歡迎關注“新浪科技”的微信訂閱號：techsina

　　文/游云庭

　　近日通過的《數據安全法》引發了業界的廣泛關注，但說實話，這部法律非常專業，身為律師的我都覺得專業名詞太多，法條太抽象有點燒腦。所以今天就挑一些主要的內容和有趣的點結合案例和大家聊聊。

　　一、現行數據和網絡安全監管三大法律的側重點有何不同？

　　《網絡安全法》、《數據安全法》和《個人信息保護法（草案）》是我國數據和網絡的安全三部基礎法律。《網絡安全法》主要立法目的是保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，重點關注“網絡自身的安全”。而數據安全和個人信息安全并不屬于“網絡自身的安全”，在《網絡安全法》中處于從屬地位。

　　《數據安全法》則旨在保障數據安全，同時關注數據處理活動與數據開發利用。內容上又進一步覆蓋了非電子數據，比如紙質的信息。《個人信息保護法》則在尋求個人信息安全的基礎上，促進信息的合理流通與利用。但與《數據安全法》為了維護國家安全和社會公共利益不同，《個人信息保護法》更側重于私人權益，是為了維護公民個人的隱私、人格、財產等利益。

　　二、《數據安全法》法律責任相比GDPR還不算太重

　　筆者比對了《數據安全法》和《歐盟通用數據規則》（GDPR）的法律責任條款，發現處罰相同的違法，歐盟GDPR罰款要高得多：

　　比如對于違反安全管理制度、風險監測、處理者的安全評估制度的，沒有履行數據安全保護義務的違法，《數據安全法》的規定是給予單位50萬至200萬元罰款，給予負責人員5萬至20萬元罰款。而GDPR類似的違法，則適用上限一千萬歐元，或全球年營業額的2%的罰款，具體包括第25條沒有默認采用隱私保護設計、第32條安全防護措施不當、第35條未執行數據保護評估的等。

　　又如向境外提供重要數據情節嚴重的，《數據安全法》的規定是給予單位100萬至1000萬元罰款，并可責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，給予負責人員10萬至100萬元罰款。而GDPR類似的違法，則適用上限兩千萬歐元，或全球年營業額的4%的條款，具體包括第44條轉移的一般性原則、第45條跨境轉移的充分保護、第46條跨境轉移的適當安全保障等。

　　為什么歐盟對違反GDPR的罰款那么狠？我估計還是和歐盟互聯網產業發展不夠好，所以想借數據法律罰款從美國和其他國家互聯網公司那里薅一把羊毛有關。

　　三、《數據安全法》和《反外國制裁法》的對接

　　《數據安全法》通過的同日，全國人大常委會其實通過了6部法律，有趣的是，其中的《反外國制裁法》和《數據安全法》還有銜接的條款。那就是對于外國對中國有歧視措施的反制。

　　《反外國制裁法》規定：外國國家違反國際法和國際關系基本準則，以各種借口或者依據其本國法律對我國進行遏制、打壓，對我國公民、組織采取歧視性限制措施，干涉我國內政的，我國有權采取相應反制措施。而《數據安全法》第二十六條的內容則與之配套：任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。

　　對這個反制，你問我支持不支持，我當然說支持。正如我的朋友托馬斯·駱所言：不能老是讓中國公司受夾板氣，美國公司該受也得受。

　　四、關于等級保護

　　所謂等級保護，我的理解就是接入互聯網的公司對自己的系統根據重要性采取相應措施進行保護的制度。不夸張的說，它對每個人的生活都有影響。一個反面的例子，2021年5月初美國石油管道被黑客攻擊，導致18個州進入緊急狀態，就是因為石油管線的系統安全的等級保護沒有做好。《網絡安全法》與《數據安全法》中均規定了等級保護制度，但是側重點有所不同。

　　《網絡安全法》要求網絡運營者應當按照等保制度的要求，履行網絡安全保障義務，并細化地規定了網絡運營者應采取的具體措施，包括制定內部安全規范、確定網絡安全負責人、采取防范病毒攻擊的技術措施、監測網絡運營、留存網絡日志、采取加密措施等。而《數據安全法》規制的是所有數據處理活動，即收集、存儲、使用、加工、傳輸、提供、公開任何以電子或者其他方式對信息的記錄的活動，所以《數據安全法》所涵蓋的數據處理活動，其范圍是大于網絡運營者的網絡信息處理活動的。

　　《數據安全法》要求利用互聯網等信息網絡開展數據處理活動的，首先要遵守等保制度，在此基礎上，所有的數據處理活動均應當履行數據安全保護義務，包括建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施等。

　　五、關于數據出境

　　數據出境一直是個挺敏感的法律問題， 10年前，馬云把阿里的支付寶股權轉到了自己控制的一家公司的名下，主要理由就是支付寶有很多金融數據，外資不進入為宜。其實這個事情就是金融數據出境鬧的。隨著全球化深入，中國公司開展內部業務時也會有數據出境問題，如中國公司在美國加州設立了研發中心，當美國研究人員訪問中國國內服務器上的數據也有數據出境問題。因為互聯網發展太快，數據跨境傳輸的法律一直跟不上，所以很多問題都有點模糊。這次《數據安全法》的出臺是數據出境立法的一個進步。

　　《網絡安全法》和《數據安全法》對數據出境分別在不同層面進行了規定。《網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。

　　而《數據安全法》對于數據出境的要求，并未區分“個人信息”和“重要數據”，規定國家將建立數據分類分級保護制度，由國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，而列入目錄中的數據就是“重要數據”如果是關鍵信息基礎設施的運營者需要將“重要數據”出境的，應適用《網絡安全法》的規定；其他數據處理者需要將“重要數據”出境的，由國家網信部門會同國務院有關部門制定相關的管理辦法。

　　此外，《數據安全法》還特別地規定了境外司法執法機構要求提供數據時的處理，即國家按照締結或參加的國際條約、協定，或者按照平等互惠原則，處理相關請求。并且任何組織或個人在未經主管機關批準之前，不得向境外的司法執法機構提供數據。

　　以上是筆者個人對于《數據安全法》部分內容的解讀，其實這部法律新規定了不少內容，有興趣的朋友可以通讀一下法律全文進一步了解。

　　本文作者：游云庭，上海大邦律師事務所高級合伙人，知識產權律師。本文僅代表作者觀點。

（聲明：本文僅代表作者觀點，不代表新浪網立場。）