数据安全、人人有责
《中华人民共和国数据安全法》(以下简称《数据安全法》)是我国数据安全领域的基础性法律,其立法过程紧密结合数字经济发展需求和国家安全战略,旨在构建数据安全保障体系,为数据开发利用和安全保护提供法治框架。以下从立法背景、过程、核心内容及意义等方面展开说明:
一、立法背景
随着数字经济的快速发展,数据已成为关键生产要素,但其安全风险也日益凸显,重要数据(如关键基础设施数据、敏感行业数据)的泄露、滥用可能威胁国家主权、经济安全和公共利益;数据跨境流动、非法交易等问题频发,需规范数据处理活动;个人数据和企业数据的安全保障需求迫切,需明确各方权责。在此背景下,《数据安全法》的立法被提上日程,以填补数据安全领域的法律空白,呼应 “总体国家安全观” 和数字经济健康发展的要求。本质上是数字时代数据价值凸显与安全风险交织下,国家为平衡 “数据安全” 与 “数据发展”、完善法治体系而提出的必然需求。具体可从以下几个核心维度展开:
(一)数据成为关键生产要素,地位与作用空前提升 随着数字经济的迅猛发展,数据已从辅助性资源升级为 “核心生产要素”,深度渗透到经济社会各领域:
1.在经济领域,数据驱动产业升级(如智能制造、精准营销)、优化资源配置(如金融风控、供应链管理),成为企业竞争力和国家经济增长的关键支撑;
2. 在社会治理领域,数据赋能政务服务(如 “一网通办”)、公共安全(如疫情防控流调),提升国家治理效能;
3.在国际竞争中,数据成为大国博弈的战略资源,其掌控力直接关系到科技竞争力和发展主动权。 数据的 “基础性、战略性” 地位,使得 “保障数据安全” 成为维护国家发展利益的前提 —— 若数据安全无法保障,其作为生产要素的价值将难以释放,甚至可能反噬发展。
(二)数据安全风险全面爆发,多维度威胁凸显 数据价值提升的同时,安全风险也随之加剧,且呈现 “跨领域、多主体、高危害” 特征:
1.国家安全层面:关键信息基础设施(如能源、金融、交通、通信)的数据泄露、被篡改或滥用,可能直接威胁国家主权(如地理信息数据泄露)、经济安全(如核心产业数据被窃取)、公共安全(如应急管理数据失控);部分敏感数据被境外势力获取,还可能成为地缘政治博弈的工具。
2.社会运行层面:数据非法交易、滥用现象频发(如黑产贩卖个人信息、企业过度采集数据),破坏市场秩序;数据跨境流动缺乏规范,导致重要数据 “无序出境”,增加监管难度;算法歧视、数据垄断等问题,也对社会公平造成冲击。
3.个体与企业权益层面:个人信息泄露(如电信诈骗、隐私滥用)、企业商业数据被窃取(如技术机密外泄)等事件频发,而此前缺乏明确的责任界定和救济途径,导致权益保护乏力。
(三)现有法律体系存在空白,亟需专门立法填补 在《数据安全法》出台前,我国数据安全相关规范散见于《网络安全法》《电子商务法》等法律中,但存在明显局限。网络安全法》侧重“网络运行安全”和“个人信息保护”,对“数据本身的安全”(如数据分类、重要数据保护、数据利用规范)覆盖不足;针对“数据作为生产要素的安全管理”“数据跨境流动的整体规则”“国家层面的数据安全统筹机制”等核心问题,缺乏系统性法律规定;地方和行业的零散规范效力层级低、适用范围有限,难以应对跨区域、跨行业的数据安全挑战。
(四)响应国家战略需求,构建总体安全观下的制度框架 《数据安全法》的立法,是落实“总体国家安全观”的重要举措 —— 数据安全作为国家安全体系的重要组成部分,需要通过专门立法明确 “安全与发展并重”的原则。 既要通过制度设计防范数据风险,维护国家主权、安全和发展利益;也要为数据的合法利用、开放共享和产业创新提供法治保障,推动数据要素市场化配置,支撑数字经济高质量发展。数字时代数据价值与风险并存、现有法律体系不足、国家战略需求驱动下的必然结果,其核心目标是通过法治手段平衡 “安全” 与 “发展”,为数据治理提供根本性制度遵循。
二、立法过程
《数据安全法》的立法历经调研、草案起草、多次审议和公开征求意见,体现了科学立法、民主立法的原则:
1. 草案起草与征求意见:2020 年 6 月,十三届全国人大常委会第二十次会议首次审议《数据安全法(草案)》,随后草案向社会公开征求意见(2020 年 7 月),广泛吸纳各界建议;
