季立刚：数据安全立法是主动的“保障措施”，企业应尽早做好相关合规工作

7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，开展网络安全审查。

同日，在国新办新闻发布会上，工业和信息化部新闻发言人、信息通信管理局局长赵志国表示，工信部已出台了《电信和互联网行业数据安全标准体系建设指南》，下一步将出台数据安全管理制度。加快制定工业和信息化领域数据安全管理政策，更好地承接《数据安全法》在行业的实施落地。

复旦大学中国金融法治研究院执行院长、上海四维乐马律师事务所律师季立刚向《国际金融报》记者表示，“当前，世界多国均已对网络安全事项开展形式多样的审查，既包括对网络产品、服务安全和国家网络安全态势的常态性审查，也包括回应特定网络安全事件的非常态性审查。”

7月以来，相关部门围绕“数据安全”做了一系列动作。

7月2日，国家网信办宣布对滴滴出行启动网络安全审查，这是《网络安全审查办法》发布以来的首次审查行动。

7月4日，“滴滴出行”App被下架，网信办指出其原因为“滴滴出行”App存在严重违法违规收集使用个人信息问题。

7月10日，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，国家网信办会同有关部门修订了《网络安全审查办法》。

“在信息技术供应全球化态势之下，任何信息技术产品都可能由不同的国家进行设计、生产、组装和调试，来源地将愈发复杂和模糊。特别是在‘后棱镜’时代，全球网络安全的可信环境跌入冰点。在此情况下，我国建立国家网络安全审查制度具有充足的正当性基础和现实安全需求，是一种积极、主动的‘保障措施’。”季立刚进一步解释。

复旦大学中国金融法治研究院执行院长 季立刚

为数据新秩序奠定基础

记者了解到，我国数据安全领域的立法目前仍处于不断完善的过程中，相关的法律和规定大致可以概括为“3+3+1+1”，即三部基本法、三部拟出台的部委规章、一部地方法规、一个指导性文件。

三部基本法，分别是2017年已生效的《中华人民共和国网络安全法》，将于2021年9月1日实施的《中华人民共和国数据安全法》，和在审议阶段的《中华人民共和国个人信息保护法》。

三部拟出台的部委规章，分别是国家互联网信息办公室的《汽车数据安全管理若干规定》，工业和信息化部的《智能网联汽车生产企业及产品准入管理指南（试行）》，和全国信息安全标准化技术委员会的《信息安全技术、网联汽车、采集数据的安全要求》，目前均在面向公众及行业征求意见的阶段。

一部地方法规，即深圳市人大常委会出台的《深圳经济特区数据条例（征求意见稿）》，目前尚未正式颁布实施，但深圳是我国目前在数据安全领域立法进程较快的地方。

一个指导性文件，指的是国家全国信息安全标准化技术委员会编制的《网络安全实践指南——欧盟GDPR关注点》，但其不具有强制性法律效力。

据季立刚介绍，总体而言，新出台的《数据安全法》是一部高度凝练的法律，全文共计5470字，分为七个章节，合计五十五条，条款体量、数量不算大。但是，《数据安全法》作为数据领域的基础性法律，明确阐明了数据安全与产业发展的关系，影响是全方位的，不限于特定地区或特定行业。

不过，对于数据安全监管和保护所涉的各方，《数据安全法》目前更多是提纲挈领式地作出制度安排，一些具体细则还有待在实践中摸索总结，也有待后续配套法律法规进一步明确。

“值得一提的是，《数据安全法》不仅明确了其对在中华人民共和国境内开展的数据处理活动的适用效力，还赋予其一定的域外适用效力。对损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的数据处理活动依法予以追责，有助于维护我国的数据主权完整和数据利益，提高我国在国际数据竞争中对数据活动的掌控力和话语权。”季立刚强调。

同时，《数据安全法》与《网络安全法》等法律法规相互支援，基于“攻守兼备的数据主权”及“数据安全和数据利用的平衡”，《数据安全法》以将数据分级分类，以“重要数据”为规制重心，衍生出包括重要数据识别、报送和泄露通知在内的种种制度设计，从而为一个国内安全有序、国际公正合理的数据新秩序奠定基础。

