立法專家：企業需要及時做好數據合規風險評估

中國人民大學法學院副教授、博導，未來法治研究院副院長丁曉東 受訪者供圖

6月10日，《中華人民共和國數據安全法》（下稱《數據安全法》）正式通過並公佈，將於2021年9月1日起施行。

工信部中國信通院的數據顯示，2020年我國數字經濟規模達到39.2萬億元（同比增加約一成），佔當年GDP的近四成。數字經濟增速達到GDP增速3倍以上，數字經濟成為穩定經濟增長的關鍵動力。與此同時，不管是國內還是國外，數據泄露事件時有發生。

那麼，《數據安全法》的出台有何重要意義？將對哪些行業產生重要影響？企業又該如何做好數據使用的合規工作？新京智庫為此採訪了參與該法立法工作的中國人民大學法學院副教授、博導，未來法治研究院副院長丁曉東。

為數字經濟提供製度安全保障

新京智庫：請你簡單介紹一下《數據安全法》出台的主要意義有哪些？

丁曉東：《數據安全法》出台最重要的一個意義是，為數字經濟以及數據產業的發展提供了安全制度保障。《個人信息保護法》主要側重於對個人信息進行保護，《數據安全法》其實是國家的總體安全觀在數據領域的一個體現。雖然後者也有涉及一些個人信息保護的問題，但最主要的還是個人信息以外的數據安全保護問題，比如説人口基因數據、汽車數據等重要數據。

可以説，《數據安全法》和《個人信息保護法》構成了我國數據安全的基本體系，即數據和信息安全體系的“兩翼”。

新京智庫：《數據安全法》與此前的草案相比做了哪些修改，為什麼做這樣的修改？

丁曉東：《數據安全法》在四個方面做了一些修改。首先，對於數據安全的管理體制進行了更充分的梳理和清晰的職責劃分。在《數據安全法》的一審和二審稿中，數據安全的治理機關，或者説負責機關，相對來説沒有那麼清晰，但是終審稿在這方面明確了國家安全機關作為通力協調的機關。其他如電信、網絡等各方面也有相應的職責規定，負責各自領域的數據安全。這樣就使得權責更加一致，使得數據安全的落地有了保障。

其次，對於一些行業數據，比如説關係到國家經濟命脈、重要領域的數據有更嚴格的規定，包括加大處罰力度。傳統的行政處罰常常按50萬元或者100萬元等相對較低的額度進行處罰，但是涉及數據信息，危害面非常廣，尤其可能會對國家安全造成影響。《數據安全法》以及即將出台的《個人信息保護法》都有提高處罰力度。這應當説對於落實數據安全保護是有利的。

再次，《數據安全法》對老年人權益和弱勢羣體權益也有相應保護規定，回應了數字鴻溝問題。比如《數據安全法》第十五條規定，“提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。”

最後，對於政務數據的開放做了更詳細的規定。政務數據的安全是所有數據安全的核心。同時，政務數據安全也關乎到數據要素市場的建設。那麼，對政務數據進行規定有利於我國的數據安全保護，同時也充分把握或者説充分協調了數據的安全和發展之間的關係。誠然，把政務數據封閉起來是最安全的，但這樣的安全是沒有意義的。有意義的“安全”是讓政務數據開放，只有在開放和發展中，政務數據才是有價值的，也只有在這種情況下的安全才是有意義的。

企業需做好數據合規使用風控機制

新京智庫：你認為《數據安全法》的出台將對哪些行業產生深刻影響？有觀點認為金融業將受到最大影響，為什麼？

丁曉東：這是一個比較難回答的問題。我的理解是，有的行業數據安全合規工作已經做得很好，對這些行業及企業來説影響可能就不會很大，因為《數據安全法》的出台對其來説只不過是確認了一個事實而已。影響比較大的可能是一些之前數據安全合規工作做得不到位的、有疏忽的行業。《數據安全法》出台後，這些行業中的企業可能也沒有特別注意數據安全問題。

這裏涉及一個概念，重要數據。什麼是重要數據？重要數據涉及兩個方面，一方面可能是一些企業所使用數據的條數非常多，即數量非常大，另一方面這些企業所使用的數據可能關乎到國家的安全風險。

有些疏忽數據安全合規工作的企業，所使用的數據可能對國家安全也沒有太大影響。但是因為《數據安全法》可能會導致一個現象，就是這些企業不敢用數據了，或者不敢讓數據出境了。這類企業可能需要趕緊去倒查，建立起一個機制，以避免屆時造成不必要的數據風險，或者不必要的數據使用障礙。

