責所采集的數據，如人口普查、食品藥品監管等數據。政務數據的利用與開放是加快政府數字化轉型，推進電子政務建設的重要步驟。在收集、使用數據時，政府必須依法定職責和法律規定，健全安全管理制度，將責任落到實處；監督可能涉及的第三方，保障政務數據安全；遵循公正、公平、便民的原則，及時、準確地公開政務數據，實施“清單式管理”，構建統一互通的政務開放平臺，將政務數據賦能價值擴到最大，利用數據更好地服務經濟社會發展。對于企業而言，如果在實踐中遇到國家機關委托存儲、加工政務數據的情形，受托方應配合國家機關完成審批程序，履行法律法規、合

12、同約定的數據安全保護義務，采取必要的技術和組織措施保障政務數據安全，不擅自留存、使用、泄露或者向他人提供政務數據，并確保獲得委托處理政務數據方的授權同意。當然，關于審批程序與企業關于處理政務數據的具體安全義務，還期待相關法規與標準后續進一步細化與支撐。數據安全法正式出臺，企業合規紅線，你了解嗎？5（四）明確對老年人的特殊保護數據安全法相較于二審稿增加了第十五條，即明確提出支持智能化公共服務的發展，且要求應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。這并不是第一次專門針對老年人的利益需求提出特殊要求。例如，工業和信息化部在今年4月就發布互聯網網站適老化通用設計規范和A

13、pp適老化通用設計規范，助力老年人、殘疾人等重點受益對象平等便捷地獲取、使用互聯網信息，充分體現了國家在發展過程中的人文關懷，保障老年用戶的信息安全。（五）加大對違法行為的處罰力度數據安全法第六章規定了開展數據活動的組織、個人、數據交易中介機構、國家機關、監管工作人員等主體違反法律規定、未履行義務應承擔的法律責任。去年公開的數據安全管理辦法對于違反法律義務作出的是“一刀切”的罰則，即，“依違規情節，給予網絡運營者公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰；構成犯罪的，依法追究刑事責任?！北敬螖祿踩ǖ囊幎ㄡ槍Σ煌`法行為設置不同的罰責，與

14、網絡安全法體例保持基本一致，規定了各主體違反法律規定可能承擔的不同責任。比如，有關部門發現數據活動存在較大安全風險的，可以按照規定的權限和程序約談相關組織、個人并要求采取整改措施。這一規定旨在盡可能從源頭消除安全隱患，以最低成本預防安全事故的發生。數據安全法正式出臺，企業合規紅線，你了解嗎？開展數據活動的組織、個人未履行數據安全保護義務或未采取必要措施的，可能遭到警告和罰款，直接負責的主管人員個人也可能被處以罰款；如果違法行為性質惡劣或造成嚴重后果，罰款金額可高達一千萬元人民幣，并可能被責令暫停相關業務、停業整頓、吊銷相關業務許可證或者營業執照，與網絡安全法第六章規定同步。然而這一數字與歐盟通

15、用數據保護條例（以下簡稱“GDPR”）規定的最高兩千萬歐元罰款尚有一定的距離，對于掌握千萬用戶數據的產業龍頭企業或采買億萬字段信息的大數據巨頭而言，威懾力度雖然也較為有限，但至少也是一個良好示范的起步。另外，為避免非法來源數據交易的亂象，數據安全法第四十七條還規定了針對數據交易中介機構的處罰規則，即相關機構可能被沒收違法所得、罰款、吊銷營業執照，直接責任人也會被處以罰款，重拳出擊規制數據交易行為，應引起相關機構的特別關注。數據安全法第四十八條明確了不配合公安機關、國家安全機關因維護國家安全或者偵查犯罪調取數據的處罰以及未經批準向境外司法或者執法機構提供數據的處罰。數據安全法第四十六條還明確了非

16、法對外提供重要數據的處罰。除了對開展數據活動的組織、個人、直接負責的主管人員或直接責任人員罰款外，還可對開展數據活動的組織、個人責令“暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照”。6（一）以國家主權為立法出發點，兼顧數據保護與利用數據安全法第一條指出，本法的立法目的為 “保障數據安全，促進數據開發利用，保護公民、組織的合法權益，維護國家主權、安全和發展利益”，從中可以提煉出“保護和利用并舉”與“維護國家利益”兩項主要的立法宗旨。具體來看：數據安全法第七條明確表示，“國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字

