自国务院《促进大数据发展行动纲要》（国发〔2015〕50号）中首次提出“国家大数据战略”以来，国家高度重视数据安全的顶层设计，《“十四五”规划纲要》强调了“发展数字经济、加快培育发展数据要素市场，应把保障数据安全放在突出位置”的重要思想内涵。加强数据安全治理已成为维护国家安全和国家竞争力的战略需要，数据安全问题也逐步纳入法治化轨道，推动着各级数据立法文件的制定与发布，有利于保障数据主体在数据处理活动中的各项权利，明确数据处理者的义务及法律责任。本文基于对数据领域立法文件的综合研究，系统梳理现阶段主要数据保护制度，为企业有效落实数据合规义务提供参考。

一、数据法律渊源

数据领域的立法是以个人信息及非个人信息等数据客体为主要研究对象，以数据收集、存储、使用、加工、传输、提供、公开等数据全生命周期的处理活动为主要研究内容，以数据分级分类保护、数据安全审查、数据风险评估、数据出境监管等制度为主要研究特色，调整数据主体与数据处理者之间法律关系的法律规范。既包括法律、行政法规、部门规章、司法解释及地方立法文件（地方性法规、地方性规章）等正式渊源，也包括数据领域的国际及行业标准、相关司法案例等非正式渊源。

（一）正式渊源

1、全国性立法

（1）法律层面

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网安法》）开始生效施行，是我国第一部全面规范网络空间安全管理的基础性法律，建立了关键信息基础设施安全保护制度、以及关键信息基础设施重要数据跨境传输的规则，《网安法》为数据保护制度体系的建立奠定了基础。2021年1月1日生效的《中华人民共和国民法典》（以下简称《民法典》）设专章规定了“隐私权和个人信息保护”。2021年9月1日，《中华人民共和国数据安全法》（以下简称《数安法》）正式生效，作为我国第一部以数据为保护对象的法律，《数安法》构建了数据分类分级保护、数据风险评估等制度；《中华人民共和国个人信息保护法》（以下简称《个保法》）也于2021年11月1日起开始施行，《个保法》建立了以“告知-同意”为核心的个人信息处理规则，确立了个人信息处理活动应遵循的总体原则。以上四部法律相辅相成，推动我国数据安全治理和个人信息保护进入全新阶段。

刑事立法层面，自2009年2月8日《刑法修正案（七）》增设了“出售、非法提供公民个人信息罪”“非法获取计算机信息系统数据、非法控制计算机信息系统罪”等罪名后，相关司法解释也相继发布，包括：2014年10月10日发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、2017年6月1日发布的《关于办理侵犯公民个人信息刑事案件适用法律若干规定》、2021年7月28日发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。

（2）行政法规、部门规章等

2020年4月27日，国家网信办、工信部、公安部、国家发改委、国家安全部等12个部门联合发布了《网络安全审查办法》，细化落实了关键信息基础设施运营者采购网络产品和服务的安全审查机制；2021年7月10日，国家网信办会同有关部门对其进行了修订，在审查范围中增加了“数据处理者开展数据处理活动”。2021年9月1日，作为《网安法》的另一重要配套法规，国务院发布的《关键信息基础设施安全保护条例》也正式生效。2021年10月29日、11月14日，国家网信办又陆续发布了《数据出境安全评估办法（征求意见稿）》、《网络数据安全管理条例（征求意见稿）》（以下简称《网络数据条例（征）》）两部配套规章，对《数安法》、《个保法》中重点关注的数据安全评估、数据出境监管等制度做出了细化规定。

2、地方性立法

由于不同区域的数字经济及数据产业发展情况存在差异，部分数字化发展步伐较快的地区率先开展地方性数据立法尝试，对所辖区域的数据处理活动进行规范。2019年8月1日，贵州省率先在数据安全方面制定地方性法规，发布了《贵州省大数据安全保障条例》；2019年8月29日，上海市政府发布了《上海市公共数据开放暂行办法》，该办法是国内首部专门针对政府数据开放的地方政府规章，今年9月30日上海市人大常委会办公厅又公布了《上海市数据条例（草案）》，面向社会公开征求意见；2021年6月29日通过的《深圳经济特区数据条例》是国内数据领域第一部综合的地方性立法，首次以地方立法形式提出数据领域的公益诉讼制度，规定对“大数据杀熟”违规行为最高可罚5000万，该条例将于2022年1月1日正式生效。

