草案第二條規定本法適用于在中國境內開展的數據活動，而對于境外主體開展的損害我國國家安全、公共利益或境內主體合法權益的數據活動，亦有管轄權，確立了有限的域外適用效力。考慮到數字時代跨境數據活動已非常普遍，且數據活動與國家安全、公共利益和公民權益具有強關聯性，在法律中設定一定的域外效力或長臂管轄有其必要性。同時，一國法律的域外效力（且常用公權力作為追訴手段），會引起法律及司法權沖突的問題，應當基于最為必要的原則進行設定和適用。鑒于此，我們建議對域外適用的情形限縮在國家安全、重大公共利益和嚴重損害公民權益的情形。

草案第三條明確本法監管對象為“數據活動”，即數據的收集、存儲、加工、使用、提供、交易、公開等行為。將于2021年1月1日正式生效的《中華人民共和國民法典》在人格權編下規定 “個人信息處理”為收集、存儲、使用、加工、傳輸、提供、公開等行為^[1]。可見，草案對于“數據活動”的定義與《民法典》下的“處理”所覆蓋的范圍一致，均針對數據全生命周期的處理活動。立法語言體系的統一，便于行政執法、司法和企業的合規遵循，因此，我們建議在草案中保持和《民法典》術語的一致。

草案第三條同時明確 “數據安全”的具體要求，即“通過采取必要措施,保障數據得到有效保護和合法利用,并持續處于安全狀態的能力”。對比現行網絡安全等級保護2.0體系下對于數據完整性、保密性、可用性的安全保護要求^[2]，草案突出了數據安全的動態和持續要求。

草案第六條明確了我國數據安全工作由中央國家安全領導機構決策和統籌協調，與網絡安全的中央領導機構（中央網絡安全和信息化委員會）不同。草案第七條規定，國家網信部門負責統籌協調網絡數據安全相關監管工作，電信、金融、教育等各行業主管部門承擔本行業的數據安全監管職責，公安機關、國家安全機關負責各自職責范圍內的數據安全監管工作，這與《網絡安全法》所形成的網絡安全監管框架基本保持一致。與此同時，草案明確各地區、各部門對各自工作中涉及的數據及數據安全承擔主體責任。

考慮到數據活動中的地域性和行業性愈發模糊，草案中設定的行業監管和地域監管框架的科學性有待論證，可能會形成“九龍治水”的局面。我們建議，國家設定統一的數據活動監管機構，統一監管標準、執法要求和執法程序，這將有利于數據要素的合法流動和價值實現。

草案第十二條明確國家堅持“維護數據安全”與“促進數據開發利用”并重的立法與監管理念，以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展。同時，草案第十三條及第十四條明確國家鼓勵和支持數據在各行業的技術推廣和創新應用。

網絡安全和網絡發展是互聯網為人民造福的“一體兩翼”，數據監管亦是如此。國家對于數據安全的立法價值取向是，通過數據安全制度建設保障數據安全，進一步迭代促進產業發展。

草案第十五條明確國家將推進建設數據開發利用技術和數據安全標準體系，涵蓋數據開發利用技術、產品和數據安全相關標準。國家標準委發布的《2020全國標準化工作要點》中亦提出構建新一代信息技術標準體系的總體要求，推進大數據、云計算、物聯網、人工智能等重點領域的標準體系建設。諸如人臉識別技術^[3]、智能網聯汽車^[4]等各領域的數據相關技術標準已陸續立項啟動。可以預見，未來將出臺并逐步完善相關技術標準，進一步規范并保障數據安全，促進產業發展。

草案第十六條提出國家促進數據安全檢測評估、認證等服務的發展，并支持評估、認證等專業機構依法開展服務。可以預見，在《網絡關鍵設備和網絡安全專用產品安全認證實施規則》、《移動互聯網應用程序安全認證實施細則》等各領域現行認證規定的基礎上，數據安全檢測評估及認證也將作為網絡安全與數據保護評估體系的重要組成部分，促進數據開發利用與產業發展。

