草案第二條規定本法適用于在中國(guo)(guo)境(jing)內(nei)開展的(de)數(shu)(shu)據活(huo)動(dong)，而(er)對于境(jing)外(wai)主體(ti)開展的(de)損(sun)害我國(guo)(guo)國(guo)(guo)家安全(quan)、公(gong)共(gong)利(li)(li)益(yi)(yi)或境(jing)內(nei)主體(ti)合法權(quan)(quan)益(yi)(yi)的(de)數(shu)(shu)據活(huo)動(dong)，亦有(you)(you)管轄權(quan)(quan)，確(que)立了有(you)(you)限的(de)域外(wai)適用效(xiao)力(li)(li)。考慮到(dao)數(shu)(shu)字時代(dai)跨境(jing)數(shu)(shu)據活(huo)動(dong)已(yi)非常普遍，且(qie)數(shu)(shu)據活(huo)動(dong)與國(guo)(guo)家安全(quan)、公(gong)共(gong)利(li)(li)益(yi)(yi)和(he)(he)公(gong)民(min)(min)權(quan)(quan)益(yi)(yi)具有(you)(you)強關聯性，在法律(lv)中設定一(yi)定的(de)域外(wai)效(xiao)力(li)(li)或長臂管轄有(you)(you)其必(bi)(bi)要性。同時，一(yi)國(guo)(guo)法律(lv)的(de)域外(wai)效(xiao)力(li)(li)（且(qie)常用公(gong)權(quan)(quan)力(li)(li)作為(wei)追訴手段），會引起法律(lv)及司法權(quan)(quan)沖突的(de)問題，應(ying)當基于最為(wei)必(bi)(bi)要的(de)原(yuan)則進行設定和(he)(he)適用。鑒于此，我們(men)建議對域外(wai)適用的(de)情(qing)形限縮在國(guo)(guo)家安全(quan)、重大公(gong)共(gong)利(li)(li)益(yi)(yi)和(he)(he)嚴重損(sun)害公(gong)民(min)(min)權(quan)(quan)益(yi)(yi)的(de)情(qing)形。

草案第三(san)條明確本法(fa)監管對象為(wei)“數據(ju)活動(dong)”，即數據(ju)的收集(ji)(ji)、存儲(chu)、加工、使(shi)用(yong)、提供、交易、公開等行為(wei)。將于(yu)2021年1月1日(ri)正式生效(xiao)的《中(zhong)華(hua)人(ren)民共和國民法(fa)典》在人(ren)格權編下規定(ding) “個人(ren)信息處(chu)理”為(wei)收集(ji)(ji)、存儲(chu)、使(shi)用(yong)、加工、傳輸、提供、公開等行為(wei)^[1]。可見，草案對于“數據活動(dong)”的(de)(de)定(ding)義與(yu)《民(min)法(fa)典》下的(de)(de)“處理(li)”所覆蓋的(de)(de)范圍一致，均(jun)針對數據全生命周期的(de)(de)處理(li)活動(dong)。立法(fa)語言(yan)體系的(de)(de)統(tong)一，便(bian)于行政執(zhi)法(fa)、司法(fa)和企業的(de)(de)合(he)規遵循，因(yin)此，我們(men)建議在草案中保持和《民(min)法(fa)典》術語的(de)(de)一致。

草案第三條同時明確 “數據安全”的具體要求，即“通過采取必要措施,保障數據得到有效保護和合法利用,并持續處于安全狀態的能力”。對比現行網絡安全等級保護2.0體系下對于數據完整性、保密性、可用性的安全保護要求^[2]，草案突出了數據安全的動態和持續要求。

