《法人》特約撰稿 王藝 余灝 周謝軍

9月1日，《中華人民共和國數(shù)據(jù)安全法》（下稱“數(shù)據(jù)安全法”）生效實施已滿兩周年。植德數(shù)據(jù)合規(guī)組長期專注數(shù)據(jù)合規(guī)工作，結合對市場上數(shù)據(jù)法規(guī)則、案例更新，列舉出數(shù)據(jù)安全法實施兩周年以來值得關注的七大亮點。

亮點一：不同行業(yè)數(shù)據(jù)安全管理辦法陸續(xù)出臺

數(shù)據(jù)安全法第六條第二款規(guī)定：“工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據(jù)安全監(jiān)管職責?！蹦壳?，工業(yè)、醫(yī)療、金融、證券、能源等領域，均結合領域數(shù)據(jù)處理的實際情況和特點，出臺了專門數(shù)據(jù)安全或網(wǎng)絡安全管理辦法。如《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》 《電力行業(yè)網(wǎng)絡安全管理辦法》《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》《證券期貨業(yè)網(wǎng)絡安全管理辦法（征求意見稿）》。

亮點二：數(shù)據(jù)分類分級制度在各行業(yè)進一步深化

數(shù)據(jù)安全法第二十一條第一款規(guī)定：“國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護?！睂嵺`中，金融、醫(yī)療、證券期貨、政務、電力、汽車等，均出臺專門的數(shù)據(jù)分類分級指南或者數(shù)據(jù)安全分級指南。

亮點三：重要數(shù)據(jù)目錄及其治理工作在多地試點

數(shù)據(jù)安全法第二十一條第三款規(guī)定：“各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護?！背四壳肮_的兩版《重要數(shù)據(jù)識別指南（征求意見稿）》（國標）外，具體細分行業(yè)也有相關部門規(guī)章在明確重要數(shù)據(jù)的概念和范圍，如《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》第十條、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第三條。其中《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》要求企業(yè)對重要數(shù)據(jù)目錄及其重大變化開展備案工作，而《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》則要求處理重要數(shù)據(jù)，需要開展風險評估以及在年度報告披露，向境外提供重要數(shù)據(jù)還需要補充報告。

此外，上海、浙江率先啟動重要數(shù)據(jù)識別和備案落地工作，上海市首批重要數(shù)據(jù)和核心數(shù)據(jù)認定工作已完成。值得關注的是，上海網(wǎng)信辦組織開展了數(shù)據(jù)分類分級、制定重要數(shù)據(jù)目錄試點，并發(fā)布11 個重要數(shù)據(jù)目錄試點工作優(yōu)秀單位和優(yōu)秀案例，為企業(yè)開展數(shù)據(jù)分類分級、重要數(shù)據(jù)目錄識別、數(shù)據(jù)全生命周期安全保護等方面提供了落地指引(具體見表1)。

亮點四：公共數(shù)據(jù)授權運營和數(shù)據(jù)場內(nèi)交易新發(fā)展

在公共數(shù)據(jù)授權運營方面，一些地方已取得關鍵突破。根據(jù)數(shù)據(jù)安全法第四十二條、第四十三條規(guī)定，“國家制定政務數(shù)據(jù)開放目錄，構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據(jù)開放平臺，推動政務數(shù)據(jù)開放利用”“法律、法規(guī)授權的具有管理公共事務職能的組織為履行法定職責開展數(shù)據(jù)處理活動，適用本章規(guī)定”，明確推動政務數(shù)據(jù)與公共數(shù)據(jù)的開發(fā)利用。

在政策新趨勢下：（1）上海、江蘇、廣東、湖北等地成立了地方數(shù)據(jù)集團承擔公共數(shù)據(jù)運營主體的角色，從制度、平臺、應用、流通等全面發(fā)力；（2）北京、杭州、青島等地已頒布或正在制定公共數(shù)據(jù)授權運營的規(guī)定；（3）多款公共數(shù)據(jù)授權運營產(chǎn)品及服務已上架數(shù)據(jù)交易場所；（4）部分公共數(shù)據(jù)試點平臺上線，獨立于交易所之外發(fā)展；（5）部分公共數(shù)據(jù)平臺與數(shù)據(jù)交易所合二為一進行發(fā)展。在新趨勢下，公共數(shù)據(jù)授權運營已經(jīng)進入快車道，全國各地正在全速推進。

在場內(nèi)數(shù)據(jù)交易方面，規(guī)范化的數(shù)據(jù)交易市場進一步培育壯大。根據(jù)數(shù)據(jù)安全法第十九條規(guī)定，“國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場” ，各地紛紛建立數(shù)據(jù)交易所，并出臺各類數(shù)據(jù)交易規(guī)則和流程指引，旨在規(guī)范場內(nèi)數(shù)據(jù)安全合規(guī)交易。

值得關注的是，2023年4月，全國首筆個人數(shù)據(jù)合規(guī)流轉交易在貴陽大數(shù)據(jù)交易所場內(nèi)完成，此筆交易各環(huán)節(jié)全程接受監(jiān)督管理，是個人數(shù)據(jù)合規(guī)使用、規(guī)范交易、合法收益的創(chuàng)新實踐，也是對B2B2C（網(wǎng)絡購物商業(yè)模式）數(shù)據(jù)合規(guī)交易全新商業(yè)模式的探索。