（二）非正式渊源

数据领域的国家标准、行业标准、地方标准等是最主要的非正式渊源。2013年2月1日正式实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》是我国关于个人信息保护的首个国家标准，明确了个人敏感信息和一般个人信息的区分规制原则。2018年5月1日，《信息安全技术 个人信息安全规范》正式实施，该标准是我国个人信息保护领域最重要、应用最广泛的国家标准；2019年，全国信息安全标准化技术委员会对《个人信息安全规范》进行了修订，修订版本于2020年3月6日正式发布实施，具体规定了个人信息的定义及范围、收集、保存、使用、委托处理、共享、转让、公开披露、安全事件处置以及组织管理要求等事项。

此外，《信息安全技术 大数据安全管理指南》、《信息安全技术 个人信息去标识化指南》、《个人信息告知同意指南(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》等配套国家标准也相继生效或发布，为企业数据合规提供了更加详细和具体的指引。

二、数据保护制度

通过对《网络安全法》《数据安全法》《个人信息保护法》的研究梳理，现阶段法律层面主要规定了四项数据保护制度，内容涵盖“数据分级分类、数据风险评估、数据安全审查以及数据出境监管”。

（一）数据分级分类制度

在《数安法》《个保法》颁布之前，《网安法》已明确提出网络运营者应按照网络安全等级保护制度的相关要求，采取数据分类、重要数据备份和加密等措施，履行信息保护义务，确保网络数据安全。《数安法》首次从法律层面完整地提出“数据分级分类保护制度”，该法第二十一条规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。《个保法》也提出了“个人信息分类管理”的相关规定，要求个人信息处理者应根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，对个人信息实行分类管理。

法律规定对不同级别的数据应采取不同的保护措施，对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

但对于具体应按照什么标准或方法对数据进行分级、分类，法律层面暂未作规定。国家网信办近日发布的《网络数据条例（征）》指明了数据“分级”的基本原则，即按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据；具体需由各地区、各部门按照国家有关要求和标准，组织制定出相应区域、领域重要数据和核心数据目录，上报国家网信部门。

（二）数据风险评估制度

根据法律规定，重要数据处理者及个人信息处理者均有按规定开展风险评估的义务。具体而言，《数安法》提出了对重要数据处理活动的风险评估规定，该法第三十条规定：“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等”。《个保法》则相应规定了个人信息处理活动的风险评估要求，并且列明了个人信息保护影响评估的主要事由：包括处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息，向境外提供个人信息等；同时还列举了个人信息保护影响评估的主要评估内容，如：个人信息的处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有效并与风险程度相适应等。

《数安法》《个保法》仅对风险评估的事由、内容作了列举，但对于评估频次的规定尚不明晰，一方面《数安法》要求重要数据处理者“定期”开展风险评估，另一方面《个保法》规定个人信息处理者在“处理敏感个人信息、委托处理、向境外提供个人信息”等法定事由出现时须开展影响评估。据此可以推断，数据风险评估包括“定期评估”和“非定期的单项评估”，两者都属于“企业自评估”的范畴（自行评估或委托数据安全服务机构），定期评估是符合特定条件的数据处理者在每个法定周期内需开展的常态化风险评估工作，单项评估则因法定事由触发数据安全评估机制。《网络数据条例（征）》也综合考虑了这两类评估机制，该条例第三十二条对此作了相应的细化规定（如下表）。