草(cao)(cao)案第六條明確了我國(guo)(guo)數據(ju)安(an)(an)全(quan)工(gong)(gong)(gong)作由中央(yang)國(guo)(guo)家安(an)(an)全(quan)領導機(ji)構(gou)決策和(he)(he)統(tong)籌(chou)協調，與(yu)(yu)網(wang)絡(luo)(luo)安(an)(an)全(quan)的(de)中央(yang)領導機(ji)構(gou)（中央(yang)網(wang)絡(luo)(luo)安(an)(an)全(quan)和(he)(he)信(xin)(xin)息化委(wei)員會(hui)）不同。草(cao)(cao)案第七條規定，國(guo)(guo)家網(wang)信(xin)(xin)部門負責(ze)(ze)統(tong)籌(chou)協調網(wang)絡(luo)(luo)數據(ju)安(an)(an)全(quan)相關監(jian)管工(gong)(gong)(gong)作，電信(xin)(xin)、金融、教育等各(ge)(ge)行業(ye)主管部門承擔本行業(ye)的(de)數據(ju)安(an)(an)全(quan)監(jian)管職責(ze)(ze)，公安(an)(an)機(ji)關、國(guo)(guo)家安(an)(an)全(quan)機(ji)關負責(ze)(ze)各(ge)(ge)自職責(ze)(ze)范圍內的(de)數據(ju)安(an)(an)全(quan)監(jian)管工(gong)(gong)(gong)作，這與(yu)(yu)《網(wang)絡(luo)(luo)安(an)(an)全(quan)法》所形成的(de)網(wang)絡(luo)(luo)安(an)(an)全(quan)監(jian)管框架(jia)基本保(bao)持一致。與(yu)(yu)此同時，草(cao)(cao)案明確各(ge)(ge)地區、各(ge)(ge)部門對各(ge)(ge)自工(gong)(gong)(gong)作中涉及的(de)數據(ju)及數據(ju)安(an)(an)全(quan)承擔主體責(ze)(ze)任(ren)。

考慮到數據(ju)活(huo)動中的(de)(de)地域性和行業(ye)性愈(yu)發模糊(hu)，草案中設定(ding)的(de)(de)行業(ye)監管(guan)和地域監管(guan)框架的(de)(de)科學性有待論證，可(ke)能(neng)會(hui)形(xing)成“九龍治水(shui)”的(de)(de)局面(mian)。我們建議，國(guo)家設定(ding)統一的(de)(de)數據(ju)活(huo)動監管(guan)機(ji)構，統一監管(guan)標準(zhun)、執法(fa)要求和執法(fa)程序，這將有利(li)于數據(ju)要素(su)的(de)(de)合法(fa)流動和價(jia)值實現。

草案第十(shi)(shi)二條明確國家堅持“維護(hu)數(shu)據(ju)(ju)安(an)全(quan)”與(yu)“促(cu)進(jin)數(shu)據(ju)(ju)開發(fa)利用(yong)”并重的(de)立法與(yu)監(jian)管理念，以數(shu)據(ju)(ju)開發(fa)利用(yong)和(he)產業(ye)(ye)發(fa)展促(cu)進(jin)數(shu)據(ju)(ju)安(an)全(quan),以數(shu)據(ju)(ju)安(an)全(quan)保障數(shu)據(ju)(ju)開發(fa)利用(yong)和(he)產業(ye)(ye)發(fa)展。同時，草案第十(shi)(shi)三(san)條及第十(shi)(shi)四(si)條明確國家鼓勵和(he)支持數(shu)據(ju)(ju)在各行業(ye)(ye)的(de)技(ji)術推廣和(he)創新應用(yong)。

網絡(luo)安(an)全和網絡(luo)發展(zhan)是互聯網為人民造福的(de)(de)“一體兩(liang)翼(yi)”，數據監管亦是如此。國家對于數據安(an)全的(de)(de)立法價值(zhi)取(qu)向(xiang)是，通過數據安(an)全制(zhi)度建設保障數據安(an)全，進(jin)一步迭代促進(jin)產業發展(zhan)。

草案第十五條明確國家將推進建設數據開發利用技術和數據安全標準體系，涵蓋數據開發利用技術、產品和數據安全相關標準。國家標準委發布的《2020全國標準化工作要點》中亦提出構建新一代信息技術標準體系的總體要求，推進大數據、云計算、物聯網、人工智能等重點領域的標準體系建設。諸如人臉識別技術^[3]、智能網聯汽車^[4]等各領域的數據相關技術標準已陸續立項啟動。可以預見，未來將出臺并逐步完善相關技術標準，進一步規范并保障數據安全，促進產業發展。