舉個例子，商品標識碼是我們日常都會用到的一種數據。商品的標識碼出境其實一般不會對國家安全帶來什麼影響，如果不出境反而可能有安全問題。比如亞馬遜上架一箇中國的商品，如果查不到這個數據，即商品標識碼的話，就會有安全問題，因為可能不允許該商品上架。因為這些數據（包括商品標識碼）的數量比較多，很多企業以及行業協會都不敢把這些數據帶出境，這樣其實反而會帶來很多問題。

新京智庫：《數據安全法》的出台將讓數據安全成為企業重要的法定義務。你認為境內、境外企業該怎麼做才能使數據使用行為合規化？

丁曉東：相對來説，《數據安全法》的原則性規定多，這與《個人信息保護法》不同，前面也説了，前者是國家總體安全觀在數據領域的一個體現，所以這是一部風險導向的法律。企業的數據使用是否合規一定要倒查。如果涉及重要數據的話，企業需要進行內部風險安全評估。如果還涉及數據出境，則需要建立一套風險評估制度，按照《數據安全法》的要求做風險評估尤為必要。

如果説企業評估工作不事先做好，也沒有及時到相關部門報備，可能《數據安全法》一旦執行起來，對企業的衝擊就會很大。比如某家企業是做國際貿易業務的，現在數據出不去了，這就會對公司發展帶來很大沖擊。所以，無論是境內還是境外企業，一定要把數據合規工作做好。

如果企業所使用的數據是完全公開的，比如學術性研究數據，這個風險不大。如果是一些半公開的數據，比如地理測繪數據，尤其是非常詳細的，那麼，使用這類數據的企業就一定要做好風險評估和溝通機制、備案。

所以，企業做好數據合規使用，除了企業自身內部的風控機制，外部的風險評估機制之外，還需要與所在地的監管機構及時進行溝通。

從這個意義上説，無論是《數據安全法》還是未來更細化的規定出台，企業都需要做好評估，其所使用的數據大概是處於一個什麼樣的風險等級，對於一些高風險等級的數據一定要做好預案，做好數據本地化工作，或者類似一些措施來降低風險。

《數據安全法》強調數據安全主權

新京智庫：有觀點認為，《數據安全法》強調了數據主權，但第四十六條對於“向境外提供重要數據的”的處罰力度並不高。為何做這樣的安排？

丁曉東：我個人認為，《數據安全法》其實並不是強調數據主權，而是強調數據安全主權。這兩個概念有什麼區別呢？如果強調數據主權，就意味着要把數據隔絕起來，類似於傳統的主權管理。如果強調數據安全主權，則是兼顧數據的跨境流通和數據安全。我覺得理解為《數據安全法》是強調數據安全主權更合理，或者説更符合數據的本質特徵。不是説要把數據隔絕起來，把數據本身管起來，而是把風險管起來。

新京智庫：有觀點認為，《數據安全法》讓我國也有了“長臂管轄”的法律依據。你認為我們該如何利用好《數據安全法》保護國內法人、自然人的合法權益？

丁曉東：我不認為《數據安全法》有“長臂管轄”功能，我們國家的法律都是防禦性的。《數據安全法》關照的是數據安全，是對數據傳輸做出的法律規定，是為了維護一個國家的數據安全；同時，也關照到其他國家對於數據安全的需求。從這個意義來説，其實是一以貫之地貫徹了我們國家的“和平共處五項原則”。

新京智庫：《數據安全法》第六條規定，各地區、各部門，行業各部門，公安機關、國安機關以及網信部門分別承擔着相關的監管職責或工作。為何做這樣的安排？這樣做是否可能陷入多頭管理而變成無人管理的尷尬？

丁曉東：之所以做這樣的規定，最主要是因為數據的行業屬性比較強。因此，安全部門扮演了一個統籌協調的“總負責人”角色。另外，對有些行業採取這種監管方法也符合數據的特徵，如果所有行業都由國家安全部門監管的話，首先可能面臨安全部門管不過來的尷尬；其次，也可能出現由於對這些行業不夠了解而出現執法上的偏差，比如監管過嚴或過寬。所以，由不同的行業部門來監管不同行業的數據使用，反而比較合適。

新京智庫：你對於做好我國數據安全保護工作還有什麼建議或期待？

丁曉東：首先，需要做好與其他相關法律的銜接。比如，做好《數據安全法》與《網絡安全法》的銜接，還需做好與即將出台的《個人信息保護法》的銜接。這三部法律，某種程度上構成了一個大的安全體系。做好整個國家的信息安全需要法律間的相互協調和配合。

其次，需要注意數據的發展和安全的並重，或者説用辯證的思維去看待數據安全。解決數據安全問題，一定需用一種發展理念下的安全觀，而不是絕對的、僵化的安全觀。這個是我覺得比較重要的一點建議。

文|新京智庫訪談員 肖隆平 編輯 柯鋭 校對 楊許麗