草案第三章重點關注數據安全保障制度方面的建設，包括數據分類分級保護、重要數據保護目錄、數據安全風險預警機制、數據安全應急處置機制、數據活動的國家安全審查機制等。

數據分類分級是開展數據安全管理工作的基礎。數據分類分級管理和保護，在兼顧數據安全和個人隱私保護的同時，可以最大限度釋放數據價值。現行法律及部門規章層面有關數據分類分級的規定多止步于提出要求，而未明確具體的分類分級標準。草案第十九條明確數據分類分級將以風險程度為導向，按照數據“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用”所產生的危害程度作為分類分級的原則性標準，以評估可能造成的危害程度。在此基礎上，草案提出各地區、各部門有權確定本地區和本部門“重要數據”保護目錄。

草案規定的數據分級分類制度以監管機構的視角出發，對不同類型及級別的數據采取不同的監管措施和法律要求，我們理解其具有必要性。同時，企業在數據活動中，為了數據安全保護、數據流動及合規遵循，會形成基于行業實踐的分類分級體系。這兩者應該并行不悖，不能互相取代。近年來，諸如《工業數據分類分級指南（試行）》、《證券期貨業數據分類分級指引》、《個人金融信息保護技術規范》等各部委發布的指引性文件及行業標準，對特定行業的數據分類分級具體標準也進行了一些有益的嘗試。數據分級應在完成數據分類的基礎上，針對不同類別數據發生上述安全事件后可能發生的危害后果進行定級，并匹配不同級別數據的安全保障技術措施及管理措施。

《網絡安全法》及其配套法規、國家標準已提出網絡安全監測預警機制、網絡安全事件應急響應機制及網絡安全事件報告機制等。而針對數據安全，草案第二十條、第二十一條明確將從國家層面建立評估、報告、信息共享、監測預警的系統化機制，并輔以針對數據安全事件的應急處置機制，消除安全隱患，防止危害擴大。

草案第二十二條規定，國家會針對影響或者可能影響國家安全的數據活動進行國家安全審查。如前所述，數據是未來國際間競爭的核心，與國家安全息息相關，對特定的數據活動進行國家安全審查，有其必要性。但是，規定所覆蓋的審查范圍未作限定，覆蓋場景范圍模糊，其與網絡安全審查之間的關系未作進一步厘清。從降低制度行政運行成本和企業合規成本的角度考慮，我們建議，對于草案所設定的數據國家安全審查機制，可以考慮在后續修訂中轉換為針對跨境數據流動等具有較高敏感性的場景的安全審查制度，或與現有網絡安全審查機制相融合。

草案對數據活動的安全保護義務予以明確，具體包括：

• 1）建立健全全流程數據安全管理制度，開展數據安全教育培訓，采取相應的技術措施及其他必要措施，保障數據安全（第二十五條）；

• 2）加強風險檢測，及時采取補救措施，發生數據安全事件時應當及時告知用戶并向主管部門上報（第二十七條）；

• 3）采取合法、正當方式收集數據，并在法律、行政法規規定的目的和范圍內收集、使用數據，不得超過必要限度（第二十九條）。

可以看到，相關保護要求基本未超出《網絡安全法》對于網絡運營者應當承擔的網絡安全及個人信息保護安全義務的范圍，也與《民法典》針對個人信息處理的要求具有一致性。

除與現有制度體系的銜接外，草案也提出了部分關于數據監管的新制度設計。

自《網絡安全法》生效后，重要數據的范圍、識別和流動監管，一直是業界關注的焦點問題。一方面重要數據與國家安全及公共利益息息相關，有必要建立起有效的監管體系，另一方面，重要數據范圍上須是“真正重要”的數據，不能泛化，否則會阻礙數據的正當流動，不利于數字經濟的發展。業界對《數據安全法》能解決重要數據的遺留問題抱有很大的期待。

本次草案對“重要數據”的界定仍不夠清晰，無法彌補現有體系下對“重要數據”范圍認定的不足。同時，第十九條將”重要數據“保護目錄的制定權限下放至地方與部門，權力配置缺乏科學性，容易導致”重要數據“認定范圍過于寬泛，影響數據要素流動。因此，建議將重要數據的范圍和識別標準列入中央事權。

與此同時，草案圍繞重要數據保護提出了若干延伸管理要求，主要包括：

• 1） 重要數據的處理者應當設立數據安全負責人和管理機構（第二十五條）；

• 2） 重要數據相關活動定期開展包括重要數據的種類、數量，收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等在內的風險評估，并向有關主管部門發送風險評估報告（第二十八條）；