草案(an)第十六條(tiao)提出國家促進數據(ju)安(an)全(quan)檢測評(ping)(ping)(ping)估、認(ren)證(zheng)(zheng)(zheng)等服務的(de)發展，并支持評(ping)(ping)(ping)估、認(ren)證(zheng)(zheng)(zheng)等專業機(ji)構(gou)依(yi)法開展服務。可(ke)以預見，在《網絡關鍵設備和網絡安(an)全(quan)專用(yong)產(chan)品安(an)全(quan)認(ren)證(zheng)(zheng)(zheng)實施(shi)規則(ze)(ze)》、《移動互聯網應用(yong)程序安(an)全(quan)認(ren)證(zheng)(zheng)(zheng)實施(shi)細則(ze)(ze)》等各(ge)領域現行認(ren)證(zheng)(zheng)(zheng)規定(ding)的(de)基(ji)礎上，數據(ju)安(an)全(quan)檢測評(ping)(ping)(ping)估及認(ren)證(zheng)(zheng)(zheng)也(ye)將(jiang)作為網絡安(an)全(quan)與數據(ju)保護評(ping)(ping)(ping)估體系的(de)重要組成部分，促進數據(ju)開發利用(yong)與產(chan)業發展。

草案(an)第三章重(zhong)點(dian)關注數據(ju)(ju)(ju)(ju)安(an)全(quan)保(bao)(bao)障制度方面(mian)的(de)建設，包括(kuo)數據(ju)(ju)(ju)(ju)分(fen)(fen)類分(fen)(fen)級保(bao)(bao)護、重(zhong)要數據(ju)(ju)(ju)(ju)保(bao)(bao)護目錄、數據(ju)(ju)(ju)(ju)安(an)全(quan)風險預(yu)警機(ji)制、數據(ju)(ju)(ju)(ju)安(an)全(quan)應急處(chu)置機(ji)制、數據(ju)(ju)(ju)(ju)活(huo)動的(de)國(guo)家安(an)全(quan)審查機(ji)制等。

數(shu)據(ju)(ju)(ju)(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級是開展數(shu)據(ju)(ju)(ju)(ju)安全(quan)管理工作的基(ji)礎(chu)。數(shu)據(ju)(ju)(ju)(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級管理和保(bao)護(hu)，在兼顧數(shu)據(ju)(ju)(ju)(ju)安全(quan)和個人(ren)隱私保(bao)護(hu)的同時，可以最(zui)大限度(du)釋放數(shu)據(ju)(ju)(ju)(ju)價(jia)值(zhi)。現行法(fa)律及部門規章層面有(you)關數(shu)據(ju)(ju)(ju)(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級的規定多(duo)止(zhi)步于提(ti)出(chu)(chu)要求，而未(wei)明(ming)確(que)具體(ti)的分(fen)(fen)類(lei)(lei)分(fen)(fen)級標(biao)準(zhun)。草案第十九(jiu)條明(ming)確(que)數(shu)據(ju)(ju)(ju)(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級將以風險程度(du)為導向，按照數(shu)據(ju)(ju)(ju)(ju)“一(yi)旦遭到篡改、破壞、泄露或者非(fei)法(fa)獲取、非(fei)法(fa)利用”所產生的危害程度(du)作為分(fen)(fen)類(lei)(lei)分(fen)(fen)級的原則性標(biao)準(zhun)，以評(ping)估可能(neng)造成的危害程度(du)。在此基(ji)礎(chu)上(shang)，草案提(ti)出(chu)(chu)各地區(qu)(qu)、各部門有(you)權確(que)定本地區(qu)(qu)和本部門“重要數(shu)據(ju)(ju)(ju)(ju)”保(bao)護(hu)目錄(lu)。

