数据之进步《数据安全法（草案）》

电子支付、人脸识别、搜索引擎、各类APP软件、4G/5G通信网络等一系列以数据作为基础的信息化产品无不充斥着我们如今的日常生活。在享受信息化技术带来方便的同时，我们也应该考虑到数据泄露、个人信息被非法获取并利用、网络空间信息遭到入侵等风险也面临着重大的挑战。

2020年7月，《数据安全法（草案）》（简称《草案》）对外公布并公开征求意见。该《草案》首次将规范的对象限制为“数据”并明确其定义为“任何以电子或者非电子形式对信息的记录”，而不再使用“信息”或者“网络”等词语，较为清晰的界定了“数据”的边界。我们对读者感兴趣的要点进行了如下梳理.

一、 数据安全治理与监管

首先，明确了我国数据安全治理的顶层设计，由中央国家安全领导机构负责数据安全工作的决策和统筹协调（第6条）。其次，规定了各地区、各部门的主体责任，该责任不仅是对数据安全负责，而且需贯穿于数据的产生到加工的整个过程。同时，明确了行业主管部门以及公安（国安）对各自领域数据安全的监管职责，由国家网信部门进行数据安全的统筹协调（第7条）。

二、 数据分级分类保护制度

《草案》 明确了以数据在经济社会发展中的重要程度以及危害程度，对数据实行分级分类保护。同时要求各地区、各部门应当确定各自的重要数据保护目录，对列入目录的数据进行重点保护。此规定可以看出，对于重要数据的定义和范围，应各地区或者部门出台的数据保护目录为准。

然而，《草案》并未就数据的分级和分类，以及不同级别或者类别采取何种保护进行明确，在此希望《草案》或者后续的相关解释能给出更为具体的内容（第19条）。

三、 数据安全的风险评估

《草案》明确规定了国家应建立高质量的数据安全风险评估、报告、信息共享等机制。对于重要数据的处理者，其应对数据活动定期开展风险评估并作出报告，该报告应包括数据的种类、数量、收集、存储、加工、使用数据的情况等内容（第28条）。

四、 数据交易中介服务

首先，《草案》首次明确了从事数据交易中介服务机构在提供服务时，应当要求数据提供方说明数据来源，并审核交易双方的身份，并留存审核、交易记录。此条款更偏向于对所提供数据的形式审核，仅要求说明数据来源，并非审核数据的合法性。其次，如数据交易中介服务机构未履行上述义务，而导致非法来源数据交易的，最高可处罚100万人民币（第30条，第43条）。

五、 政务数据开放

早在2015年国务院印发的《促进大数据发展行动纲要》就指出“2018年底前建成国家政府数据统一开放平台，率先在信用、交通、医疗、卫生、就业、社保、地理、文化、教育、科技、资源、农业、环境、安监、金融、质量、统计、气象、海洋、企业登记监管等重要领域实现公共数据资源合理适度向社会开放”。

此次，在现有的相关政策或规则基础之上，《草案》进一步对政务数据的安全与开放也提出了明确的要求，包括要求提高政务数据的科学性、有效性、时效性，国家机关依法收集及使用数据，健全数据安全管理制度，依照法定程序委托他人存储或加工数据等（第34-40条）。

《数据安全法（草案）》虽从立法层面看仍存在着内容过于宽泛或者模糊等问题。但是就整体而言，将数据安全提升至法律层面进行保护也是一大进步。同时，也无时不刻提醒着各级政府、企业和个人只有依法采集、运营、使用数据，才可以更加安全的享受信息化技术带来的便利。

作者: 王静
HFG Law&Intellectual Property