17、經濟發展”?？梢?，維護數據安全和促進數據開發利用是相輔相成的車之兩輪。數據開發利用為數據安全提供了技術的支持和概念的革新，數據安全為數據開發利用提供了基礎的保障和穩固的底盤。通覽全文，對于數據，數據安全法并非采取久束濕薪似的保護，而是鼓勵對其進行合法利用，從數據中挖掘、開發出更大的經濟價值。這一點在數據安全法第五章“政務數據安全與開放”中也有突出體現。數據安全法第七條亦明確規定，國家鼓勵數據的合理有效利用、保障數據的有序自由流動?？梢?，從國家層面對數據利用的態度，是審慎且包容的，采用監管與發展并重。既不因噎廢食地完全封閉，又非不加甄別地全盤接受，通過激勵相容的制度設計，力求達到二者可持續發展的

18、平衡，最終令數據安全和數據利用協調一致。（二）適用對象：主客體范圍廣泛數據安全法第二、三條規定了其適用對象為“在我國境內開展的數據處理活動”。其中“數據”是指任何以電子或者其他方式對信息的記錄；“數據處理”是指數據的收集、存儲、使用、加工、傳輸、提供、公開等行為。此外，數據安全法附則部分還明確，涉及國家秘密和軍事數據的活動，應分別適用保守國家秘密法和中央軍事委員會另行制定的規則。另外，“開展涉及個人信息的數據活動，應當遵守有關法律、行政法規的規定”?？紤]到我國個人信息保護法也已經提交到全國人大常委會進行第三次審議，數據安全法明確規定個人信息也屬于數據的一種，將另由特別法律規制，這為即將出臺的個

19、人信息保護法預留了空間。由此分析，數據安全法適用對象的范圍非常廣泛，對于在境內實施任何數據收集、存儲、使用等行為的組織和個人，不論主體身份，不論處理的數據數量、頻率如何，均應遵守這一法律規定。數據安全法正式出臺，企業合規紅線，你了解嗎？二、數據安全法重要規制與紅線要求71. 適用主體首先，數據安全法沒有對適用主體進行限制。數據安全管理辦法規定適用的主體主要是網絡運營者，即網絡的所有者、管理者和網絡服務提供者，網絡安全法的義務主體亦然。這一表述覆蓋的范圍可能延展到網絡服務的方方面面，已然十分廣泛，但數據安全法在此基礎上更進一步，對適用主體從開展數據活動這一客觀行為入手，而非將適用主體限定在某一個

20、類型的主體范圍內，更加擴大了適用的范圍，最大限度地保障不同層次的數據安全，進而達到數據在有效保護下的合法利用目標。國際上，對數據安全進行專門立法的情況不多，以色列數據安全管理條例規定適用主體為數據庫控制者（Database Controller），再細分為基礎、中等、嚴格三種保護水平。大多數國家的做法是將數據安全作為一個章節規制在個人信息或隱私保護法案中，如加州消費者隱私保護法（以下簡稱“CCPA”）和GDPR對受規制的主體提出具體要求（比如，對企業/組織有一定營業機構/收入的要求）；美國各州法案中也存在保障數據安全的條款，適用對象包括收集使用個人信息的組織（例如：加州民法典）、醫療健康機構（

21、康涅狄格州保險信息和隱私保護法案）、互聯網服務提供者（明尼蘇達州法典）等。數據安全法沒有對適用主體做出特別的設定，實際上從客觀層面能夠達到對數據保護的最大化效果。數據安全法正式出臺，企業合規紅線，你了解嗎？8數據安全法中對“數據處理”的內涵采取了列舉式定義法，提出“收集、存儲、使用、加工、傳輸、提供、公開”等一系列行為及活動。這一定義的邏輯，基本參考了民法典的定義邏輯。聯系對比GDPR中數據“處理（process）”的概念以及信息安全技術 個人信息安全規范中數據全生命周期的理解，數據安全法沒有明確涵蓋數據“共享”、“刪除”及“銷毀”這幾種典型的數據處理活動。其次，“加工”、“交易”等名詞可能源

