前言

7月2日，中国人大网公布了《数据安全法（草案）》（以下简称“草案”）并进行征求意见，引起广泛关注，本文将采用图表的方式进行草案解读与分析。

图文解读

数据是什么？

对数据的定义，《民法典》、《网络安全法》及《数据安全法（草案）》中并不完全相同，如下：

除上述外，还有《个人信息保护法》值得期待，将逐步完善中国数据安全的法律法规体系，各部法律各有侧重、互相补充，为数字经济发展提供良好环境。

域外效力与“长臂管辖”

与《网络安全法》“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法”相比，草案带来了惊喜，除境内外对境外的组织、个人开展数据活动，损害国家安全、公共利益或者公民、组织合法权益的，也会依法追究法律责任。

网络打破地域，云计算平台和技术的广泛应用，使得数据收集和存储突破了国界的限制，不论是欧盟的GDPR还是美国的CLOUD法案都极大的扩张了其域外数据安全管辖权范围。GDPR确立了以属地原则为主、效果原则为辅的管辖原则，根据效果原则，只要在客观效果上构成对本国或本地区自然人个人数据的处理，就受GDPR管辖。CLOUD法案不再局限于数据存储地在美国的原则，从数据控制者提供服务角度出发，对其执法机构下达调取数据命令的适用范围进行了域外扩展，旨在实现从全世界获取数据的意图。

中国作为全球互联网发展和水平最高的地区之一，域外效力与执法将是未来非常值得关注的领域，尤其是国际化的互联网公司更应关注。

数据安全制度

草案第三章关于数据安全制度，核心如下图：

相关条款中的主体是国家或公机关为主，但数据安全要落地就会深入到社会大众之中，尤其是企业。

数据安全保护义务

草案第四章关于数据安全保护义务，核心如下图：

除上图基础规定外，针对如下事项有进一步规定：

数据收集必须采取合法、正当方式，不得剽窃或者以其他非法方式获取；法律、行政法规对收集、使用数据的目的、范围有规定的应按规定，不得超过必要的限度；

数据交易中介服务机构提供交易中介服务时，应要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录；

提供在线数据处理服务的，应当取得经营业务许可或备案；

公安机关、国家安全机关因依法维护国家安全或侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当给予配合；

境外执法机构要求调取存储于中国境内的数据的，有关组织、个人应当向有关主管机构报告，获得批准后方可提供；有特殊规定的按照相关规定；

政务数据安全与开放

草案第五章关于政务数据安全与开放，核心如下图：

上图主要概括了政务数据的全生命周期管理的内容，除此之外，还需关注政务数据的科学性、准确性、时效性等。

草案中的其他条款，在此不赘述。

深度分析

4月10日，工信部发布了《网络数据安全标准体系建设指南（征求意见稿）》（以下简称“征求意见稿”），可谓是草案相关规定的落地指引。

从采集、传输、存储、处理、交换、销毁等全生命周期出发，对网络数据安全的关键技术进行规范，如下图：

在各环节中存在不同的风险，如在数据采集过程中没有得到用户授权的非法数据采集，采集后没有按照特定的标准进行脱敏、加密的处理，没有严格按照数据的分类分级标准进行分类和存储，用户对自身数据进行请求和操作时企业无法给出相应的数据反馈以及内外部原因造成的数据泄露等。常见的数据安全风险及应对措施，概括如下：

• 非用户授权采集—数据授权采集
• 分类分级不当—合规分类分级
• 篡改或操作不当—脱敏与加密管理
• 非法访问—数据库防火墙
• 脱库—加密脱敏存储
• 数据遗失—容灾备份
• 内部授权不当—授权管理与审计
• 内部数据滥用—数据使用授权管理
• 合作伙伴数据授权不当—授权管理
• API非法访问—API安全
• ……

上述各类风险及应对措施仅供参考，不论从风险监测还是应对策略上，都需建立动态的全生命周期风险识别与监测机制，数据监控的全方位、无死角是识别的全面性与响应决策的前提，在出现问题时也更便于定位溯源，及时解决风险。

