数据安全法开始施行的时间是(关键信息基础设施安全保护条例)

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》(简称“《数据安全法》”)，该法将于2021年9月1日起施行。

一、数据分级分类保护制度

(一)数据分级分类保护

根据《数据安全法》第二十一条前文规定，“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”

此处的数据分级分类保护制度类似于网络安全等级保护制度，针对不同领域不同重要程度的数据进行分类管理，能够在数据安全和数据流通之间找到一个风险控制与合规经营的平衡点，是数据安全领域的重大突破，未来数据分级分类保护制度在具体落地的过程中产生的效果需要我们进一步的关注。

(二)重要数据的定义

根据《数据安全法》第二十一条后文规定，“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”对于重要数据，《数据安全法》和《网络安全法》都没有进一步明确其定义。

《个人信息和重要数据出境安全评估办法(征求意见稿)》的第九条规定对重要数据进行了界定，“重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南”。《数据安全管理办法(征求意见稿)》的第三十九条规定给出了更为详细的定义，“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”以上两个征求意见稿中的定义可以作为实践中界定重要数据的重要参考。随着立法工作的进一步推进，重要数据的定义也将愈发明晰。

(三)重要数据保护

在数据分级分类保护的基础上，除一般保护外，《数据安全法》同时强化了对重要数据的保护要求。首先，第二十七条第一款规定了数据处理者开展数据处理活动应当依照法律法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全;其次，第二十七条第二款明确了数据安全负责人和管理机构的义务，要求重要数据处理者落实数据安全保护责任;最后，第三十条对重要数据处理者开展风险评估提出了要求，重要数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括其所处理的重要数据的种类和数量、开展数据处理活动的情况、面临的数据安全风险及其应对措施等。

除了上述对于重要数据的保护要求，《数据安全法》还深化了对国家核心数据的保护，将关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据列入国家核心数据，并要求对国家核心数据制定并实行更加严格的管理制度。

二、数据安全审查体系

《数据安全法》第十七条规定，由国家推进数据开发利用技术和数据安全标准体系建设。国家标准化行政主管部门和国家有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。第十八条还规定了支持数据安全检测评估、认证等专业机构依法开展服务活动。同时，第二十四条确立了国家建立数据安全审查制度，要求对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

上述一系列相关条款均体现了《数据安全法》在数据安全标准体系及数据安全审查制度建设的努力。首先，在数据安全标准体系方面，由国家标准化行政主管部门和国家有关部门负责，企业、社会团体和教育、科研机构等机构参与，最终制定具体的数据安全标准体系;其次，随着《数据安全法》的实施，《数据安全法》对于审查的程序性规定将进一步明确，《网络安全法》及《网络安全审查办法》构建的网络安全审查制度对于数据安全审查体系的建立具有很高的参考价值。随着数据安全相关标准的落地，未来数据安全审查体系的完整性将逐步提升，国家对企业数据活动的干预方向和干预程度，也将随着相关法规和标准的制定和实施逐步显现。

三、数据出境制度

(一)重要数据出境

《数据安全法》第三十一条的规定主要确立了重要数据的出境要求，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国家有关部门制定。”

该条规定直接指向了《网络安全法》的第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，如因业务需要，确需向境外提供的，应当按照国家网信部门会同国家有关部门制定的办法进行安全评估”。尽管《网络安全法》指出了重要数据出境安全管理的大致方向，但是不论是《数据安全法》还是《网络安全法》，均未明确重要数据出境安全评估的实操办法，国家网信部门也并未实际开展数据出境安全评估业务，因此该规定如何走向落地尚待明确。

相较于《数据安全法》与《网络安全法》的规定，目前尚未出台的法律法规和规范性文件已对重要数据在其他情况下的安全评估和出境审批作出了相应的指引。在《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条就规定了六条需要安全评估的情况：“(一)含有或累计含有50万人以上的个人信息;(二)数据量超过1000GB;(三)包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等;(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;(五)关键信息基础设施运营者向境外提供个人信息和重要数据;(六)其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。行业主管或监管部门不明确的，由国家网信部门组织评估。” 此外，《信息安全技术 数据出境安全评估指南》附录B(个人信息和重要数据出境安全风险评估方法)所规定的相关评估标准也能为企业重要数据出境提供数据合规层面的参考。

(二)数据出口管制

数据出境合规中另外一个值得关注的制度是《数据安全法》第二十五条规定的数据出口管制制度。根据《数据安全法》第二十五条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。该条与《出口管制法》第二条规定中所述的“管制物项，包括物项相关的技术资料等数据”相衔接。若根据《出口管制法》涉及的清单和目录及上述标准，某项数据可被判定为出口管制物项，则出口管制主管部门有权对该项数据实施出口管制，该项数据的出境应依法取得相应的出口许可。

此外，与出口管制相关的信息中，也存在数据出口管制的对象。《出口管制法》第三十二条第一款规定，“中华人民共和国境内的组织和个人向境外提供出口管制相关信息，应当依法进行;可能危害国家安全和利益的，不得提供”。该条并非限制一般贸易信息的正常跨境流动，而是对企业的信息筛查能力提出了一定的要求。企业在向境外提供数据前，首先应确认相关数据不存在影响我国国家安全、社会公共利益以及国际义务履行的风险。一般而言，向境外母公司、境外交易相对方、境外供应商提供出口管制相关审查结果，在不涉及敏感对象(国家、地区或不可靠实体)，且相关信息不存在上述风险的情况下，无需相关监管部门进行评估。

(三)司法执法活动涉及的数据提供

《数据安全法》第三十六条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

首先，所有向外国司法或者执法机构提供数据的行为，无论所涉数据是否属于重要数据，均应经过中华人民共和国主管机关批准。其次，对于外国司法或者执法机构关于提供数据的请求，中国主管机关将以有关法律和中国缔结或参加的国际条约、协定为依据，或在尚无法律、国际条约、协定的情况下，以平等互惠原则为基础进行综合判断，最终决定是否同意该请求。

四、数据安全中的对等原则

最终出台的《数据安全法》在国家层面对于数据安全的反制措施有了突破性规定。其中，针对他国数据歧视政策的对等措施作为新制度值得关注。《数据安全法》第二十六规定，“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施”。

对等原则作为国际法领域的一项基本原则，常常出现在涉外商事与国际贸易中，例如《出口管制法》第四十八条规定，“任何国家或者地区滥用出口管制措施危害中华人民共和国国家安全和利益的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施”。在《外商投资法》第四十条中也能找到类似规定，“任何国家或者地区在投资方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者该地区采取相应的措施”。

同一时间出台的《中华人民共和国反外国制裁法》第三条第二项规定的“外国国家违反国际法和国际关系基本准则，以各种借口或者依据其本国法律对我国进行遏制、打压，对我国公民、组织采取歧视性限制措施，干涉我国内政的，我国有权采取相应反制措施”，更是跨越了“对等采取措施”以及“采取相应的措施”的表述，在我国内政受到干涉的情形下，直接赋予国家有关部门“采取相应反制措施”的权利。

本次出台的《数据安全法》将对等原则运用在数据安全领域，正是考虑到目前各国之间在数据安全领域政治博弈频发的大背景。对等原则在《数据安全法》中的明确，能够使中国在未来可能遭遇他国数据开发及利用的歧视性政策时，拥有更好的反制手段，同时也为中国企业开展数据开发及利用活动提供了立法的保障。