2021年6月10日，新華社報道，十三屆全國人大常委會第二十九次會議通過了數據安全法。這部法律是數據領域的基礎性法律，也是國家安全領域的一部重要法律，將于2021年9月1日起施行。

數字化改革推動我國生產模式的變革，隨著經濟數字化、政府數字化、企業數字化的建設，數據已經成為我國政府和企業最核心資產。合資企業、跨境貿易、多廠商全球合作的模式變遷，數據開始在企業與企業之間、政府與企業之間以及國與國之間流轉、融合、使用直至泄露。

根據公開報道，2020年全球數據泄露的平均損失成本為1145萬美元，2019年數據泄露事件達到7098起，涉及151億條數據記錄，比2018年增幅284%，數據泄漏事件影響大、損失重。

有專家言論，對數據掌控、利用以及保護能力，已成為衡量國家之間競爭力的核心要素。

一、外力驅動和內部需求，促使數安法落地

1.外力驅動

2018年3月23日，時任美國總統特朗普正式簽署了《澄清域外合法使用數據法》，法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件，無論服務提供者的通信、記錄或其他信息是否存儲在美國境內，要求服務商根據該法案進行調取并提供相關證據。

2018年5月25日，歐盟《一般數據保護條例》（GDPR）正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外，只要處理的是歐盟境內居民的數據，均適用此法案，對數據實施長臂管理。

目前全球已有近100個國家和地區制定了數據安全保護的法律，數據安全保護專項立法已成為國際慣例。

面對歐美國家將數據主權從物理邊界轉向技術邊界，將會直接影響到第三方國家的主權，在數據跨境流動愈加頻繁的今天，必須盡快完善我國相關法律法規，保護我國國家利益、跨國公司以及公民個人利益。

2.內部需求

當前全球經濟傳統經濟增長緩慢，尤其是2020年全球“新冠疫情”給經濟帶來了沉重的打擊。迫切需要通過新的經濟增長點拉動內需，增加就業，而數字經濟正是切入點和發動機，國家將發展數字經濟提升到國戰略高度則水到渠成。

近年來數字經濟增速也證明了數字經濟發展空間的巨大，中國信息通信研究院發布的《中國數字經濟發展白皮書》數據顯示，我國數字經濟的總體規模已從2005年的2.62萬億元增長至2019年的35.84萬億元;數字經濟總體規模占GDP的比重也從2005年的14.2%提升至2019年36.2%。

可見，數字經濟已成為我國國民經濟增長要素的重要一員。

從2015年，國務院發布的《促進大數據發展行動綱要》開始，2018年國務院發布《科學數據管理辦法》，2020年國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》，2021年3月12日，新華社公布了《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》，數據安全政策導向明確，國家數據戰略清晰。因此，亟需一部國家的基本法，為中國數字經濟的安全發展保駕護航。
上述背景下數安法誕生，恰逢其時，維護了我國的數據主權，保障了國家的安全、促進了經濟健康發展。

二、數安法要點解讀和提煉

數安法的發布標志著我國將數據安全保護的政策要求，通過法律文本的形式進行了明確和強化。

本法一共七章五十五條，其中 “總則”、“法律責任”及“附則”三章屬于常規章節，另外四個章節圍繞著“數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放”來提出要求。

我們對數安法進行深入解讀后，為大家提煉出40個要點。

（一）總則的要點

1）適用范圍：在中國境內開展數據活動的組織和個人。
2）定義：定義數據是指任何以電子或者非電子形式對信息的記錄。
3)?保護要求：釆取必要措施，對數據進行有效保護和合法利用，并持續保持其安全能力。
4)?責任任務：工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主要行業會落地數據保護行業規范，并且落地本部門的數據安全規范。公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。網信部門負責統籌協調和監管。
5) 特別的對行業組織提出了制定安全行為規范，加強行業自律，指導會員加強數據安全保護的要求。這項法規有效的消滅了灰色地帶，對各行業都形成了法律約束，杜絕了數據的隨意共享和流轉。

