《数据安全法（草案）》发布后在网络上掀起了一波议论。数据安全，一直是企业（特别是外企）最为关注的话题，那么此次《数据安全法（草案）》重点关注的内容有哪些，对于企业的合规与法务同事来说，需要做哪些准备与应对？

安拓紧跟热点话题，及时为各企业法务排忧解难，特邀请到了金杜律师事务所宁宣凤律师，立足于立法者在数据安全法下的立法思路，对该草案进行了专业及独家的解读。通过这些提前的解读和动态的学习，来指导企业的日常合规。

《数据安全法》重点制度内容，包括分级分类制度、重要数据保护制度、安全风险评估预警、数据审查和出境、数据安全保护义务、政务数据安全与开放。本文挑选其中大家最为关注的部分内容即：重要数据保护制度和数据审查和出境，进行系统的梳理，供大家在实务中进行参考。

重要数据保护制度

《数据安全法》在第十九条下，提出了重要数据这样的一个概念，就是说各地区、各部门应该按照国家有关规定，制定本地区、本部门、本行业的重要数据保护目录，对列入目录的数据进行重点保护。

现在从具体重要的数据目录来讲，它也是带入了各地区、各部门这样子的概念，而且各地区、各部门要确定的重要目录，还包括是本地区、本部门、本行业，所以各地区、各部门，其实还包括了各行业主管部门。

我们理解，带入这种重要数据的保护目录，要做这种制定，所以等于是不能多头，而且他们的维度是不一样的，既有地区的概念，也有部门的概念，也有行业的概念，将来如何协调和保证他们不冲突，不彼此违反，这其实是很难的，特别是对于一个企业，尤其是那种集团性企业，跨行业的、跨地区的，甚至有的是省级企业或者央企，也有地方级的企业，这个可能就会导致有多重标准。

同时我们还注意到，《数据安全法》的草案以重要数据为锚点，提出了若干的延伸的管理要求：包括重要数据的处理者，应当设立数据安全负责人和管理机构。

《数据安全法》第二十八条下的重要数据相关活动，要定期开展重要数据的种类、数量、收集、存储、加工使用情况，面临的数据安全风险以及应对措施在内的风险评估，并且向有关主管部门发送风评报告。这是对于制度和它需要做的这些义务做了规定，这都是在第三章数据安全项下的内容。

第二章是涉及到数据安全与发展这类全民性的章节。《数据安全法》第二章下，第二十二条和第二十三条分别提到，如果重要数据的处理活动，影响或可能影响国家安全的，应当接受国家安全审查。这里当然我们说这个影响和可能影响的，其实也是指代不是特别清楚，这个谁来做解释，谁最大，谁最小，如果按这样的内容发布的话，将来可能需要进一步的澄清，需要进一步的配套解释，或者是立法解释，或者是司法解释。

同时，我们还注意到《数据安全法》第二十三条下的一个重要内容，也就是说与履行国际义务和维护国家安全相关的，属于管制物项的重要数据的，也应当依法实施出口管制，这个我们理解和国家出口管制或者出口管制法，将来要出台的可能是留有接口。但是，第二十三条下，如何去解读这个数据成为了管制物项，可能将来还会是一个很大的问题。大家需要特别注意，以后的这种出口管制，它不仅是货物贸易下这种更容易监管的，可能是服务贸易，甚至包括数据，如果它的形成物，无论它是以什么样的载体，纸质的、软盘的、硬盘的，或者云上的，如果成为了这种管制物项的话，作为一个重要数据，它可能出口管制的相关规定和制度也不适用，我们都要注意。

重要数据保护制度需要以重要数据的识别为前提

重要数据保护制度需要以重要数据的识别为前提，否则的话我保护谁？在《网络安全法》第三十七条，它把重要数据和关键信息基础设施的运营者连在一起了。《数据安全管理办法征求意见稿》是网信办的，是以产生的危害为一个标准，同时也给了一定的列举，比如未公开的政府信息，大面积人口基因健康、地理矿产资源等，然后也做了一定的排除，不包括内部的生产经营管理和个人信息。大家一定要知道，这里的个人信息指内部的，因为它前面是有前提的，不是说个人信息不是，是说内部生产管理的个人信息，这里还是相对比较明确。

在数据安全出境评估指南征求意见稿中，也列了27个行业，以及相关的重要数据识别指南，这里涉及到更多的产业。但是，在《数据安全法》下，第十九条讲的是根据重要程度，一旦篡改、破坏、泄露、非法获取取得对于国家安全、公共利益、公民组织合法权益造成危害程度进行分级分类，然后各部门、各地区制定，所以也是没有一个定义的环节。

