新《数据安全法》正式实施 首次确立"数据主权"概念

一、法律背景与核心目标

《中华人民共和国数据安全法》于2021年6月10日由第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。该法旨在规范数据处理活动,保障数据安全,促进数据开发利用,维护国家主权、安全和发展利益。其核心目标包括:

统筹发展与安全‌:以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

强化数据安全治理‌:通过制度设计,确保数据在收集、存储、传输、使用等全生命周期中的安全性。

维护国家数据主权‌:明确国家对境内数据的管辖权,防止数据被非法获取、篡改或滥用。

3249f9fb45b829eca0646ce454278e03.jpg

二、数据主权的法律体现

虽然《数据安全法》未直接使用“数据主权”一词,但通过以下制度设计,实质性确立了国家对境内数据的管辖权:

数据分类分级保护制度‌:

核心数据‌:关系国家安全、国民经济命脉、重要民生、重大公共利益的数据,实行更加严格的管理制度。

重要数据目录‌:各地区、各部门需确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

意义‌:通过分类分级,国家对关键数据实施更严格的管控,确保其不被非法获取或滥用,体现了数据主权的内部管辖权。

跨境数据流动监管‌:

出口管制‌:对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据,依法实施出口管制。

安全审查‌:建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

对等措施‌:任何国家或地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或其他类似措施的,中华人民共和国可根据实际情况对该国家或地区对等采取措施。

意义‌:通过跨境数据流动监管,国家对数据的跨境传输实施管控,防止数据被非法转移至境外,体现了数据主权的外部独立权。

数据安全保护义务‌:

全流程管理‌:开展数据处理活动需建立健全全流程数据安全管理制度,采取技术措施和其他必要措施保障数据安全。

风险评估与报告‌:重要数据的处理者需定期开展风险评估,并向有关主管部门报送风险评估报告。

应急处置‌:建立数据安全应急处置机制,发生数据安全事件时及时采取处置措施,防止危害扩大。

意义‌:通过明确数据处理者的安全保护义务,国家确保境内数据在全生命周期中的安全性,进一步巩固了数据主权。

三、数据主权的概念与意义

数据主权是指国家对境内数据的生成、存储、传输及使用享有管辖权,旨在维护信息安全与数字空间自主权。其核心要素包括:

对内最高管辖‌:国家对境内数据实施分类分级保护,确保关键数据不被非法获取或滥用。

对外独立自主‌:国家对跨境数据流动实施管控,防止数据被非法转移至境外。

法律框架支撑‌:通过《数据安全法》等法律法规,国家将数据主权从理论概念转化为法律实践。

数据主权的意义在于:

维护国家安全‌:防止数据被非法获取或滥用,保障国家信息安全。

促进数字经济发展‌:在保障数据安全的前提下,推动数据开发利用和产业发展。

参与全球数字治理‌:通过参与数据安全相关国际规则和标准的制定,提升中国在全球数字治理中的话语权。


《数据安全法》如何确保跨境数据安全?

一、数据分类分级保护:明确跨境数据管理边界

重要数据目录制定

法律依据‌:《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,各地区、各部门需制定重要数据具体目录,对列入目录的数据实施重点保护。

实施效果‌:通过明确重要数据范围(如涉及国家安全、经济运行的数据),为跨境数据流动划定安全底线,防止关键数据非法出境。

行业领域细化标准

工业、电信、自然资源等领域已发布《工业领域重要数据识别指南》《电信领域重要数据识别指南》等规范,为数据处理者提供具体操作指导。

意义‌:确保重要数据识别与保护的精准性,避免“一刀切”管理。

二、跨境数据流动安全评估:构建事前审查机制

安全评估适用情形

国际贸易、跨境运输等活动中收集的非个人信息或重要数据;

为订立合同(如跨境购物、支付)或紧急情况(如保护生命健康)需向境外提供个人信息的。

关键信息基础设施运营者向境外提供个人信息或重要数据;

非关键信息基础设施运营者向境外提供重要数据,或累计向境外提供100万人以上个人信息(不含敏感信息)或1万人以上敏感信息。

强制评估场景‌:

豁免评估场景‌:

评估内容与流程

评估要点‌:数据出境目的合法性、境外接收方数据保护水平、出境数据风险、数据安全责任约定等。

流程规范‌:数据处理者需开展自评估,符合条件的通过省级网信部门向国家网信部门申报,评估结果有效期3年,可申请延长。

三、个人信息出境合规管理:平衡便利与安全

标准合同与认证机制

适用场景‌:非关键信息基础设施运营者累计向境外提供10万人以上、不满100万人个人信息(不含敏感信息)或不满1万人敏感信息的,需订立标准合同或通过认证。

合同要求‌:明确数据安全保护责任义务,确保境外接收方达到中国法律标准。

告知与同意原则

数据处理者向境外提供个人信息时,需履行告知义务、取得个人单独同意,并进行个人信息保护影响评估。

例外情形‌:紧急情况下为保护生命健康和财产安全需向境外提供个人信息的,可豁免部分程序。

四、技术安全措施:强化数据出境全过程保护

加密与日志跟踪

采用多种数据加密算法,建立点对点安全传输通道,配合数字签名证书进行身份验证。

保留所有操作日志,确保数据出境可监控、可溯源。

跨境安全传输中间层

构建境内外数据交互中间层,作为安全缓冲隔离区。跨境数据需在中间层落地,经接收方确认后再发送,实现系统间相互屏蔽。

五、多部门协同监管:构建全链条监管体系

网信部门主导

各地网信部门加强对数据处理者数据出境活动的指导监督,健全安全评估制度,优化评估流程。

对存在较大风险或发生数据安全事件的数据处理者,要求整改并消除隐患;拒不改正或造成严重后果的,依法追究责任。

行业主管部门配合

工业、电信等领域主管部门制定行业数据分类分级标准,为数据处理者提供操作指导。

对数据处理者申报的重要数据进行认定,及时告知或公开发布。