2. 多次审议完善:2021 年 4 月,十三届全国人大常委会第二十八次会议对草案进行二次审议,进一步细化数据分类分级、安全责任等内容;
3. 正式通过与施行:2021 年 6 月 10 日,十三届全国人大常委会第二十九次会议表决通过《数据安全法》,自 2021 年 9 月 1 日起施行。
三、立法核心内容
《数据安全法》共 7 章 55 条,围绕 “保障数据安全、促进数据利用”的核心目标,确立了多项关键制度:
1. 数据安全责任体系
明确 “数据处理者”(包括企业、机构等)的主体责任,要求其建立数据安全管理制度、采取安全保护措施; ◦ 规定各级政府及有关部门的监管职责,形成 “统筹协调 + 分级负责” 的监管机制。
2. 数据分类分级保护
确立“分类分级”原则:国家根据数据对国家安全、公共利益和个人权益的重要程度,对数据实行分类分级保护;对“重要数据”(如能源、金融、交通等领域的核心数据)实施重点保护,要求处理重要数据的单位制定安全管理制度、开展风险评估。
3. 数据安全风险防控
建立数据安全风险评估、监测预警和应急处置机制,要求关键信息基础设施运营者等定期开展风险评估并报送结果; ◦ 规范数据活动中的安全审查,对影响或可能影响国家安全的数据处理活动,依法进行国家安全审查。
4. 数据跨境流动规则
明确数据出境的安全管理要求:重要数据出境需依法申报,关键信息基础设施运营者的数据出境需通过安全评估;对向境外提供个人信息等场景,与《个人信息保护法》衔接,确保跨境流动合法合规。
5. 法律责任
对违反数据安全管理的行为(如未履行安全保护义务、非法泄露数据等),设定了警告、罚款、责令停业整顿等行政处罚;对危害国家安全、构成犯罪的,依法追究刑事责任。
四、立法意义
《数据安全法》的出台是我国数据安全法治建设的里程碑,具有多重意义:
1. 完善法律体系:与《网络安全法》《个人信息保护法》共同构成 “数据安全三驾马车”,填补了数据安全领域的基础性法律空白;在《数据安全法》出台前,我国数据相关规范分散于《网络安全法》(侧重网络运行与个人信息)、《电子商务法》(侧重电商数据)等法律中,缺乏针对 “数据安全” 的系统性、基础性规定。《数据安全法》的出台,与《网络安全法》《个人信息保护法》共同构成了我国数据治理的 “三驾马车”。《网络安全法》筑牢 “网络载体安全” 底线,《个人信息保护法》聚焦 “个体数据权益”,《数据安全法》则以 “数据本身的安全与利用” 为核心,覆盖国家、企业、个人等多主体,贯穿数据全生命周期(收集、存储、使用、加工、传输、提供、公开等),形成了 “网络安全 — 数据安全 — 个人信息保护” 三位一体的法
治体系,填补了数据安全领域的基础性法律空白,为后续配套法规(如数据分类分级指南、重要数据目录等)提供了上位法依据。
2. 保障国家安全:通过分类分级保护和风险防控,筑牢重要数据和核心数据的安全防线,维护国家主权和发展利益;守护国家主权与发展利益 数据作为新型战略资源,其安全直接关系国家主权、安全和发展利益。《数据安全法》通过制度设计,将数据安全纳入 “总体国家安全观” 框架。 明确 “数据分类分级保护” 制度,对 “重要数据”(如能源、金融、交通等关键领域核心数据)实施重点保护,防止因数据泄露、滥用威胁国家经济安全、公共安全; 建立数据安全风险评估、监测预警、应急处置机制,要求关键信息基础设施运营者等主体定期排查风险,对影响国家安全的数据处理活动开展安全审查,从源头防范数据被境外势力利用、危害国家主权(如地理信息、核心技术数据等敏感信息泄露); 规范数据跨境流动,通过安全评估、对等保护等规则,防止重要数据 “无序出境”,在全球化背景下守住国家数据安全的 “国门”。
3. 促进数字经济发展:在规范数据安全的同时,鼓励数据依法合理利用,为数据要素市场化配置提供法治保障;释放数据要素价值 数据是数字经济的核心生产要素,而 “安全”是数据要素市场化的前提。《数据安全法》通过“安全与发展并重”的原则,为数据的合规利用与产业创新扫清障碍。明确 “鼓励数据依法合理利用” 的导向,在规范数据处理活动的同时,允许企业、科研机构等在安全前提下开展数据开放、共享、交易,推动数据要素流动(如政务数据开放、行业数据共享平台建设);为企业数据处理提供清晰的合规指引(如安全管理制度、风险评估义务),减少“合规不确定性”带来的经营风险,降低企业数据安全成本,激发市场主体创新活力(如大数据、人工智能等依赖数据的产业);通过打击数据非法交易、滥用等行为,维护公平竞争的市场秩序,为数字经济高质量发展营造安全稳定的制度环境。