22、于企業實務中的說法，但在法律層面上，對這些概念的內涵及適用情形有待后續在配套的法規、國家標準中進一步明確。如上所述，數據安全法所規定的適用范圍非常廣泛，除了大數據公司等視數據為“血液”進行運營的企業需要特別關注以外，一切可能處理數據的政府、組織和個人也都落在了數據安全法規制的范圍之內。技術的更新與普及使人們普遍享受到大數據帶來的快捷與便利，但一些組織為了獲得更多的經濟利益，將數據采集、加工和利用等準入門檻卻越降越低。如果監管缺乏有力的法律依據，更難以實現對數據市場有效的調控和管理。因此，數據安全法的出臺將所有與數據有關的活動均納入調整范圍之中，能在基本法層級系統、集中地規范數據安全和利用，為有

23、效監管數據活動提供強有力的法律基礎。同時，數據安全法亦規定了一定的域外適用性，以應對國際空間中數據成為各國在合作與抗衡上的博弈，具體請見下文分析。數據安全法正式出臺，企業合規紅線，你了解嗎？2. 適用客體“數據”與“數據處理”數據安全法對于適用客體即“數據”和“數據處理”進行了較為寬泛的定義。在之前的法律法規或國家標準文件中，如網絡安全法從關鍵信息基礎設施相關的數據、重要數據、個人信息三個類別對網絡運營者進行規制；而后續亟待出臺的個人信息保護法將側重對個人信息進行保護。而數據安全法則規定，不論呈現形式（電子/其他方式）、不論收集方式（通過網絡/非通過網絡）、不論數據的內容（可識別身份的個人信息

24、/與國家安全、經濟發展以及社會公共利益密切相關的重要數據/其他數據），數據泛指一切對信息的記錄。這一定義在我國的立法至今可屬創新之舉，將“數據”外延界定義為擯棄一切修飾詞的客觀載體，區分了“數據”與“信息”的概念，有效避免了主語與賓語同一的非有效解釋。網絡安全法、個人信息保護法和數據安全法適用客體的范圍類型如下圖：9（三）明確域外效力數據安全法第二條規定，“在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任”。這一規定體現了維護國家安全和數據主權的立法宗旨，賦予數據安全

25、法以必要的域外適用效力。隨著數據競爭的日益激烈，各國都在試圖擴大數據方面的管轄權。2018年3月，美國通過澄清域外合法使用數據法（The Clarifying Lawful Overseas Use of Data Act, CLOUD Act，以下簡稱“云法案”），使得執法部門可依據搜查令直接調取境外數據。從美國司法部對外公布的白皮書對云法案適用范圍作出的官方解釋中1可以看出，云法案絕不僅僅適用于在美國注冊成立的公司，境外的公司只要在經營活動中與美國有足夠的聯系（contacts），就可能觸發美國法律的管轄權。歐盟則于2019年7月發布了美國云法案對于歐盟個人信息保護法律框架以及歐盟-美國關

26、于跨境電子取證協議談判影響的初步法律評估（Initial legalassessment of the impact of the US CLOUD Act on the EU legal framework for the protectionof personal data and the negotiations of an EU-US Agreement on cross-border access toelectronic evidence，以下簡稱“評估”）。評估明確指出，根據歐盟GDPR的規定，云法案并不能成為向美國傳輸個人數據的合法性基礎。除此之外，去年11月，歐洲數據保護委員

27、會（EDPB）對GDPR第三條進行統一解釋，并發布了GDPR地域適用的指南，明確了符合“營業機構”標準或“目標指向”標準其中之一的數據處理者和控制者，均需要遵守GDPR的規定。向歐盟居民提供服務、對歐盟居民進行監控、數據處理活動由設立在歐盟境內的營業機構進行或與其有緊密聯系的情形均受到GDPR制約。因此，數據處理活動不以物理邊界為限，具有抽象的超越國界和領土的特質。各國為有效保障數據安全、維護國家利益，除了通過國際條約與雙邊/多邊協議進行約定，還通過擴大其國內法的適用范圍，以求最大程度地降低跨境數據活動給本國帶來的安全風險。全球各國政府跨法域調取數據的情況也越來越常見，根據蘋果公司2020年的