草案規(gui)定(ding)的(de)數(shu)(shu)(shu)(shu)(shu)據(ju)分(fen)(fen)級(ji)分(fen)(fen)類(lei)(lei)制(zhi)度以監管(guan)機構的(de)視角出發(fa)，對不(bu)(bu)同(tong)類(lei)(lei)型(xing)及(ji)級(ji)別(bie)的(de)數(shu)(shu)(shu)(shu)(shu)據(ju)采取(qu)不(bu)(bu)同(tong)的(de)監管(guan)措施和法律要(yao)求，我(wo)們理解其具(ju)有必要(yao)性。同(tong)時(shi)，企(qi)業(ye)在(zai)數(shu)(shu)(shu)(shu)(shu)據(ju)活動中，為了(le)數(shu)(shu)(shu)(shu)(shu)據(ju)安全(quan)(quan)保護(hu)、數(shu)(shu)(shu)(shu)(shu)據(ju)流動及(ji)合規(gui)遵循(xun)，會形(xing)成(cheng)基于行(xing)(xing)業(ye)實踐的(de)分(fen)(fen)類(lei)(lei)分(fen)(fen)級(ji)體(ti)(ti)系。這兩者應該并(bing)行(xing)(xing)不(bu)(bu)悖，不(bu)(bu)能互相取(qu)代。近年來，諸如《工業(ye)數(shu)(shu)(shu)(shu)(shu)據(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級(ji)指南（試行(xing)(xing)）》、《證券期貨業(ye)數(shu)(shu)(shu)(shu)(shu)據(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級(ji)指引》、《個人金融(rong)信息(xi)保護(hu)技術規(gui)范》等各部委發(fa)布的(de)指引性文(wen)件(jian)及(ji)行(xing)(xing)業(ye)標(biao)準，對特定(ding)行(xing)(xing)業(ye)的(de)數(shu)(shu)(shu)(shu)(shu)據(ju)分(fen)(fen)類(lei)(lei)分(fen)(fen)級(ji)具(ju)體(ti)(ti)標(biao)準也進行(xing)(xing)了(le)一些有益(yi)的(de)嘗試。數(shu)(shu)(shu)(shu)(shu)據(ju)分(fen)(fen)級(ji)應在(zai)完成(cheng)數(shu)(shu)(shu)(shu)(shu)據(ju)分(fen)(fen)類(lei)(lei)的(de)基礎上，針(zhen)對不(bu)(bu)同(tong)類(lei)(lei)別(bie)數(shu)(shu)(shu)(shu)(shu)據(ju)發(fa)生上述安全(quan)(quan)事件(jian)后可能發(fa)生的(de)危害后果進行(xing)(xing)定(ding)級(ji)，并(bing)匹配(pei)不(bu)(bu)同(tong)級(ji)別(bie)數(shu)(shu)(shu)(shu)(shu)據(ju)的(de)安全(quan)(quan)保障(zhang)技術措施及(ji)管(guan)理措施。

《網(wang)絡安(an)全(quan)(quan)(quan)法(fa)》及(ji)其配套法(fa)規(gui)、國家標準(zhun)已提出網(wang)絡安(an)全(quan)(quan)(quan)監測預警機制(zhi)、網(wang)絡安(an)全(quan)(quan)(quan)事(shi)件(jian)應(ying)(ying)急(ji)響應(ying)(ying)機制(zhi)及(ji)網(wang)絡安(an)全(quan)(quan)(quan)事(shi)件(jian)報告機制(zhi)等(deng)。而(er)針(zhen)對數據安(an)全(quan)(quan)(quan)，草案第二十條(tiao)、第二十一條(tiao)明確將從國家層面(mian)建立評估、報告、信(xin)息共享、監測預警的系(xi)統(tong)化機制(zhi)，并輔以針(zhen)對數據安(an)全(quan)(quan)(quan)事(shi)件(jian)的應(ying)(ying)急(ji)處置機制(zhi)，消除安(an)全(quan)(quan)(quan)隱患，防止(zhi)危(wei)害擴大。

草案第二(er)十二(er)條規(gui)定(ding)，國(guo)(guo)家(jia)(jia)會針對(dui)影響或(huo)者可能(neng)影響國(guo)(guo)家(jia)(jia)安(an)全(quan)(quan)(quan)的(de)(de)(de)數(shu)據活動(dong)進(jin)行(xing)國(guo)(guo)家(jia)(jia)安(an)全(quan)(quan)(quan)審(shen)(shen)查(cha)。如前所(suo)述(shu)，數(shu)據是未(wei)來國(guo)(guo)際間競爭的(de)(de)(de)核心，與(yu)(yu)國(guo)(guo)家(jia)(jia)安(an)全(quan)(quan)(quan)息(xi)息(xi)相關(guan)，對(dui)特(te)定(ding)的(de)(de)(de)數(shu)據活動(dong)進(jin)行(xing)國(guo)(guo)家(jia)(jia)安(an)全(quan)(quan)(quan)審(shen)(shen)查(cha)，有(you)(you)其必要性(xing)。但是，規(gui)定(ding)所(suo)覆蓋的(de)(de)(de)審(shen)(shen)查(cha)范(fan)圍未(wei)作限定(ding)，覆蓋場(chang)景范(fan)圍模糊(hu)，其與(yu)(yu)網絡安(an)全(quan)(quan)(quan)審(shen)(shen)查(cha)之(zhi)間的(de)(de)(de)關(guan)系未(wei)作進(jin)一步厘(li)清(qing)。從降低制(zhi)度行(xing)政運行(xing)成(cheng)本和企(qi)業合規(gui)成(cheng)本的(de)(de)(de)角度考(kao)慮(lv)，我(wo)們建議，對(dui)于草案所(suo)設定(ding)的(de)(de)(de)數(shu)據國(guo)(guo)家(jia)(jia)安(an)全(quan)(quan)(quan)審(shen)(shen)查(cha)機(ji)制(zhi)，可以考(kao)慮(lv)在后續修訂中轉換(huan)為針對(dui)跨境數(shu)據流動(dong)等具有(you)(you)較高(gao)敏感性(xing)的(de)(de)(de)場(chang)景的(de)(de)(de)安(an)全(quan)(quan)(quan)審(shen)(shen)查(cha)制(zhi)度，或(huo)與(yu)(yu)現有(you)(you)網絡安(an)全(quan)(quan)(quan)審(shen)(shen)查(cha)機(ji)制(zhi)相融合。