• 3） 如果重要數據的處理活動影響或者可能影響國家安全的，應當接受國家安全審查（第二十二條）；

• 4） 如果屬于 “與履行國際義務和維護國家安全相關的屬于管制物項的”重要數據的，也應當依法實施出口管制（第二十三條）。

針對負責重要數據風險評估、對重要數據處理活動進行國家安全審查、對落入出口管制范圍的重要數據采取管制措施的具體主管部門，以及處理流程，同樣需要后續立法予以明確。

數據是數字經濟時代企業發展的核心資源，數據交易能幫助數據要素實現市場價值，而數據在線處理服務有助于數據價值的挖掘和利用。日前正式公布的《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》強調數據作為一種新型生產要素，對于數字經濟發展具有重要意義。

在《民法典》以開放立法方式將數據、網絡虛擬財產納入法律保護^[5]后，草案第十七條同步關注數據交易的價值，并對從事數據交易中介服務機構提出保證數據來源合法合規及審核交易雙方身份的法律要求。我們理解，在數據交易中介服務市場高速發展的今天，此項規定擬將現有針對數據交易服務的立法構想^[6]，上升為強制性法律要求，強調中介服務機構在其中應盡的數據及交易雙方身份的審核義務，表明國家對于數據交易中介服務市場的管理決心及方式。

在線數據處理活動會接觸大量的數據，數據安全非常重要，同時，這項活動涉及數據主體權益。草案第三十一條強調專門提供在線數據處理等服務的經營者，應當按照國家電信主管部門規定，依法取得經營業務許可或者備案。同時，草案也明確了未依法辦理許可或備案而從事相關業務的處罰要求^[7]。我們理解，這部分規定更多是與現有數據處理服務電信監管要求進行銜接，避免行業發展亂象。

數據跨境流動關系到國家網絡空間主權及數據安全，一直以來是國家立法關注的重點。其相關立法要求，將直接影響境內企業出海戰略、境內外企數據對外傳輸的合規方案。對此，草案將涉及數據跨境流動監管的相關要求，分散規定于不同場景條款中，主要包括如下：

• 1） 國家積極開展數據領域國際交流合作及標準制定，促進數據跨境安全自由流動（第十條）；

• 2） 國家對與履行國際義務和維護國家安全相關的屬于管制物項的數據，依法實施出口管制（第二十三條）；

• 3） 針對外國對中國采取的與數據活動有關的歧視性措施，可以采取相應反制措施（第二十四條）；

• 4） 針對境外執法機構要求調取境內數據的，有關主體應向主管機關報告并獲其批準后方可進行（第三十三條）

整體而言，草案對維護數據的正當跨境流動秩序進行了宣示，重申了中國堅持對外開放的基本國策。我國正在制定《出口管制法》，以加強對兩用物項、軍品、核及其他與國家安全相關的貨物、技術和服務的管制，而本草案把屬于管制物項的數據納入了出口管制對象，明確了出口管制在數據活動中的適用。

2018年美國《澄清境外數據的合法使用法案》（“CLOUD ACT”）簽署生效，該法案擴張了美國執法機構獲取存儲于境外的數據的能力，引發國際社會對數據主權的擔憂。我們理解，草案的第二十二條、第二十三條及第三十三條，試圖建立起維護國家安全和數據主權的保衛機制。

但是，目前草案主要針對屬于出口管制范圍的數據和執法機構跨境調取數據等特殊場景下的監管，尚未涉及對于一般商業及貿易場景下的數據跨境流動提出具體監管措施。事實上，對于企業跨境數據傳輸監管機制的清晰化，一直為業界所期待。遺憾的是，草案仍未對這一問題作出清晰回應。

[2] 《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》3.1 網絡安全：通過采取必要的措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

[3] 2019年底，國家圍繞人臉識別技術的標準制定工作已全面啟動。

[4] 《智能網聯汽車數據通用要求》系列標準已于2020年6月申請立項。

[5] 《民法典》第一百二十七條：法律對數據、網絡虛擬財產的保護有規定的，依照其規定。

[6] 參考《信息安全技術 數據交易服務安全要求（征求意見稿》。

[7] 草案第四十三條：數據交易中介機構未履行本法第三十條規定的義務,導致非法來源數據交易的,由有關主管部門責令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得的,處十萬元以上一百萬元以下罰款,并可以由有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。