（二）數據安全與發展要點

6)?發展原則：國家統籌發展和安全，堅持保障數據安全與促進數據開發利用并重。
7)?戰略要求：省級以上人民政府應制定數字經濟發展規劃。進一步細化了國家數據戰略的執行主體。
8)?標準體系：國家主管部門負責相關標準和體系的制定。
9)?評估認證：國家促進數據安全檢測評估、認證等服務的發展，支持專業機構依法開展服務。
10)?人才培養：要釆取多種方式培養數據開發利用技術和數據安全專業人才。
11）特別地，加強了公共服務的要求，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

（三）數據安全制度要點

12)?分類分級：國家建立數據分類分級保護制度，對數據實行分類分級保護，并確定重要數據目錄，加強對重要數據的保護。
13)?風險評估：要建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。
14)?應急處置：要建立數據安全應急處置機制。
15)?安全審查：要建立數據安全審查制度。
16)?出口管制：對屬于管制物項的數據依法實施出口管制，可以根據實際情況對該國家或者地區對等采取措施。這項法規進一步明確了國家對中國數據的主權，即我國數據是否在境內，依然受到中國法律的保護。

（四）數據安全保護義務要點

17)?管理制度:在網絡安全等級保護制度的基礎上，建立健全全流程數據安全管理制度，組織開展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構，進一步落實數據安全保護責任主體。
18)?風險監測：對出現缺陷、漏洞等風險，要釆取補救措施；發生數據安全事件，應當立即采取處置措施，并按規定上報。
19)?風險評估：定期開展風險評估并上報風評報告。
20)?數據收集：任何組織、個人收集數據必須釆取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。
21)?數據交易：數據服務商或交易機構，要提供并說明數據來源證據，要審核相關人員身份并留存記錄。
22)?經營備案：數據服務經營者應當取得行政許可的，服務提供者應當依法取得許可。
23)?配合調查：要求依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據，未經批準，不得提供。
24) 特別的，對關基信息基礎設施的運營在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。

（五）政務數據安全與開放要點

25)?管理制度:建立健全全流程數據安全管理制度，落實數據安全保護責任。
26)?存儲加工：委托他人存儲、加工或提供政務數據，應當經過嚴格審批，并做好監督。受托方不得擅自留存、使用、泄露或向他人提供政務數據。
27)?數據開放：構建統一政務數據開放平臺，發布數據開放目錄，推動政務數據開放利用。
28)?適用主體：法律、法規授權的具有管理公共事務職能的組織。

（六）法律責任要點

29)?不履行規定保護義務：責令改正和警告，給予單位5萬至50萬元罰款，給予負責人1萬至10萬元罰款；拒不改正或造成大量數據泄漏等嚴重后果的，給予單位50萬至200萬元罰款，最高責令吊銷相關業務許可證或者吊銷營業執照，給予負責人5萬至20萬元罰款。
30）危害國家安全和損害合法權益的：給予200萬至1000萬元罰款，責令停業整頓、吊銷相關業務許可證或者吊銷營業執照，構成犯罪的，追究刑事責任。
31）向境外提供重要數據的：由有關主管部門責令改正，給予警告，可以并處10萬至100萬元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。情節嚴重的，給予100萬至1000萬元罰款，責令停業整頓、吊銷相關業務許可證或者吊銷營業執照，對負責人給予10萬至100萬元罰款。
32)?交易來源不明的數據：沒收違法所得，對違法所得一至十倍罰款。沒有違法所得或違法所得不足10萬元的給予10萬至100萬元罰款，最高責令吊銷營業執照；對主管和直接責任人1萬至10萬元罰款。
33)?拒不配合數據調取的：由有關主管部門責令改正，給予警告，可以并處5萬元至50萬元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。
34)?國家機關不履行安全保護義務：對負責人和直接責任人員依法處分。
35）未經審批向境外提供組織數據的：由有關主管部門給予警告，可以并處10萬至100萬元罰款，對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。造成嚴重后果的，給予100萬至500萬元罰款，責令停業整頓、吊銷相關業務許可證或者吊銷營業執照，對負責人給予5萬至500萬元罰款。
36)?國家工作人員違法：因玩忽職守、濫用職權、徇私舞弊，依法給予處分。
37）竊取或非法獲取數據的：依照有關法律、行政法規的規定處罰。
38)?給他人造成損害：依法承擔民事責任，構成犯罪的，依法追究刑事責任。

