立法專家：企業需要及時做好資料合規風險評估

中國人民大學法學院副教授、博導，未來法治研究院副院長丁曉東 受訪者供圖

6月10日，《中華人民共和國資料安全法》（下稱《資料安全法》）正式透過並公佈，將於2021年9月1日起施行。

工信部中國信通院的資料顯示，2020年我國數字經濟規模達到39.2萬億元（同比增加約一成），佔當年GDP的近四成。數字經濟增速達到GDP增速3倍以上，數字經濟成為穩定經濟增長的關鍵動力。與此同時，不管是國內還是國外，資料洩露事件時有發生。

那麼，《資料安全法》的出臺有何重要意義？將對哪些行業產生重要影響？企業又該如何做好資料使用的合規工作？新京智庫為此採訪了參與該法立法工作的中國人民大學法學院副教授、博導，未來法治研究院副院長丁曉東。

為數字經濟提供製度安全保障

新京智庫：請你簡單介紹一下《資料安全法》出臺的主要意義有哪些？

丁曉東：《資料安全法》出臺最重要的一個意義是，為數字經濟以及資料產業的發展提供了安全制度保障。《個人資訊保護法》主要側重於對個人資訊進行保護，《資料安全法》其實是國家的總體安全觀在資料領域的一個體現。雖然後者也有涉及一些個人資訊保護的問題，但最主要的還是個人資訊以外的資料安全保護問題，比如說人口基因資料、汽車資料等重要資料。

可以說，《資料安全法》和《個人資訊保護法》構成了我國資料安全的基本體系，即資料和資訊保安體系的“兩翼”。

新京智庫：《資料安全法》與此前的草案相比做了哪些修改，為什麼做這樣的修改？

丁曉東：《資料安全法》在四個方面做了一些修改。首先，對於資料安全的管理體制進行了更充分的梳理和清晰的職責劃分。在《資料安全法》的一審和二審稿中，資料安全的治理機關，或者說負責機關，相對來說沒有那麼清晰，但是終審稿在這方面明確了國家安全機關作為通力協調的機關。其他如電信、網路等各方面也有相應的職責規定，負責各自領域的資料安全。這樣就使得權責更加一致，使得資料安全的落地有了保障。

其次，對於一些行業資料，比如說關係到國家經濟命脈、重要領域的資料有更嚴格的規定，包括加大處罰力度。傳統的行政處罰常常按50萬元或者100萬元等相對較低的額度進行處罰，但是涉及資料資訊，危害面非常廣，尤其可能會對國家安全造成影響。《資料安全法》以及即將出臺的《個人資訊保護法》都有提高處罰力度。這應當說對於落實資料安全保護是有利的。

再次，《資料安全法》對老年人權益和弱勢群體權益也有相應保護規定，回應了數字鴻溝問題。比如《資料安全法》第十五條規定，“提供智慧化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。”

最後，對於政務資料的開放做了更詳細的規定。政務資料的安全是所有資料安全的核心。同時，政務資料安全也關乎到資料要素市場的建設。那麼，對政務資料進行規定有利於我國的資料安全保護，同時也充分把握或者說充分協調了資料的安全和發展之間的關係。誠然，把政務資料封閉起來是最安全的，但這樣的安全是沒有意義的。有意義的“安全”是讓政務資料開放，只有在開放和發展中，政務資料才是有價值的，也只有在這種情況下的安全才是有意義的。

企業需做好資料合規使用風控機制

新京智庫：你認為《資料安全法》的出臺將對哪些行業產生深刻影響？有觀點認為金融業將受到最大影響，為什麼？

丁曉東：這是一個比較難回答的問題。我的理解是，有的行業資料安全合規工作已經做得很好，對這些行業及企業來說影響可能就不會很大，因為《資料安全法》的出臺對其來說只不過是確認了一個事實而已。影響比較大的可能是一些之前資料安全合規工作做得不到位的、有疏忽的行業。《資料安全法》出臺後，這些行業中的企業可能也沒有特別注意資料安全問題。

這裡涉及一個概念，重要資料。什麼是重要資料？重要資料涉及兩個方面，一方面可能是一些企業所使用資料的條數非常多，即數量非常大，另一方面這些企業所使用的資料可能關乎到國家的安全風險。

有些疏忽資料安全合規工作的企業，所使用的資料可能對國家安全也沒有太大影響。但是因為《資料安全法》可能會導致一個現象，就是這些企業不敢用資料了，或者不敢讓資料出境了。這類企業可能需要趕緊去倒查，建立起一個機制，以避免屆時造成不必要的資料風險，或者不必要的資料使用障礙。

