數據安全保護終于有法可依。6月10日，十三屆全國人大常委會第二十九次會議通過了《中華人民共和國數據安全法》(以下簡稱數據安全法)。這部法律是數據領域的基礎性法律，也是國家安全領域的一部重要法律，將于9月1日起施行。數據安全法的實施有何特殊意義?將給行業發展帶來怎樣的變化?

確立數據分級分類管理等基本制度

數據安全法共分為七章，分別為總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任、附則。

數據安全法確立了數據分級分類管理以及風險評估、檢測預警和應急處置等數據安全管理各項基本制度;明確了開展數據活動的組織、個人的數據安全保護義務，落實數據安全保護責任;堅持安全與發展并重，鎖定支持促進數據安全與發展的措施;建立保障政務數據安全和推動政務數據開放的制度措施。

總則中明確了數據安全法出臺的背景、數據安全釋義等。數據安全法明確，為了規范數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。

數據安全制度一章中提及，國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。同時還提及，國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制、國家建立數據安全應急處置機制、國家建立數據安全審查制度、國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。

近年來，隨著互聯網的高速發展及5G、人工智能等新興技術的快速崛起，個人數據泄露事件時有發生，個人數據保護問題迫在眉睫。數據安全法指出，開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施;發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

將給網絡安全行業帶來什么影響

數據安全法的出臺引發了業界的強烈關注。

華東政法大學競爭法研究中心執行主任翟巍分析認為，數據安全法有四大亮點。第一，它明確強調在堅持總體國家安全觀的前提下維護數據安全，并設立國家數據安全工作的決策和議事協調機制，基于此，該部法律將成為我國各類公權力機關統籌應對國家數據安全風險的法律根基與有效工具。第二，它厘定數字經濟時代安全與發展之間的雙向促進與辯證統一關系，具體來看，依據該部法律第十三條規定，“數據開發利用和產業發展”有利于促進“數據安全”，而“數據安全”又反過來有利于保障“數據開發利用和產業發展”。第三，它注重確保社會公眾能夠全面與有效獲取數字經濟發展紅利，并防范弱勢群體由于數字經濟技術迭代發展而處于困境。依據該部法律第十五條規定，提供智能化公共服務應當充分考慮老年人、殘疾人的需求。第四，它明確設定了國際貿易交往領域的對等反制原則。依據該部法律第二十六條規定，如果任何國家或地區在與數據和數據開發利用技術有關的投資、貿易等方面對我國采取歧視性措施，我國可以根據實際情況對等采取措施。

360集團創始人、董事長周鴻祎認為，從最近多起勒索攻擊事件可見，數據安全直接影響業務安全，大數據時代所有的業務都是數據驅動高的，一旦敏感數據被鎖定或泄露，會造成重大經濟損失或生產癱瘓。數據安全法的出臺非常必要且及時，將推動社會數據全生命周期的安全，比如采集、傳輸、存儲、處理、交換、銷毀等的安全。

奇安信集團總裁吳云坤認為，首先數據安全法的出臺把數據安全上升到了國家安全層面，基于總體國家安全觀，將數據要素的發展與安全統籌起來，為我國的數字化轉型，構建數字經濟、數字政府、數字社會提供法治保障。在他看來，數據安全法作為數據領域的“上位法”，確定了數據流轉過程中組織、個人的安全責任和義務，明確了監管要求。同時，作為綱領性法規，為各部門、各行業、各領域在后續制定相關配套制度、措施、規范和標準過程中指明了方向。其次，數據安全法消除了數據活動的灰色地帶，形成制約機制，遏制隨意流轉。第三，數據安全法規定的數據安全保護責任和業務涉及數據活動的全流程，數據伴隨著業務和應用，在不同載體間流動和留存，貫穿信息化和業務系統的各層面、各環節，這對數據安全防護提出了更高的要求。

吳云坤表示，數據安全法的出臺將成為繼《中華人民共和國網絡安全法》(以下簡稱網絡安全法)實施后，網絡安全行業的又一個里程碑，勢必將驅動政府、機構和企業增加在數據安全領域的投資，用以完善安全防護體系，從而推動網絡安全行業在數據安全領域的技術、產品加快創新和產業創新發展。

北京市偉博律師事務所主任李偉民表示，數據安全法作為我國數據安全領域的基礎性法律，具有標志性意義和價值，但仍需從以下方面完善。第一，進一步明確界定“數據”“政務數據”“重要數據”等重要概念，為法律適用提供堅實基礎。第二，數據安全法是一部綱領性數據安全規范，很多規定都是方向性或者開放性的，對于數據安全審查程序、重要數據風險評估的報送對象和審查流程等重要問題，需要制定大量配套規則，將其具體化。

數據信息領域法律體系不斷完善

李偉民表示，近年來，隨著互聯網技術的發展和數字經濟的興起，我國不斷推進網絡強國、數字中國、智慧社會等建設，數據從單純的信息記載形式逐漸發展為具有獨立經濟價值的利益形態，成為新的生產要素和國家基礎性戰略資源。甚至有人提出，“得數據者得天下”的時代已到來。數據對人們生產生活，乃至國家安全、經濟發展都產生著重大影響。隨之而來的，是國家、企業、個人圍繞數據展開大量博弈，公司、企業、社會組織忽視數據安全、利用數據從事違法犯罪活動的現象頻頻出現。我國政府十分重視數據處理活動的有效規制，在發揮數據巨大經濟價值的同時，讓數據活動在法律框架范圍內有序進行。

黨的十九大報告明確提出推動互聯網、大數據、人工智能和實體經濟深度融合。數據作為一種新型生產要素，正以更深度的方式為經濟社會發展賦能。按照黨中央部署和貫徹落實總體國家安全觀的要求，制定一部數據安全領域的基礎性法律十分必要。

早在2018年9月7日，十三屆全國人大常委會就公布了立法規劃(共116件)，《中華人民共和國數據安全法》位于第一類項目：條件比較成熟、任期內擬提請審議的法律草案;2020年《中華人民共和國數據安全法》(草案)在第十三屆全國人大常委會第二十次會議審議，同年7月3日，《中華人民共和國數據安全法(草案)》在中國人大網公布，公開征求意見;今年4月29日，《中華人民共和國數據安全法(草案二次審議稿)》正式發布。

今年3月，在國新辦發布會上，國家互聯網信息辦公室副主任楊小偉曾介紹，《個人信息保護法》正在加緊制定出臺。他表示，在當前大數據快速發展環境下，數據安全和個人隱私保護工作一直在加強。網絡安全法在全國范圍內深入實施，數據安全法、《個人信息保護法》在加緊制定出臺，與此同時也在加緊制定相關法規標準，建立數據資源確權、開放、流通以及交易的相關制度，從而在運行機制上進一步完善數據產權保護制度，為數據安全和個人隱私、個人信息保護提供制度保障。

在網絡安全法深入實施、數據安全法被正式通過的背景下，《個人信息保護法》也仍在制定出臺。有觀點認為，《個人信息保護法》出臺之后，三部法律將共同組成數據信息領域的法律體系。

此外，國家各部門已經連續出臺多條政策保護個人信息安全、優化網絡環境。今年1月1日起實施的《中華人民共和國民法典》將人格權獨立成編，以“隱私權和個人信息保護”專章方式，對隱私權和個人信息的定義、保護原則、法律責任、主體權利、信息處理等問題作出規定。

國家市場監管總局發布的《信息安全技術個人信息安全規范》明確規定，在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得用戶的明示同意;個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。(記者 祖爽)