此外，2023年4月，深圳數(shù)據(jù)交易所通過與光大銀行深圳分行以及多家第三方數(shù)據(jù)服務機構的協(xié)同合作，實現(xiàn)無質(zhì)押數(shù)據(jù)資產(chǎn)增信貸款項目業(yè)務落地。憑借在深圳數(shù)據(jù)交易所上架的數(shù)據(jù)交易標的，深圳微言科技有限責任公司通過光大銀行深圳分行授信審批并成功獲得1000 萬元授信額度，順利放款。

亮點五：處罰案例覆蓋線上線下及大小規(guī)模企業(yè)

執(zhí)法是最好的普法。結合對市場發(fā)布的相關依據(jù)數(shù)據(jù)安全法處罰案例初步分析，網(wǎng)信辦等部門正加大執(zhí)法力度和頻度處罰，數(shù)據(jù)安全法已在實務中成為網(wǎng)絡和數(shù)據(jù)安全執(zhí)法的主要依據(jù)之一，特別是在2023年呈爆發(fā)式增長趨勢。處罰依據(jù)主要是數(shù)據(jù)安全法第二十七條（數(shù)據(jù)安全保護義務）、第二十九條（數(shù)據(jù)安全風險監(jiān)測與補救）、第三十二條（合法正當采集數(shù)據(jù)）。

對于執(zhí)法對象，已覆蓋線上線下各行業(yè)領域，各類大小規(guī)模企業(yè)。除票務、電商等線上平臺外，還包括高校、醫(yī)院、燃氣等公共事業(yè)單位以及餐飲、網(wǎng)吧、足浴等線下門店。不論企業(yè)規(guī)模大小，均可能受到處罰。

對于違法的常見情形，包括未建立相應技術措施和管理制度、存在數(shù)據(jù)安全風險或發(fā)生數(shù)據(jù)泄露等（見表2）；對于處罰結果，需要做到“過罰相當”。如未發(fā)生數(shù)據(jù)泄露后果，但存在違法違規(guī)事項的企業(yè)，監(jiān)管通常給予責令整改、警告的處罰結果。但對于如果發(fā)生數(shù)據(jù)泄露或造成其他嚴重后果時，一般會具體罰款，目前罰款上限為100 萬元。值得關注的是，除了企業(yè)受罰外，直接負責人也可能受到處罰。

表2：數(shù)據(jù)安全法處罰中常見違規(guī)事項（部分）

亮點六：數(shù)據(jù)安全合規(guī)首次成為企業(yè)IPO必答題

自數(shù)據(jù)安全法實施以來，證券監(jiān)管部門已就涉及數(shù)據(jù)處理的境內(nèi)外擬IPO 企業(yè)是否滿足數(shù)據(jù)安全法相關要求進行重點問詢。企業(yè)往往需要對照數(shù)據(jù)安全法，重點在于數(shù)據(jù)生命周期處理活動的合法合規(guī)性以及是否履行數(shù)據(jù)安全保護義務、是否建立數(shù)據(jù)安全管理體系、是否進行風險評估監(jiān)測、是否發(fā)生數(shù)據(jù)安全事件、是否存在數(shù)據(jù)方面行政處罰或糾紛進行答復。

值得關注的是，2023年3月起，數(shù)據(jù)安全合規(guī)首次明確成為境內(nèi)上市“必答題”。深交所和上交所發(fā)布的《深圳證券交易所股票發(fā)行上市審核業(yè)務指南第3 號——首次公開發(fā)行審核關注要點（2023年修訂）》《上海證券交易所發(fā)行上市審核業(yè)務指南第4 號——常見問題的信息披露和核查要求自查表》，均要求保薦人、發(fā)行人律師需對公司相關經(jīng)營是否符合個人信息保護法、數(shù)據(jù)安全法、網(wǎng)絡安全法等法律法規(guī)進行核查，并發(fā)表明確意見。

亮點七：第36條在境外頻頻被企業(yè)援引

在境外證據(jù)開示過程中，美國地區(qū)法院有多個案例裁定中國數(shù)據(jù)安全法第三十六條不能阻止美國法院依據(jù)聯(lián)邦程序法調(diào)取中國境內(nèi)數(shù)據(jù)。相關美國法院認為，提交證據(jù)是一方當事人向另外一方當事人提交，而不是向法院提交。此外法院還認為，當事人沒有提交證據(jù)證明該條款在內(nèi)的中國法律阻礙其提交案件證據(jù)。數(shù)據(jù)安全法第三十六條規(guī)定：“中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關批準，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)?！睘榇?，實務中，中國企業(yè)在海外法院開庭時，需要考慮提交充分證據(jù)（如監(jiān)管部門“拒絕”的文件或者專家論證意見）證明其無法履行證據(jù)提交義務。

綜上所述，數(shù)據(jù)安全法第一條規(guī)定：“為了規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用，保護個人、組織合法權益，維護國家主權、安全和發(fā)展利益，制定本法?！睌?shù)據(jù)安全法作為數(shù)據(jù)安全領域基礎性法律，從兩周年落地實踐可看出，其設立的多樣數(shù)據(jù)安全保護機制正對各行各業(yè)發(fā)揮著深遠影響，對維護國家利益、公共利益、組織和個人合法權益起到重要保障作用，促使中國數(shù)字經(jīng)濟正朝著安全、合法、規(guī)范的方向發(fā)展和前進。