6月11日，十三届全国人大常委会第二十九次会议通过的《数据安全法》公布，将于2021年9月1日起施行。这是我国第一部关于数据安全的专门法律。

生效后，数据安全法将与立法过程中的网络安全法和个人信息保**一起，在中国信息和数据安全领域建立一个全面的法律框架。

自2020年6月28日起，《数据安全法》经历了三次审议和修订。正式稿有哪些亮点？据悉，与之前的草案相比，此次数据安全法强调建立工作协调机制，加强数据安全工作的统筹规划；对涉及国家安全、国民经济命脉、重要民生和重大公共利益的数据实行更加严格的管理制度；同时，新法案进一步完善了关于确保政府数据安全的规定；加大对违法行为的处罚力度。

长期关注网络安全的环球律师事务所合伙人梦洁告诉红星新闻，《数据安全法》首次将数据安全的整体决策权提升至中央国家安全领导机构，与《国家安全法》保持一致，从侧面巩固了数据安全在国家安全体系中的重要地位。

首次上升到国家安全监管和行动决策的最高层面

《数据安全法》第五条和第六条明确了数据安全领域治理体系的顶层设计，即中央国家安全领导机构负责国家数据安全的决策和议事协调，研究制定重大方针政策，协调国家数据安全重大问题和重要工作，建立国家数据安全协调机制；工业、电信、自然资源、卫生健康、教育、国防科技工业、金融行业等主管部门对本行业、本领域的数据安全负有监管职责；而且公安机关、国家安全机关要承担其范围内的监管责任；最后，国家网信部门统筹网络数据安全的监督管理。

“从上述表述可以看出，与《数据安全管理办法》和《网络安全法》涉及的监管部门归属划分相比，《数据安全法》既有保留，也有突破。”

梦洁指出，在网络监管方面，数据安全法沿袭了“网信部+公安部+国务院其他下属机构”的监管体制。但值得注意的是，《数据安全法》首次将数据安全的整体决策和统筹规划上升为中央国家安全领导机构，与《国家安全法》保持一致，从侧面巩固了数据安全在国家安全体系中的重要地位，并将数据安全工作作为一种文化上升到基本法的层面。

“总体来说，国家从战略和规划层面重视数据的保护和应用，这也意味着企业需要更加谨慎地处理数据。”

定义关系到国家安全和国民经济命脉的重要数据的重要性也体现在刑罚部分。《数据安全法》终稿第四十五条第二款明确提出，违反国家核心数据管理制度，危害国家***、安全和发展利益的，由有关主管部门处以200万元以上1000万元以下罚款，并根据情况责令停业、停业整顿、吊销相关业务许可或者吊销营业执照；构成犯罪的，依法追究刑事责任。

处罚不再“一刀切”[S2/]

罚款可高达一千万元

与数据安全法二审稿相比，在法律责任一章中，数据安全法增加了对违反国家核心数据管理系统、非法向境外提供重要数据的处罚。

梦洁指出，去年公布的《数据安全管理办法》中对违反法定义务的处罚是:“根据违法情节，对网络运营者给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。”

但这部数据安全法的条文对不同的违法行为设定了不同的处罚，与网络安全法的体例基本一致，规定了各主体违反法律规定可能承担的不同责任。

比如，开展数据活动的组织和个人，未尽到数据安全保护义务或者未采取必要措施的，可以被警告、罚款，直接负责的个人也可以被罚款；违法行为性质恶劣或造成严重后果的，罚款最高可达1000万元，并可责令暂停相关业务、停业整顿、吊销相关业务许可或营业执照，与《网络安全法》第六章的规定同步。

梦洁指出，这一数字与欧盟《通用数据保护条例》(以下简称“GDPR”)规定的2000万欧元的最高罚款还有一定距离。对于拥有数千万用户数据的行业龙头企业或购买数亿条领域信息的大数据巨头来说，虽然威慑力有限，但“至少是一个很好的示范的开始。”

此外，为了避免非法来源的数据交易乱象，《数据安全法》第47条还规定了对数据交易中介机构的处罚规则，即相关机构可以没收其非法所得，处以罚款，吊销其营业执照，直接责任人也将被罚款。因此，应该引起有关机构的特别重视，对规范数据交易进行严厉打击。

明确维护中国企业利益

“对等措施”将根据实际情况采取

随着中国科技企业的崛起和5G等前沿技术的发展，一些国家出台了针对中国企业的限制性措施。《数据安全法》第26条强化了应对态度，将根据实际情况采取“对等措施”。这一条款明确了我国维护中国企业利益的决心，无疑给中国企业打了一针强心剂。

梦洁认为，全球对数据的竞争日益加剧。《数据安全法》的制定不仅需要解决国内数据安全管理问题，还需要制定数据退出策略、跨界合作设计等相关规则。

梦洁指出，反对歧视的“对等措施”在国际私法、贸易和其他领域都有先例。此次在涉及数据安全和国家安全的基本法中重申这一原则，既表明了中国支持数据自由流动和跨境安全的坚定立场，也是对其他国家不公平歧视性待遇的有力回应。

此外，《数据安全法》第36条规定了对外国司法或执法机构提供数据的请求的处理——未经中华人民共和国(中国)主管机关批准，国内组织和个人不得向外国司法或执法机构提供存储在中华人民共和国(中国)的数据。即面对境外监管机构直接执法时，企业无法直接提供境外监管机构要求的数据，需要先向国内主管部门申报，获得批准后才能提供。

梦洁认为，这无疑是对一些国家的域外长臂管辖权和执法行为的礼貌和克制的回应。但未来还需要相关部门规章或国家标准进一步细化具体审批权限和相关流程。