4. 保护合法权益:明确数据处理者的责任,为个人和企业的数据权益提供法律保护,平衡“安全”与“发展”的关系。数据安全不仅关乎国家,更与每个个体、企业的合法权益息息相关。《数据安全法》通过明确权责边界,实现了对多元主体权益的平衡保护。 对个人而言,立法要求数据处理者 “采取必要措施保障数据安全”,禁止非法泄露、滥用个人数据,与《个人信息保护法》衔接,为个人数据权益提供双重保障(如个人可依法要求更正、删除数据);对企业而言,立法明确了数据处理者的安全责任(如数据安全负责人制度),同时也保护企业合法的数据财产权(如商业秘密、技术数据),防止恶意窃取、滥用,维护企业经营安全; 对社会而言,立法通过规范算法数据使用、防范数据垄断等,减少“数据歧视”“大数据杀熟”等问题,促进社会公平;同时,通过数据安全治理赋能政务服务(如疫情防控数据合规使用),提升国家治理现代化水平。
5.提升全球数据治理话语权,参与国际规则制定 在全球数据竞争加剧、数据跨境流动规则碎片化的背景下,《数据安全法》的立法是我国参与全球数据治理的重要举措。明确数据跨境流动的 “安全评估”“对等保护”等规则,既保障我国数据主权,也为境外企业进入中国市场提供了合规路径,平衡了“数据开放”与“安全管控”;通过确立 “数据安全与发展并重” 的理念,为全球数据治理提供了 “中国方案”—— 不同于部分国家“数据霸权”或“封闭保护”的极端模式,我国以立法实践证明:数据安全与数据利用可以协同推进,这一思路有助于提升我国在全球数据治理中的话语权,推动形成更公平合理的国际数据规则。确立“安全与发展并重”的治理理念,当前全球数据治理存在显著分歧:部分国家以“国家安全”为由推行数据保护主义(如强制数据本地化),部分国家则以“自由流动”为借口扩张数据霸权(如长臂管辖),导致全球数据规则碎片化。《数据安全法》在立法理念上明确 “统筹发展和安全”,既强调“维护数据安全”(如重要数据保护、跨境安全评估),又明确“促进数据开发利用”(如鼓励数据依法合理流动、支持数据产业创新)。这一“安全与发展平衡”的思路,打破了“非此即彼”的二元对立,为全球数据治理提供了更具包容性的“中间道路”—— 例如,法律不搞一刀切的 “数据本地化”,而是通过 “安全评估 + 分类分级” 对跨境数据实施差异化管理,既保障安全,又避免阻碍正常数据流动。这种理念已被多个国家和国际组织关注,成为我国参与全球数据治理对话的核心主张。
6.明确数据跨境流动规则,为国际数据合作提供 “确定性框架” 全球数据治理的核心矛盾之一是 “数据跨境流动的规则不统一”,企业因各国要求差异面临合规成本高、风险不确定等问题。《数据安全法》通过以下制度为跨境数据流动提供清晰规则,增强国际合作的可预期性。分类分级 + 安全评估:规定 “重要数据” 跨境需经安全评估,“一般数据” 则可在合规前提下自由流动,避免 “眉毛胡子一把抓”; 对等保护原则:明确 “境外执法机构要求调取境内数据的,应当通过司法协助等合法途径”,反制部分国家的 “数据长臂管辖”(如美国《云法案》),同时为我国企业应对境外不合理数据要求提供法律依据; 合规路径开放:允许符合条件的企业(如通过安全评估、取得认证)开展数据跨境,为外资企业进入中国市场、中资企业 “走出去” 提供明确的合规指引。这些规则既维护了我国数据主权,又向国际社会释放了 “有序开放” 的信号,减少了国际数据合作的制度性障碍,使我国成为全球数据流动的 “稳定器” 而非 “壁垒”。