草案對數據活動的安(an)全保護義務予以明確，具體包括：

• 1）建立健(jian)全(quan)(quan)全(quan)(quan)流程數(shu)據安全(quan)(quan)管理制(zhi)度，開展數(shu)據安全(quan)(quan)教(jiao)育培訓，采取相應(ying)的(de)技術措(cuo)施及其他必要措(cuo)施，保(bao)障數(shu)據安全(quan)(quan)（第(di)二十五條）；

• 2）加強風險檢測，及時(shi)采取(qu)補救措施(shi)，發生數據安全事(shi)件時(shi)應當及時(shi)告知用(yong)戶并向主(zhu)管部門上報（第二十七(qi)條）；

• 3）采取(qu)合法、正當方(fang)式收集(ji)數據，并在法律、行(xing)政法規規定的目的和(he)范圍內(nei)收集(ji)、使(shi)用數據，不得超過(guo)必(bi)要限度(du)（第二十九條）。

可以看(kan)到，相關保護(hu)要(yao)(yao)求基本未(wei)超出《網(wang)絡(luo)安全(quan)法》對(dui)于網(wang)絡(luo)運營者應當承擔(dan)的網(wang)絡(luo)安全(quan)及個人信息保護(hu)安全(quan)義務的范圍，也與《民(min)法典(dian)》針對(dui)個人信息處理的要(yao)(yao)求具有一致性。

除與(yu)現有制度體系的(de)銜接外，草(cao)案也(ye)提(ti)出(chu)了(le)部分關于數據監管的(de)新制度設計(ji)。

自《網絡安全(quan)(quan)法(fa)》生效(xiao)后，重(zhong)(zhong)要(yao)數據(ju)(ju)的(de)(de)(de)范圍、識別和流(liu)動監(jian)管(guan)，一(yi)直是業界關(guan)注的(de)(de)(de)焦點問題。一(yi)方面(mian)重(zhong)(zhong)要(yao)數據(ju)(ju)與(yu)國家安全(quan)(quan)及(ji)公共利益息息相關(guan)，有(you)必(bi)要(yao)建立起有(you)效(xiao)的(de)(de)(de)監(jian)管(guan)體系，另一(yi)方面(mian)，重(zhong)(zhong)要(yao)數據(ju)(ju)范圍上須是“真正重(zhong)(zhong)要(yao)”的(de)(de)(de)數據(ju)(ju)，不能泛化，否則會(hui)阻礙數據(ju)(ju)的(de)(de)(de)正當流(liu)動，不利于數字經濟的(de)(de)(de)發展。業界對《數據(ju)(ju)安全(quan)(quan)法(fa)》能解決重(zhong)(zhong)要(yao)數據(ju)(ju)的(de)(de)(de)遺留問題抱有(you)很大的(de)(de)(de)期待。

本次草案(an)對“重要數(shu)據(ju)”的(de)界定(ding)仍不夠(gou)清晰，無法彌(mi)補(bu)現有體(ti)系下(xia)對“重要數(shu)據(ju)”范圍認定(ding)的(de)不足。同時，第(di)十九條將”重要數(shu)據(ju)“保護(hu)目錄(lu)的(de)制(zhi)定(ding)權限下(xia)放至(zhi)地(di)方與(yu)部(bu)門(men)，權力配置缺乏科(ke)學性，容易(yi)導致”重要數(shu)據(ju)“認定(ding)范圍過于寬泛(fan)，影響數(shu)據(ju)要素流動。因此(ci)，建議將重要數(shu)據(ju)的(de)范圍和識別標準列(lie)入中央事權。

