《数据安全法》施行后：企业数据合规不容忽视的五大方面

2021年9月1日起，《中华人民共和国数据安全法》（简称《数据安全法》），正式施行，伴随《数据安全法》的出台，我国网络与数据安全的法律体系正在逐渐形成，相关制度及监管重点也开始变得明朗。

　　在这一背景下，企业务必关注如何履行自身的合规义务、落地合规相关要求等重要问题，借此，我们梳理了五大方面值得关注的焦点，希望相关企业能够高度重视。

　　01

　　数据全面范围界定

　　“数据处理”将全生命周期覆盖

　　《数据安全法》第三条对“数据”采取全面范围的界定，“任何以电子或者其他方式对信息的记录都属于数据”。也就是说，纸质档案信息也属于数据，同样具有信息保护价值。

　　而对于“数据处理”的界定，根据《数据安全法》第三条的相关规定，则包括数据的收集、存储、使用、加工、传输、提供、公开等。整体来看，这形成了对数据全生命周期的覆盖。

　　02

　　建立数据分类分级保护制度

　　且重要数据具体目录的制定权下放

　　《数据安全法》第二十一条规定，“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护，将关系国家安全、国民经济命脉、重要民生、重大公共利益等数据，列入国家核心数据，实行更加严格的管理制度。”

　　同时，《数据安全法》将数据分类分级保护制度与重要数据目录直接对应，并要求各地区、各部门按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录。

　　不同地区、行业的数据分类分级的评价规则及衡量指标差异巨大，《数据安全法》充分考虑实操性，将重要数据具体目录的制定权下放到各地区、各部门。

　　当前，部分地区和行业已从数据分类分级的角度出台了法律法规指导，如《烟台市公共数据开放分级分类指南（试行）》、《天津市数据安全管理办法(暂行)》等地方立法，再如工业行业的《工业数据分类分级指南（试行）》，金融行业的《金融数据安全数据安全分级指南》及《个人金融信息保护技术规范》。

　　回到企业合规，建议企业先从重要数据的识别和管理出发,进一步完善现有的数据分类分级保护制度。此外,企业在建立自身数据分级分类制度时，还需要结合自身行业及地域识别监管要求，予以不同程度的管理和保护。

　　03

　　建立数据安全审查制度

　　企业负有更多数据安全责任

　　《数据安全法》第二十四条规定，“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”

　　2021年7月2日，网络安全审查办公室在国家网信办官网发布公告，宣布将对滴滴出行启动网络安全审查，并要求为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

　　这是自2020年4月，国家互联网信息办公室等12部门联合制定的《网络安全审查办法》发布以来全国首例触发的网络安全审查程序。

　　2021年7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，开展网络安全审查。

　　随着相关配套法律法规的进一步出台，数据国家安全审查将成为企业合规工作需要重点关注和落实的一项合规义务。企业除要主动履行数据安全审查申报义务外，还负有防止数据被泄露、损毁、丢失的责任。

　　04

　　国家数据主权不可忽视

　　数据跨境呈严管趋势

　　《数据安全法》第三十一条明确不同数据出境监管，关键信息基础设施的运营者境内运营中收集和产生的重要数据的出境适用《网络安全法》有关规定，其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

　　尽管目前还尚未出台针对其他数据处理者的具体管理办法，但企业在与境外数据方合作时，应充分考虑未来因数据跨境受限而引发违约责任的可能。因此，为了免除后续无法提供服务而承担违约责任，建议企业在合同中明确将政策调整纳入免责事由。

　　《数据安全法》第三十六条规定，“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”而第四十六、四十八条针对违反规定的数据出境行为制定了多项罚则,反映出国家强调数据主权，对数据出境严格监管的态势。

　　企业在跨境提供数据时要保持高度谨慎和警惕，如需要向境外执法、司法机构提供中国境内存储的数据，必须先报请主管机关批准。为了免除因审批不通过无法履行合同而承担违约责任，建议企业明确在合同中注明，如出现需要向境外司法机关、执法机关提供境内数据的情况，须以境内审批结果为准，并同时要求对方不得私自将获得的相关数据向司法或执法机构提供。

　　05

　　加强数据处理风险监测

　　重要数据风险定期评估

　　《数据安全法》第二十九条规定，“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”第三十条规定“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。”

　　根据《数据安全法》第二十九条、第三十条规定，企业应定期开展风险评估及报告制度。企业的数据处理活动一旦涉及重要数据,需要履行设立数据安全负责人和管理机构，必要时，企业可通过聘请律师事务所或其他第三方机构，让其协助进行重要数据的风险评估及报告编制。

　　06

　　写在最后

　　大数据时代，数据安全构成现代风险社会中企业共同面临的一大难题，《数据安全法》的出台，为数据安全和合规搭建了基本的法律框架。

　　对于企业来说，数据合规必然会面临更大的外部监管压力，企业在遵从《数据安全法》的同时，还应密切关注后续相关配套法律法规、指引或标准的出台。尤其是对数据敏感的企业，建议企业尽早对内部的数据管理现状进行梳理,找出潜在的风险点，区分整改优先级别,构建自身合规体系、落地合规制度。