（七）附則要點

39)?涉及國家秘密的數據：依據《中華人民共和國保守國家秘密法》以及相關法律法規執行。
40)?涉及軍事秘密的數據：由中央軍事委員會依據本法另行制定。

數安法是繼《網絡安全法》提出數據的概念后，國家在數據安全立法層面的一個重大里程碑，注定了是中國數字經濟高速發展的壓艙石和定海神針。

三、數據安全建設的幾點建議

數安法作為數據安全管理的基本大法，給我們指明了方向和提供法律保障。有關單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源，都應當依法建立健全數據安全管理制度，采取相應技術措施保障數據安全。

未來如何做好數據安全建設？政企在進行數據安全能力建設時，考慮數據安全、訪問控制以及數據保護三個層面。

形象的說，數據安全的首要目標是需要找數據在哪里？數據的主體是誰？訪問控制是目前主流的數據安全能力之一，首要目標是數據使用者如何證明具備相應的數據權限？數據保護是更高層面的建設框架，首要目標是組織或個人如何確保數據已經被保護好了？
對于IT和信息安全從業人員來說，數據安全能力建設是最艱巨的任務之一。

關于數據安全能力的建設，安恒信息首席科學家劉博提到：在業務層面，應當考慮建設包含預防、發現、消除泄密隱患為主的數據安全體系；在技術層面，應當考慮建設數據風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力4大核心數據能力的建設；最終建立“數據安全運營”的全過程自適應安全支撐能力，直至達到整體智治的安全目標。

1.建立健全管理組織體系和組織架構

企業數據安全管理的成敗，主要取決主要領導是否重視？意識是否提升？全員是否參與？是否建立了一套完善數據安全管理組織？這是數據安全的重要保障。要形成“管理層重視、一把手負責、全員參與”的管理模式。

2.建立完善的數據安全技術體系和落地

傳統方式已經無法適應新時代數據安全需要，面臨安全的新態勢、新要求，在繼續做好業務安全的基礎之上，通過智能化管理平臺，在技術層面實現對風險核查（Check）能力、數據梳理（Assort）能力、數據保護（Protect）能力以及數據威脅監控預警（Examine）能力4大核心能力的建設，在業務層面，實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。

3.引進下一代技術，實現流程自動化

人工智能和機器學習將是未來數據安全工作的關鍵，目前，多數大型企業正在尋求使某些法規遵從流程自動化，包括數據定位和提取，自動化是大型企業保持對大量存儲在數據中心和云中的結構化和非結構化數據兼容的唯一方式。

對于數據安全能力建設較為薄弱的企業，建議考慮零信任模式作為一種安全策略，有了“零信任”，企業將著眼于數據管理的整個生命周期，并將關注點從數據安全本身擴展到企業整體信息安全框架。

4.政府需落實數據安全保護責任，推動政務數據開放利用

政務數據安全與開發作為數安法的獨立章節，要求我國政府在落實數據安全保護責任的同時，推動政務數據開放利用。如何實現數據要素安全、高效的共享開放，劉博談到，個人隱私保護、敏感數據使用、數據確權等難題都成了數據要素市場化的“攔路虎”，我們可以通過引入“數據安全島”模式，利用安全計算沙箱、安全多方計算、區塊鏈等技術，實現原始數據不出本地，只交換計算結果，做到數據共享的“可用不可見”，解決數據信任和隱私保護、溯源等難題，讓流動的數據成為驅動數字經濟發展的新動能。

四、數據安全的未來

數據安全在未來仍將是一個重大挑戰，人工智能、機器學習和零信任模型的創造性應用將幫助IT和信息安全從業保護數據，以及確保組織和個人數據合規，助力國家數據安全戰略落地實施。

我國“十四五”規劃、“新基建”等政策將持續深入推進數據要素安全管控和市場化，提升社會數據資源價值，相信隨著《數據安全法》的出臺、落地實施，數據資源將會迸發出更強的活力。安恒信息站在時代與理論的前沿，提出以“CAPE”數據安全能力框架為核心的數據安全管控體系，包含數據安全管控、安全可控數據流通、安全可信融合計算三大核心能力，實現數據“可用不可見”的安全目標，將會持續為數字經濟產業的培育發展貢獻力量。