因此，我们也不确定将来在《数据安全法》下，如何进行重要数据的识别。所以，我们在这里提出了这个问题。在表中列出的27个是在个人信息和重要数据出境指南下，目前还是草稿。

我们也需要考虑，包括是不是公开获得的数据，也会属于重要数据？这些都是我们作为一个问题提出来，就是说如何去定义。然后还提出很多的问题，比如说将重要数据保护目录的制定权限下放到地方与部门，将产生何种影响？因为刚才我讲到了，这个多头的。

然后是不是要考虑更为灵活的重要数据的目录，因为要设计调整周期，我们提到了动态、静态的这种数据，以及动态频繁的数据，然后它导致有些重要了，有些不重要了，有些不重要的变成重要了，这种调整、范围，然后各个部门、地方和行业的具体实践，怎么样去做跟踪，去做协调，如何保障合理范围内相对统一的，重要数据的统一的标准，比如那种大型的集团企业多部门的数据，怎么样保证它的标准是统一的？这是关于重要数据的问题。

数据审查和数据出境

我们可以看到，第二十二条和第二十三条下面说到国家要建立数据安全审查制度，对于影响和可能影响国家安全的数据活动进行国家安全审查，依法作出的安全审查决定为最终决定。

大家可以看到，它要建立一个制度进行安全审查，数据安全审查，但是没有区分境内、境外，也就是说境内的数据活动，如果对于这种界限或者是定义比较模糊的，所说的影响或者可能影响国家安全的，有这样影响的话，就要进行国家安全审查。所以它的主体是国家，具体的哪个部门，我们不知道，然后它的衡量标准是影响或者可能影响国家安全，而且它对数据活动也没有做限定。

因为我们知道在定义的时候，数据活动是指数据的收集、存储、加工、使用、提供交易、公开，所以它没有做任何的限缩，所以第二十二条非常的宽泛，数据安全审查制度，而且它的决定审查决定是final的，虽然这一条这么短，但是大家要高度重视。而且，它对于履行国际义务维护国家安全相关的，比如我们提到的管制物项，进行出口管制。所以，确实是有很多的问题，首先数据安全审查是国家安全审查的一部分，是这个制度的一部分，我们一定要提到这个高度。然后如何去理解一些相关的标准，而且它底下是有没有具体的审查机构程序，以及它既然是最终性的，有没有什么救济措施，都是我们合理提出来的一些问题。既然做了问题，将来如果一旦按现有的这个wording颁布实施的话，对企业的影响确实会是蛮大的。

还有数据安全审查制度下的包括境外调取信息的问题，第三十三条是境外执法机构要求调取存储于中华人民共和国境内数据的，有关组织、个人。首先，应当报告。第二，获得批准，方可提供。当然有国际条约或协定的从其规定。

我们可以看到，从数据的调取和跨境传输的角度，对境外执法机构的行为进行规范，反映了对于主权以及数据安全的维护，就数据主权和数据安全的这种维护，因为组织和个人应对境外执法机构数据调取诉求的时候，对这种调取诉求提供了明确的指引，对于应对数据领域的长臂管辖可能具有一定的积极作用。之所以这么说，是因为现在做了几个案子，涉及到境外的执法机构，对于国内的企业在当地的诉讼过程中进行数据调取。我们可以看到，大多数的时候，中国的主体是不愿意提供这种数据的，所以《数据安全法》草案下的第三十三条，实际上提供了一定的屏障。

在这之前，无论是国际刑事司法协助法的第四条，还是证券法下的第一百七十七条，都有了这样子的相关的规定，比如在刑事司法协助法下第四条非经中华人民共和国主管机构同意，外国机构组织、个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动，境内的机构组织、个人不得向外国提供证据资料和本法规定的协助，证券法上也有类似的规定，所以这种基本上是一脉相承的，相对比较严格的管控这种境外执法机构的直接调取。

当然，我们同时也碰到一些情况，其实是我们境内的机构对境外的实体主动发起的诉讼，我们希望大量的提供数据做配合，做调查的这种配合，那么现有的这些规定又使得我们在想配合的时候，因为我们是原告，想提供大量数据尽快的推进诉讼程序往前走，但是有一些这样类似的规定，又对我们的数据的主动提供，造成了一个双刃剑效果下的阻碍。

所以，我们就可以看到，看似很原则的问题，有的时候很遥远，但是在具体诉讼的时候，就变得非常近，或者因为是我们想利用境外的这种争议解决的机制解决问题，相对的法律成了一种阻碍，或者是我们不愿意提供，它提供了一种保证，是很有意思的一个问题。