28、透明度報告，僅2020年上半年，蘋果公司就收到來自超過50個國家及地區的執法機構，共計28,276個數據調取請求。越來越多的中國科技公司走向世界，在主要的經濟區都擁有重要的市場份額，故進一步完善對于境外執法機構調取數據的規制尤為重要。數據安全法正式出臺，企業合規紅線，你了解嗎？10數據安全法現行規定以“后果論”為標準，即如果數據活動造成了對我國國家、社會、公民利益損害的，相關組織和個人應被追究法律責任，確認了我國掌握主動權，以國家利益為主導監管各類數據活動的鮮明立場。然而，數據安全法未規定我國執法機構能對境外組織或個人調取信息或要求協助配合的權限，且相比美國云法案（即只要在經營活動中與美國有足

29、夠的聯系（contacts）便可觸發美國法律的管轄權）與GDPR（即向歐盟數據主體提供商品或服務或監控歐盟數據主體）的“行為論”，這一規定并沒有將我國對數據管轄權的手臂伸得那么長。然而，數據安全法未對第二條適用范圍中的“境內開展數據活動”概念進行定義，筆者認為可能會在具體執行上存在一定問題。例如某一德國公司開發的App在我國境內投放運營后，用戶在使用過程中出現軟件崩潰，發送故障報告至德國公司的過程即構成在我國境內收集數據的活動。雖然德國公司屬于境外組織，其主要營業機構、存儲服務器均不在國內，但仍然可能受到數據安全法的約束。數據出境安全評估指南（征求意見稿）將“境內運營”定義為在中華人民共和國境

30、內開展業務，提供產品或服務的活動，而不論運營者是否在境內注冊。另外，還提出了幾項參考因素以幫助判斷，包括但不限于：使用中文；以人民幣作為結算貨幣；向中國境內配送物流等。筆者認為，對“境內開展數據活動”的理解可以基于該理解類推借鑒，但期待在后續制定相關的配套政策和辦法中進行進一步明確。數據安全法正式出臺，企業合規紅線，你了解嗎？（四）提出“數據分類分級保護制度”，明確重要數據的界定責任一審稿即提出了國家應對數據實行分類分級保護，二審稿進則明確提出了“數據分類分級保護制度”的建立及重要數據目錄的確定，發布的正式稿對“數據分類分級保護制度”及“重要數據目錄”做出了更為清晰的規定。對數據進行分類分級的

31、主要標準為“數據在經濟社會發展中的重要程度、以及一旦遭到篡改、破壞或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度”，這也呼應了數據安全法以維護國家安全和網絡空間主權為根本的基調，這在數據主權博弈激烈的當下顯得尤為重要。同時，根據第二十一條，重要數據是數據分類分級中一個類別，由于其關鍵性和敏感性需要額外的保護。數據分類分級保護制度的提出是現有數據保護制度框架的一個重要補充。相信在后續配套的法律法規及國家標準出臺后，數據分類分級保護制度將與網絡安全等級保護制度等類似，成為數據保護工作綱領性的要求與指引。第二十一條明確了國家將統籌協調有關部門在宏觀層面確定重要數據目

32、錄，并且要求各地區、各部門應制定適應于地區、部門及相關行業的重要數據具體目錄，這種雙層保護結構也與重要數據識別指南（征求意見稿）的思路相一致。這對于厘清何為重要數據并進一步推進重要數據保護工作而言至關重要。此前，網絡安全法中雖然提到了重要數據，但并未對其進行展開的闡釋或定義，數據安全管理辦法（征求意見稿）和信息安全技術 數據出境安全評估指南（草案）雖有對重要數據有定義，但定義也沒那么清晰且兩者都未生效，指南也不具有法律效力。這對于企業進行重要數據保護工作而言造成了較大的不確定性和操作上的困難。相信隨著本法的通過，后續各地區、各部門制定的重要數據具體目錄能成為有效的參考，進一步增強數據分類分級保

33、護制度的落地性與實踐性。11（五）對于外國歧視性行動的反制裁措施，維護中國企業利益數據安全法第二十六條強化了應對態度，將根據實際情況采取“對等措施”。當下，騰訊、華為等企業不時面臨境外采取的限制性或者歧視性經濟制裁措施，意圖打壓中國企業在外國的發展，該條款明確了我國維護中國企業利益的決心，無疑給中國企業打了一枚強心劑。隨著我國科技企業的興起和5G等尖端技術的開發，各國針對我國企業的限制性措施層出不窮。僅在過去的一周內，美國聯邦通信委員會（FCC）將中國兩大電信巨頭企業列為國家安全威脅名單，禁止美國公司利用八十三億美元的政府資金購買這兩家公司的設備；印度電子信息技術部以“有損印度主權、國防、國家