企业应尽早做合规筹划和安排

在近日召开的2021世界人工智能大会上，诸多科技企业高管公开表示，AI发展应向善。

我国近年来崛起大批科技企业，这些企业掌握着海量数据，企业若不善用这些数据，对国家安全、公民个人隐私、产业发展等方面都有诸多危害。

在季立刚看来，数据被喻为数字社会的“石油”并不夸张，数据和信息已经成为信息主体、数据平台甚至国家争夺的资源，各个国家已规定或试图规定的“长臂管辖权”，也足以证明数据或信息的权属之争有多激烈。

同时，数据或特定信息的开放与共享已是数字社会发展的客观需求，如未能对数据权属及数据利用予以法律层面的规制，长远来看，将大大制约数字社会的发展。

对于科技企业而言，数据是其核心的企业资产之一。从某种意义上说，其拥有的海量数据是科技平台市场运行的结果，也是平台业务发展的内在要求。“但科技行业良性、健康发展的前提在于信息技术和数据的合法、合规应用。”季立刚强调。

季立刚认为，随着我国信息数据法律体系的构建和完善，企业应追踪关注规则动态，尽早做好相关的合规筹划和合规安排，结合自身业务特点，尤其针对核心数据产品、数据算法、新型技术的开发应用等，提前部署数据获取、数据开发和数据利用的策略，评估现有技术应用的合规风险，以确保获取数据的合法合规及正当性。

“企业需要对《数据安全法》规定的六大制度或措施，以及七大义务加以高度重视。具体而言，可归纳为数据分类分级保护制度；数据安全风险评估、报告、信息共享、监测预警机制；数据安全应急处置机制；数据安全审查制度；出口管控措施；外交对等措施等，以及数据安全保障义务、公序良俗遵守义务、数据处理合法义务、数据服务审查义务、司法监管配合义务、跨境流动合规义务、特殊群体的适应化义务，从而深入了解《数据安全法》项下的安全管理制度和企业的安全保障义务，建立符合法律规定的合规体系，以及如何厘清《数据安全法》与其他相关法律、法规以及标准性文件的关系。”季立刚表示。

“企业可根据自身所处行业发展特点以及企业的自身情况，开展内部数据分类分级管理工作，建立相应的管理制度。同时，结合不同类型、级别的数据，建立与之相互匹配的技术管控措施和人员管理制度，以实现分类分级结果与数据存储、权限、脱敏、开发等措施挂钩，实现体系化管理。同时，企业还应根据法规政策、行业标准以及自身业务的变化，及时调整企业数据分类目录和相关管理、技术保障措施。企业的业务场景如果涉及数据出境、数据出口、境外执法调查要求提供境内数据等场景。针对数据出境场景，应当进行审查评估并依据法律规定进行必要的审批。业务涉及数据出口的，企业还应事先逐项审查出口数据并评估其是否落入管制清单，并确保取得管制物项出口经营资格，同时履行向国家出口管制主管部门申报并获得许可的义务。”季立刚进一步解释道。

此外，季立刚还表示，国家网信办近日会同有关部门修订《网络安全审查办法》，这将敦促科技企业建立起合理、有效的监管机制，有效保护合法竞争、坚决防范系统性风险，为市场各参与方保驾护航。

（复旦大学法学院博士研究生 王雨乔 对此文亦有贡献）

记者：吴斯洁

编辑：潘晟

责任编辑：毕丹丹

—— / 好文推荐 / ——

又来？美参议院通过法案禁止进口新疆产品！网友：美国支持人权的方式是让对方失业

全国碳交易市场上线倒计时！碳价如何定？交易配额如何分？官方解答来了

CPI再破五，美国止胀难

三菱电机35年数据造假，“日本制造”再添垢

太空旅行：只是富豪的“冒险游戏”

在A股潜伏近27年，傍上国资的海南海药为啥总是亏？

人民币等中国资产“越来越香”！

特朗普拿了保守派民调第一，有望成为2024年大选共和党候选人

突发重磅！市场监管总局依法禁止虎牙与斗鱼合并！释放什么信号？专家解读来了！

点亮“在看”，你最好看！ (*╯3╰)