與此同(tong)時(shi)，草案圍繞(rao)重(zhong)要(yao)數據保護提(ti)出了若干延伸管理(li)要(yao)求，主要(yao)包括：

• 1） 重要數據(ju)的處理者應當設立數據(ju)安全(quan)負責人(ren)和管理機構（第(di)二十五條(tiao)）；

• 2） 重(zhong)要(yao)數(shu)據相關活動定期開展包括(kuo)重(zhong)要(yao)數(shu)據的(de)種類、數(shu)量(liang)，收集、存儲、加工、使用數(shu)據的(de)情況(kuang),面(mian)臨(lin)的(de)數(shu)據安全(quan)風(feng)險(xian)及其應對措施等在內的(de)風(feng)險(xian)評(ping)估，并向有關主管部門(men)發(fa)送風(feng)險(xian)評(ping)估報告（第二十八條(tiao)）；

• 3） 如果重要數據的處理(li)活(huo)動影(ying)響(xiang)或者可能影(ying)響(xiang)國(guo)家安(an)全(quan)的，應當接受國(guo)家安(an)全(quan)審(shen)查（第二(er)十二(er)條）；

• 4） 如果屬于 “與履行(xing)國際(ji)義(yi)務和維護國家安(an)全相關的(de)(de)屬于管(guan)制物項的(de)(de)”重要數據的(de)(de)，也應當依法(fa)實施出口管(guan)制（第(di)二十三條）。

針對負責重(zhong)要(yao)數據風險評估、對重(zhong)要(yao)數據處理活動進行國家安全審查、對落(luo)入(ru)出口(kou)管制范圍(wei)的(de)重(zhong)要(yao)數據采取管制措施的(de)具體主(zhu)管部(bu)門，以(yi)及處理流程，同樣需要(yao)后續立法(fa)予以(yi)明確(que)。

數(shu)據(ju)(ju)是數(shu)字經濟時代(dai)企業(ye)發展的(de)(de)核心資(zi)源，數(shu)據(ju)(ju)交易能(neng)幫助數(shu)據(ju)(ju)要(yao)(yao)素實(shi)現市場價(jia)值，而數(shu)據(ju)(ju)在線處理(li)服務有(you)助于(yu)數(shu)據(ju)(ju)價(jia)值的(de)(de)挖掘和(he)利用。日前正式公布的(de)(de)《中(zhong)共中(zhong)央、國務院關于(yu)構建更加完善的(de)(de)要(yao)(yao)素市場化配置體制機制的(de)(de)意見(jian)》強調(diao)數(shu)據(ju)(ju)作為一種新型生產要(yao)(yao)素，對于(yu)數(shu)字經濟發展具有(you)重(zhong)要(yao)(yao)意義(yi)。

在《民法典》以開放立法方式將數據、網絡虛擬財產納入法律保護^[5]后，草案第十七條同步關注數據交易的價值，并對從事數據交易中介服務機構提出保證數據來源合法合規及審核交易雙方身份的法律要求。我們理解，在數據交易中介服務市場高速發展的今天，此項規定擬將現有針對數據交易服務的立法構想^[6]，上升為強制性法律要求，強調中介服務機構在其中應盡的數據及交易雙方身份的審核義務，表明國家對于數據交易中介服務市場的管理決心及方式。

在線數據處理活動會接觸大量的數據，數據安全非常重要，同時，這項活動涉及數據主體權益。草案第三十一條強調專門提供在線數據處理等服務的經營者，應當按照國家電信主管部門規定，依法取得經營業務許可或者備案。同時，草案也明確了未依法辦理許可或備案而從事相關業務的處罰要求^[7]。我們理解，這部分規定更多是與現有數據處理服務電信監管要求進行銜接，避免行業發展亂象。

數(shu)據跨(kua)境(jing)流(liu)(liu)動關系到(dao)國家(jia)網(wang)絡空間(jian)主權及數(shu)據安(an)全，一直以來是(shi)國家(jia)立(li)法關注的重點。其相(xiang)關立(li)法要求，將直接(jie)影響境(jing)內企(qi)業出(chu)海戰略、境(jing)內外企(qi)數(shu)據對(dui)外傳輸的合規(gui)(gui)方案(an)。對(dui)此，草案(an)將涉及數(shu)據跨(kua)境(jing)流(liu)(liu)動監管的相(xiang)關要求，分散規(gui)(gui)定于不同場景條(tiao)款中(zhong)，主要包(bao)括如下(xia)：