34、安全和公共秩序”為由宣布禁用TikTok、微信等59款中國應用，且嚴格管控檢查所有從中國購買的電力設備，以確認其中是否存在惡意軟件或木馬病毒。一方面可見，數據安全、網絡安全已經成為國際社會普遍認可的國家安全版圖之一；另一方面可見，我國所面臨的挑戰和困難也是十分艱巨的。數據已經成為“黃金”、“石油”，也必然成為新興“兵家必爭之地”。全球圍繞數據的爭奪日益深化，數據安全法的制定不僅需要解決國內數據安全管理的問題，還要為數據出境、跨境合作設計等相關規則制定策略。針對歧視的反制裁措施在國際私法、貿易等領域已有先例，此次在涉及數據安全、國家安全的基本法中重申這一原則，既表明我國擁護數據自由流動、跨境安全

35、的堅定立場，又對他國如有不正當的歧視待遇行為做出了有力的回應。此外，數據安全法第三十六條對處理外國司法或者執法機構關于提供數據的請求做出了規定。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。即企業在面臨境外監管機構的直接執法時，不能直接提供境外監管機構要求的數據，而是需要先行上報給我國主管機關，獲得批準后方才可提供。例如，當中國企業雖未在歐盟設有實體，但直接向歐盟境內的數據主體提供商品或監控歐盟數據主體時，受到GDPR域外管轄。在此情況下，如歐盟的數據保護機構依據其職權對企業進行調查，要求企業提供存儲于我國境內的相關數據時，中國企

36、業在向我國主管機關報批獲準后方可提供。從實踐的角度來說，受限于管轄的限制，即便GDPR規定了自身的域外效力，考慮到現實執法的困難程度，實踐中也少有案例直接對在歐盟境內沒有實體的公司進行處罰。數據安全法的第三十六條無疑顯示出對部分國家域外長臂管轄執法進行有禮有節的回應態度。只是日后，需要相關部門規章或者國家標準進一步細化具體報批的機關以及相關流程。數據安全法正式出臺，企業合規紅線，你了解嗎？12（六）強調對數據出口的管制數據安全法第三十條明確了有關關鍵信息基礎設施運營者以及關鍵信息基礎設施運營者以外的其他重要數據處理者將所收集的重要數據出境的規定，要求適用國家網信部門會同國務院有關部門制定的管理

37、辦法。我們在各國個人信息出境實況兼評文中提到過，個人信息與重要數據出境將采用“二軌制”評估的方式，但此前，重要數據出境監管制度并未特別詳細地得到明確，且多為征求意見稿的狀態，除了網絡安全法第三十七條較為概括地要求重要數據本地化，只有有極其特殊情況下方才申請主管部門審批出境（實踐中估計也鮮有行業主管部門有審批的流程和經驗），其他尚無現行有效的法律法規、國家標準明確數據出境的具體合規方案，從而給企業帶來了較大的不確定性。在尚無針對重要數據的專門評估辦法出臺前，各企業預備重要數據評估的，目前仍然參考的是個人信息和重要數據出境安全評估辦法（征求意見稿）。其中，第九條規定了六類涉及重要數據出境時應提交行

38、業主管部門或監管部門進行安全評估得情境，包括： 含有或累計含有50萬人以上的個人信息； 數據量超過1000GB； 包含核設施、化學生物、國防軍工、人口健康等領域數據，大型工程活動、海洋環境以及敏感地理信息數據等； 包含關鍵信息基礎設施的系統漏洞、安全防護等網絡安全信息； 關鍵信息基礎設施運營者向境外提供重要數據； 其他行業主管或監管部門認為可能影響國家安全和社會利益的。數據安全法正式出臺，企業合規紅線，你了解嗎？13上述規定仍需要企業及相關組織進行全面的自我評估，但具體出境情況是否適用上述規定存在較大的不確定性，對于企業進行重要數據出境安全管理工作帶來較大的挑戰。數據安全法通過區分主體的方式，