7.构建数据安全全球合作机制,推动多边治理体系建设 全球数据治理不能仅靠单边规则,更需要多边协调。《数据安全法》专章规定 “数据安全国际合作”,为我国参与多边机制、推动规则统一提供了法律支撑。主动对接国际规则:在数据安全风险评估、应急处置等领域,吸收国际通行做法(如参考 ISO 数据安全标准),减少与其他国家的规则冲突,为跨境合作扫清障碍; 推动 “对等互认”:明确 “国家支持开展数据安全的国际交流与合作,参与数据安全国际规则和标准的制定”,例如在 “数字丝绸之路” 建设中,与沿线国家探索数据安全标准互认、跨境流动便利化机制,形成区域数据治理共识; 反对数据霸权与保护主义:通过立法明确反对 “利用数据损害他国国家安全和利益”“歧视性限制数据流动”,在国际场合(如联合国、WTO、APEC)倡导 “数据主权平等”“非歧视性原则”,推动建立更公平的全球数据治理秩序。 例如,我国依托《数据安全法》的原则,在金砖国家、上合组织等多边平台推动数据安全合作倡议,逐步形成 “中国主导的区域数据治理圈”,提升了在全球规则制定中的话语权。 以 “数据主权” 为基础,平衡全球治理中的 “权利与责任” 数据主权是国家主权在数字时代的延伸,也是参与全球数据治理的前提。《数据安全法》通过明确 “数据处理活动必须遵守我国法律,不得危害国家安全”,确立了我国数据主权的边界,同时也明确了我国在全球治理中的责任:
对内:通过规范数据处理活动(如禁止向境外提供危害国家安全的数据),防止数据被滥用危害他国利益,履行 “数据安全负责任大国” 的义务;
对外:在维护自身数据主权的同时,尊重其他国家的数据主权,反对 “数据霸权”(如拒绝单边强制数据披露要求),推动形成 “主权平等、责任共担” 的全球数据治理原则。 这种 “既守底线,又尽责任” 的态度,使我国在国际社会获得更多认同 —— 既不同于部分国家 “只讲权利不讲责任” 的霸权行径,也不同于 “放弃主权换开放” 的被动姿态,为全球数据治理提供了 “权责对等” 的范本。
8.赋能企业参与国际竞争,提升我国在全球数据产业链中的影响力 全球数据治理的核心是 “规则主导权”,而规则的影响力最终体现在市场主体的实践中。《数据安全法》通过规范国内数据市场,推动我国企业形成 “合规竞争力”,进而影响全球数据产业链规则。倒逼企业建立高标准的数据安全管理制度(如数据分类分级、风险评估),使其在参与国际合作时更易满足他国合规要求(如欧盟 GDPR 的部分标准); 保护我国企业的数据资产(如商业秘密、核心技术数据),防止在国际竞争中被恶意窃取或滥用,增强我国在数据产业链(如云计算、人工智能)中的话语权;支持我国数据企业 “走出去” 时携带合规经验,推动全球数据服务标准向 “安全与发展平衡” 的方向靠拢(例如,我国电商平台的跨境数据管理模式被部分发展中国家借鉴)。
9.推动国家治理现代化,夯实数字社会法治基础 数字时代,国家治理的核心之一是 “数据治理”。《数据安全法》通过明确政府、企业、个人在数据安全中的权责,构建了 “政府监管、企业主责、社会参与” 的协同治理模式。要求各级政府建立数据安全协调机制,统筹数据安全与发展; 赋予企业 “数据处理主体责任”,倒逼其建立内控机制;鼓励社会力量参与数据安全监督(如行业协会制定标准)。 这种 “多元共治” 模式,不仅提升了数据安全治理的效率,更推动了国家治理从 “传统模式” 向 “数字法治模式” 转型,为数字社会的有序运行奠定了制度基础。
结束语
《数据安全法》并非 “封闭性” 的国内法,而是我国参与全球数据治理的 “战略支点”:它以 “安全与发展并重” 的理念回应全球治理困境,以清晰的跨境规则提供合作确定性,以多边合作为路径推动规则统一。
《数据安全法》的立法为数据的合规利用和产业创新奠定了制度基础,是我国推进国家治理现代化和数字经济法治化的重要举措,《数据安全法》作为我国数据治理的基础性法律,不仅构建了国内数据安全与发展的制度框架,更在国际层面为我国参与全球数据治理提供了规则依据、价值主张和实践路径,推动我国从 “全球数据治理的参与者” 向 “规则制定的重要贡献者” 转变。《数据安全法》是我国应对数字时代挑战的 “法治宣言”—— 它既以 “安全” 为底线守护国家利益与社会公平,又以 “发展” 为导向释放数据要素价值,最终为我国数字经济高质量发展、国家治理现代化、参与全球数据治理提供了不可替代的法治保障,是我国数据治理从 “实践探索” 走向 “制度成熟” 的里程碑。
上一篇:北京合川律师事务所刘启明律师继承法普法进社区
下一篇:最后一页