从网络数据安全框架的管理视角出发，对安全管理标准子体系进行规范，如下图：

上图中对安全管理标准从制度规范、系统能力、人员能力及外部认证等多方面提供了落地指引，其中“监测预警与处置”明确了数据安全监测预警与处置系统及其技术要求，结合数据的敏感度、量级、流向以及账号权限等进行综合分析，实时动态追踪数据安全风险，主要包括监测预警与处置方案的技术要求、接口规范、测试规范等。

从法律法规到政策指引，为数据安全落地提供了自上而下的保障，要全面理解草案也需要全方位的分析相关法律法规政策规定，即对当前乱象与风险的治理也对行业发展提供良好环境更能带动数字经济产业链上垂直细分领域的发展。

YOUNG·观点

数据从业者，还有未来吗？

2017年5月，监管部门严厉打击违法开展数据活动的行为，大数据公司一时成了高危企业；2019年9月，迎来监管高潮、行业震荡，半个月内6家公司爆出负责人被带走调查或暂停、调整业务，从抓“爬虫”延伸到了数据交易、征信服务业务公司。大数据行业发展进入冰冻期，从业者该何去何从呢？

草案旨在规范数据活动、完善数据安全治理体系，同时也将助力数据产业的合规升级，对于从业者来说是挑战与机遇并存：

牌照化经营与管理：草案对依法取得经营业务许可或备案做出规定，对业务展业过程中的违法违规行为进行了明确罚则规定，并有风险评估报告、风险警示等监管要求。牌照化经验将直接带来行业的清洗与升级，对于企业来说需结合自身技术能力及应用场景，提前准备申请经营资质，争取赢得一张门票；对于个人而言，持牌机构将是最优选择。

数据安全领域发展的政策红利：草案第十四条为数据安全从业者开启了新的职业发展机会，数据安全咨询和培训、安全漏洞扫描、安全系统建设、数据安全事件监测预警等将有大量的市场需求，绝大多数企业在数据安全团队构建及投入上并不无法满足合规要求且在效率和效果上并不具有优势，因此数据安全解决方案类的服务将成为客观需求。数据安全领域将成为下一个热点风口，也是数字经济发展的基建要求，政策红利与市场规模将吸引部分企业开拓该类业务。

2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，第一次以正式文件的形式将数据归为生产要素，是“土地、劳动力、资本、技术”后的第五种生产要素。由此可见，数据的重要性，如果没有相关的配套保护，将直接影响数字经济的发展，数据产业依旧是朝阳产业，当前处于行业“优胜劣汰”的震荡清洗期，黎明前的黑暗！

数据安全相关法律法规，还待完善

《数据安全法》可谓是国家数据安全立法的顶层设计，与《网络安全法》（已发布）、《个人信息保护法》（制定中）形成从数据、网络数据、个人信息三个维度构建的数据安全法律体系，《数据安全法》将是企业开展数据活动的重要指南及业务风险评估标准。

以个人隐私保护方面为例，《网络安全法》制定了框架性规定，网络运营者要对收集的用户信息严格保密。同时，《APP违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》等规范也为企业收集和使用个人信息的合规性提供了具体的落地规定。

数据安全治理体系，除了法律外还需要有相应的规章制度、行业自律条例等配套，期待中国的数据安全治理体系日趋完善。

区块链技术在数据安全领域的应用

区块链技术与数据安全相结合的应用典例是利用区块链技术将数据确权与数据流通上链，探索数据链上治理体系。以互联网法院采用区块链技术打造司法区块链平台为例：广州互联网法院为例，区块链电子证据平台网通法链，在司法数据的产生、固化、采集、采信过程中，全部都在链上完成；北京互联网法院天平链，实现证据要素的规范管理，完善互联网法治治理模式。

“链接数据，以链治链”是区块链数据安全治理应用的核心，也符合区块链的技术特性，更是监管科技的选择。

结语

草案已为数据活动划清红线、明确底线，合规是业务开展的先决条件，将助力于推动数据产业升级、促进数字经济发展。从业者应有先发者的布局眼光，抓住政策红利，站上数字经济的风口，飞起来并不难！

希望《数据安全法》、《个人信息保护法》早日颁布，加速构建完善的数据安全治理体系。