39、對于重要數據出境的監管辦法進行了進一步的明確和補充。關鍵信息基礎設施運營者出境重要數據適用網絡安全法的規定，其他主體出境重要數據則適用國家網信部門會同國務院制定的管理辦法，這樣的監管思路也使得數據分類分級保護制度能夠更好地與關鍵信息基礎設施保護要求相協調。此外，該條款明確制定數據出境規則的主體為“國家網信部門會同國務院有關部門”，可以體現未來對于數據出境進行規制的法律文件其法律位階與效力基本是在部門規章的級別，從而加強企業遵守相關義務的必要性。值得注意的是，除了網絡安全法及數據安全法，一些重要數據的出境還需要重點關注行業監管的要求。比如，國家健康醫療大數據標準、安全和服務管理辦法（試行）規定健

40、康醫療大數據應當存儲在境內安全可信的服務器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知第六條更是規定，在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行，且除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息。根據數據安全法第四十六條規定，非法向境外提供重要數據的，“由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令

41、暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款”。（七）明確企業合規義務數據安全法第四章落實了數據活動主體的具體安全保護義務與責任，列舉了一系列需要遵守的合規義務，包括開展安全培訓、完善制度建設、風險評估監測、報告安全事件、落實數據分類分級等制度等。具體請參見本文第三部分的分析。（八）強調數據新技術應當符合社會公德與倫理數據安全法第二十八條要求開展數據活動以及研究開發數據新技術應當符合社會公德與倫理，這一條款則對應了近些年諸多頗具爭議的數據新技術，例如醫療AI、Deepfake、ZAO換臉技術等。不可否認的是該等技

42、術的背后是數據活動方面的蓬勃創新，但其所導致的倫理道德問題也一直是社會討論的重點。例如，2017年一位匿名用戶使用“Deepfake”技術將神奇女俠中女主蓋爾加朵的臉移植到了一部成人電影的女主身上，再輔以技術手段將其完美的融合，之后將其上傳到了Reddit成人交流社區，最終因侵犯個人隱私導致視頻下架；2019年3月報道，犯罪分子利用Deepfake技術，冒充英國某能源公司母公司CEO的聲音，成功詐騙了二十二萬歐元。數據安全法的第二十八條正是針對此種新技術所帶來的身份冒用、侵犯隱私、造成嚴重社會負面影響等問題進行了回應。然而，數據安全法本身沒有對違反此條款規定法律責任，可能實際震懾力較為有限。數

43、據安全法正式出臺，企業合規紅線，你了解嗎？14（九）明確數據處理活動不應排除、限制競爭對于違反其他法律、行政法規的援引條款，數據安全法第五十一條明確開展數據處理活動“限制、排除競爭”的場景。當下，隨著國務院反壟斷委員會關于平臺經濟領域的反壟斷指南的出臺以及罰款金額的震懾性，平臺反壟斷也成為企業的熱點話題，該條款明確了數據處理活動也不應該排除、限制競爭，對于怎樣的數據處理活動可以產生排除、限制競爭的效果，留待反壟斷局或在個案中進一步說明。（十）建立與網絡安全等級保護制度相銜接的數據安全管理制度數據安全法第二十七條同時強調了數據安全管理制度的建立和網絡安全等級保護制度，這使得數據安全法能夠更好地與

44、現有的數據保護相關法律法規及規制思路相配適。已經建立網絡安全等級保護制度的企業能夠更好地銜接數據安全管理制度的要求，進一步提升整體的網絡安全及數據保護水平。（十一）鼓勵行業自律，建立行業規范數據安全法第十條指出“相關行業組織按照章程，依法制定數據安全行為規范和團體標準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展”，強調了行業自律在數據安全規范方面的作用，提出了行業數據安全行為規范這一概念，并鼓勵各行業組織積極制定適用于本行業的數據安全行為規范，加強行業自律，通過行業內的指導進一步提升數據保護水平。筆者認為這雖然不是一個強制要求，但也將是未來數據安全保護監管及