舉個例子，商品標識碼是我們日常都會用到的一種資料。商品的標識碼出境其實一般不會對國家安全帶來什麼影響，如果不出境反而可能有安全問題。比如亞馬遜上架一箇中國的商品，如果查不到這個資料，即商品標識碼的話，就會有安全問題，因為可能不允許該商品上架。因為這些資料（包括商品標識碼）的數量比較多，很多企業以及行業協會都不敢把這些資料帶出境，這樣其實反而會帶來很多問題。

新京智庫：《資料安全法》的出臺將讓資料安全成為企業重要的法定義務。你認為境內、境外企業該怎麼做才能使資料使用行為合規化？

丁曉東：相對來說，《資料安全法》的原則性規定多，這與《個人資訊保護法》不同，前面也說了，前者是國家總體安全觀在資料領域的一個體現，所以這是一部風險導向的法律。企業的資料使用是否合規一定要倒查。如果涉及重要資料的話，企業需要進行內部風險安全評估。如果還涉及資料出境，則需要建立一套風險評估制度，按照《資料安全法》的要求做風險評估尤為必要。

如果說企業評估工作不事先做好，也沒有及時到相關部門報備，可能《資料安全法》一旦執行起來，對企業的衝擊就會很大。比如某家企業是做國際貿易業務的，現在資料出不去了，這就會對公司發展帶來很大沖擊。所以，無論是境內還是境外企業，一定要把資料合規工作做好。

如果企業所使用的資料是完全公開的，比如學術性研究資料，這個風險不大。如果是一些半公開的資料，比如地理測繪資料，尤其是非常詳細的，那麼，使用這類資料的企業就一定要做好風險評估和溝通機制、備案。

所以，企業做好資料合規使用，除了企業自身內部的風控機制，外部的風險評估機制之外，還需要與所在地的監管機構及時進行溝通。

從這個意義上說，無論是《資料安全法》還是未來更細化的規定出臺，企業都需要做好評估，其所使用的資料大概是處於一個什麼樣的風險等級，對於一些高風險等級的資料一定要做好預案，做好資料本地化工作，或者類似一些措施來降低風險。

《資料安全法》強調資料安全主權

新京智庫：有觀點認為，《資料安全法》強調了資料主權，但第四十六條對於“向境外提供重要資料的”的處罰力度並不高。為何做這樣的安排？

丁曉東：我個人認為，《資料安全法》其實並不是強調資料主權，而是強調資料安全主權。這兩個概念有什麼區別呢？如果強調資料主權，就意味著要把資料隔絕起來，類似於傳統的主權管理。如果強調資料安全主權，則是兼顧資料的跨境流通和資料安全。我覺得理解為《資料安全法》是強調資料安全主權更合理，或者說更符合資料的本質特徵。不是說要把資料隔絕起來，把資料本身管起來，而是把風險管起來。

新京智庫：有觀點認為，《資料安全法》讓我國也有了“長臂管轄”的法律依據。你認為我們該如何利用好《資料安全法》保護國內法人、自然人的合法權益？

丁曉東：我不認為《資料安全法》有“長臂管轄”功能，我們國家的法律都是防禦性的。《資料安全法》關照的是資料安全，是對資料傳輸做出的法律規定，是為了維護一個國家的資料安全；同時，也關照到其他國家對於資料安全的需求。從這個意義來說，其實是一以貫之地貫徹了我們國家的“和平共處五項原則”。

新京智庫：《資料安全法》第六條規定，各地區、各部門，行業各部門，公安機關、國安機關以及網信部門分別承擔著相關的監管職責或工作。為何做這樣的安排？這樣做是否可能陷入多頭管理而變成無人管理的尷尬？

丁曉東：之所以做這樣的規定，最主要是因為資料的行業屬性比較強。因此，安全部門扮演了一個統籌協調的“總負責人”角色。另外，對有些行業採取這種監管方法也符合資料的特徵，如果所有行業都由國家安全部門監管的話，首先可能面臨安全部門管不過來的尷尬；其次，也可能出現由於對這些行業不夠了解而出現執法上的偏差，比如監管過嚴或過寬。所以，由不同的行業部門來監管不同行業的資料使用，反而比較合適。

新京智庫：你對於做好我國資料安全保護工作還有什麼建議或期待？

丁曉東：首先，需要做好與其他相關法律的銜接。比如，做好《資料安全法》與《網路安全法》的銜接，還需做好與即將出臺的《個人資訊保護法》的銜接。這三部法律，某種程度上構成了一個大的安全體系。做好整個國家的資訊保安需要法律間的相互協調和配合。

其次，需要注意資料的發展和安全的並重，或者說用辯證的思維去看待資料安全。解決資料安全問題，一定需用一種發展理念下的安全觀，而不是絕對的、僵化的安全觀。這個是我覺得比較重要的一點建議。

文|新京智庫訪談員 肖隆平 編輯 柯銳 校對 楊許麗