• 1） 國(guo)家積(ji)極開(kai)展數(shu)據領(ling)域國(guo)際(ji)交(jiao)流合(he)作(zuo)及標準制定，促進數(shu)據跨(kua)境(jing)安全自由流動（第十條）；

• 2） 國家(jia)對與履行國際(ji)義務和(he)維(wei)護國家(jia)安全相關的(de)屬于(yu)管(guan)制(zhi)物項的(de)數據，依法(fa)實施(shi)出口管(guan)制(zhi)（第二(er)十(shi)三條）；

• 3） 針對外(wai)國(guo)對中國(guo)采取的與(yu)數據(ju)活動有關的歧視性措施，可以采取相應(ying)反制措施（第二十四(si)條）；

• 4） 針(zhen)對境(jing)外執法(fa)機構(gou)要求調取境(jing)內(nei)數據的(de)，有(you)關(guan)主體應向主管機關(guan)報告并獲其批準后方可進行（第三十三條）

整(zheng)體而言(yan)，草案對維護數據(ju)(ju)的(de)(de)正當跨境流動秩序進行(xing)了宣示，重申(shen)了中國(guo)(guo)堅持對外開放的(de)(de)基本國(guo)(guo)策。我國(guo)(guo)正在制(zhi)定《出(chu)(chu)(chu)口(kou)管(guan)制(zhi)法》，以加強對兩用物項、軍品、核及其他與國(guo)(guo)家安全相關的(de)(de)貨(huo)物、技術和服(fu)務的(de)(de)管(guan)制(zhi)，而本草案把屬于管(guan)制(zhi)物項的(de)(de)數據(ju)(ju)納入(ru)了出(chu)(chu)(chu)口(kou)管(guan)制(zhi)對象，明確了出(chu)(chu)(chu)口(kou)管(guan)制(zhi)在數據(ju)(ju)活動中的(de)(de)適用。

2018年(nian)美國《澄清境(jing)外數(shu)據的(de)合法使(shi)用法案》（“CLOUD ACT”）簽署生效，該法案擴張(zhang)了(le)美國執法機構獲(huo)取存儲于境(jing)外的(de)數(shu)據的(de)能力(li)，引發國際(ji)社(she)會對數(shu)據主權(quan)的(de)擔憂。我們理解，草案的(de)第二十(shi)(shi)二條(tiao)、第二十(shi)(shi)三條(tiao)及(ji)第三十(shi)(shi)三條(tiao)，試圖建立起維護國家安(an)全和數(shu)據主權(quan)的(de)保衛機制。

但是，目前(qian)草(cao)案主要針(zhen)對屬于出(chu)(chu)口管(guan)制范圍的(de)(de)數(shu)據和執法(fa)機構跨境調取數(shu)據等(deng)特殊(shu)場(chang)景下(xia)的(de)(de)監管(guan)，尚未涉及對于一般(ban)商業及貿易場(chang)景下(xia)的(de)(de)數(shu)據跨境流(liu)動(dong)提(ti)出(chu)(chu)具體監管(guan)措施(shi)。事(shi)實上(shang)，對于企業跨境數(shu)據傳輸監管(guan)機制的(de)(de)清(qing)晰化，一直為業界所(suo)期待。遺(yi)憾(han)的(de)(de)是，草(cao)案仍(reng)未對這一問題作出(chu)(chu)清(qing)晰回應。

[2] 《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》3.1 網絡安全：通過采取必要的措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

[3] 2019年底，國家圍繞人臉識別技術的標準制定工作已全面啟動。

[4] 《智能網聯汽車數據通用要求》系列標準已于2020年6月申請立項。

[5] 《民法典》第一百二十七條：法律對數據、網絡虛擬財產的保護有規定的，依照其規定。

[6] 參考《信息安全技術 數據交易服務安全要求（征求意見稿》。

[7] 草案第四十三條：數據交易中介機構未履行本法第三十條規定的義務,導致非法來源數據交易的,由有關主管部門責令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得的,處十萬元以上一百萬元以下罰款,并可以由有關主管部門吊銷相關業務許可證或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。