45、合規自證體系中一個重要的部分。由于數據處理活動本身對應的場景極具多樣性與專業性，法律法規進行落地時可能會存在天然的障礙。該條款通過凸顯行業自律的作用，讓行業作為規制的一環，從而加強規則的適用性以及與時俱進的能力。行業自律也為世界其他主要法域國家常見的規制手段。例如，GDPR第四十條及四十一條就早已提出了行為準則（Code of Conduct）這一理念，鼓勵有起草行為準則的行業協會或者其他實體制定適合行業的最佳實踐。這樣的行業最佳實踐在通過認證之后，可以成為一個有效的自愿性問責工具。除此之外，這對于一些小微型企業而言也是一個能夠有效降低合規成本的方案。數據安全法這一概念的提出，也是數據安全監管

46、思路與框架向國際社會中數據保護監管水平較高的地區看齊的重要一步。數據安全法正式出臺，企業合規紅線，你了解嗎？15（十）建立與網絡安全等級保護制度相銜接的數據安全管理制度數據安全法第二十七條同時強調了數據安全管理制度的建立和網絡安全等級保護制度，這使得數據安全法能夠更好地與現有的數據保護相關法律法規及規制思路相配適。已經建立網絡安全等級保護制度的企業能夠更好地銜接數據安全管理制度的要求，進一步提升整體的網絡安全及數據保護水平。（十一）鼓勵行業自律，建立行業規范數據安全法第十條指出“相關行業組織按照章程，依法制定數據安全行為規范和團體標準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水

47、平，促進行業健康發展”，強調了行業自律在數據安全規范方面的作用，提出了行業數據安全行為規范這一概念，并鼓勵各行業組織積極制定適用于本行業的數據安全行為規范，加強行業自律，通過行業內的指導進一步提升數據保護水平。筆者認為這雖然不是一個強制要求，但也將是未來數據安全保護監管及合規自證體系中一個重要的部分。由于數據處理活動本身對應的場景極具多樣性與專業性，法律法規進行落地時可能會存在天然的障礙。該條款通過凸顯行業自律的作用，讓行業作為規制的一環，從而加強規則的適用性以及與時俱進的能力。行業自律也為世界其他主要法域國家常見的規制手段。例如，GDPR第四十條及四十一條就早已提出了行為準則（Code of

48、 Conduct）這一理念，鼓勵有起草行為準則的行業協會或者其他實體制定適合行業的最佳實踐。這樣的行業最佳實踐在通過認證之后，可以成為一個有效的自愿性問責工具。除此之外，這對于一些小微型企業而言也是一個能夠有效降低合規成本的方案。數據安全法這一概念的提出，也是數據安全監管思路與框架向國際社會中數據保護監管水平較高的地區看齊的重要一步。數據安全法正式出臺，企業合規紅線，你了解嗎？16三、企業配套合規義務對于企業在數據安全法項下的合規義務，可以區分為一般企業的合規義務以及處理重要數據的企業的額外義務。（一）一般企業的合規義務1. 明確企業自身所控制的受規制數據如前所述，數據安全法所規制的數據極為廣

49、泛，不僅包括電子的數據，還包括其他形式的數據，例如員工填表所得的數據。因此，企業首先需要明確企業自身所受數據安全法約束的數據范圍，并在“數據”這一基本類型的基礎上，識別除數據安全法外是否須額外受網絡安全法、日后出臺的個人信息保護法的規定。2. 確保數據收集的合法、正當與必要性根據數據安全法第三十二條的規定，任何組織、個人收集數據，都必須采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。法律、行政法規對收集、使用數據的目的、范圍有規定的, 應當在法律、行政法規規定的目的和范圍內收集、使用數據，不得超過必要的限度。除了直接收集外，企業需要特別注意從第三方間接收集數據時，也需要核實第三方數據

50、來源的合法性、正當性，例如進行前期安全盡調、要求第三方簽訂承諾書、保證書等，并審查自身獲取數據是否符合必要性要求。未能履行合法、正當、必要收集數據要求的企業，則根據數據安全法第五十一條的規定，竊取或者以其他非法方式獲取數據，開展數據活動排除、限制競爭，或者損害個人、組織合法權益的，按照有關法律、行政法規的規定處罰，從而進一步援引至網絡安全法、刑法、反壟斷法以及未來出臺的個人信息保護法等規定。數據安全法正式出臺，企業合規紅線，你了解嗎？173. 數據中介服務機構確定交易主體與交易合法性根據數據安全法第三十三條的規定，從事數據交易中介服務的機構在提供服務時，應當要求數據提供方說明數據來源, 審核交