图1：数据风险评估相关规定（参照《网络数据安全管理条例（征求意见稿）》）

值得注意的是，《网络数据条例（征）》还单独规定了“利用生物特征进行个人身份认证”这一评估事由，该条例第二十五条规定：“数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息”。虽然同样属于“非定期的单项评估”范畴，但对于因该项事由触发风险评估时的具体评估内容是否与上表中“单项评估”所规定的一致，尚待立法部门进一步明确。

（三）数据安全审查制度

“数据安全审查制度”首度于《数安法》中提出，此前涉及数据领域的安全审查制度主要以“网络安全审查”为主。《网安法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。《网络安全审查办法》对审查主体、审查原因、主要审查项、网络产品和服务的范围作了详细规定（如下图）。

图2：网络安全审查相关规定（参照《网络安全审查办法（修订草案征求意见稿）》）

《网安法》中规定的安全审查主体均仅限于“关键信息基础设施运营者”，而《数安法》规定的安全审查对象则更为广泛，该法第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。国家网信办于2021年7月10日公布的《网络安全审查办法（修订草案征求意见稿）》有关“适用范围”的规定中，也在“关键信息基础设施运营者采购网络产品和服务”的基础上，增加规定了“数据处理者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查”。对于具体哪些数据处理行为属于“影响或可能影响国家安全的”，《网络数据条例（征）》进行了部分列举，该条例第十三条规定：“数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

处理一百万人以上个人信息的数据处理者赴国外上市的；

数据处理者赴香港上市，影响或者可能影响国家安全的...”

（四）数据出境监管制度

数据出境是指数据处理者将其在中国境内运营中收集或产生的数据，通过开展业务、提供服务或产品、委托处理等方式提供给境外的自然人或组织的活动。需要注意的是，数据出境的形式不限于数据境外存储，还包括境外访问、浏览等（在互联网上已公开的数据除外）。根据《网络数据条例（征）》第三十五条的规定，数据处理者因业务等需要确需向境外提供数据的，应当根据法律、行政法规或者国家网信部门规定，满足下列条件之一：“（1）数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证；（2）按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同，约定双方权利和义务；（3）通过国家网信部门组织的数据出境安全评估”。对于“数据出境安全评估制度”，在《网安法》《数安法》《个保法》均进行了规定，下文将作重点讨论。

《网安法》最早从法律层面对数据出境安全评估作出规定：“关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。《数安法》《个保法》分别对重要数据、个人信息的出境监管要求作了进一步重申，即法律明确禁止关键信息基础设施运营者未经批准向境外提供境内重要数据和个人信息；除了关键信息基础设施运营者以外，《个保法》还规定“处理个人信息达到国家网信部门规定数量的个人信息处理者”也同样适用于数据出境安全评估规定。2021年10月29日国家网信办发布的《数据出境安全评估办法（征求意见稿）》对《个保法》第四十条所规定的“达到国家网信部门规定数量”的具体数量级别进行了明确，提出“达到规定数量”应从两个不同维度的标准进行衡量：一是处理个人信息达到一百万人的个人信息处理者，二是累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。综合以上数据法案，出境安全评估的适用主体总结如下：

图3：出境安全评估的适用主体

根据《数据出境安全评估办法（征求意见稿）》的规定，所有数据处理者均应当在数据出境前进行风险自评估，即数据处理者在向境外提供数据前，无论是关键信息基础设施运营者或其他数据处理者，所处理的数据类型无论个人信息、非个人信息、重要数据或普通数据，均应事先开展数据出境风险自评估工作。对于上图中的特定主体，除开展风险自评估外，还需向国家网信部门申报数据出境安全评估；且数据出境评估结果的有效期为两年，两年届满，数据处理者如需继续开展原数据出境活动，应当在有效期届满60日前重新申报评估。数据出境安全评估的流程如下：

图4：数据出境安全评估流程

《数据出境安全评估办法（征求意见稿）》还进一步规定，向境外提供个人信息和重要数据的数据处理者，应当每年定期向设区的市级网信部门报告上一年度数据出境情况，在每年1月31日前编制《数据出境安全报告》，报告的主要内容如下：

图5：《数据出境安全报告》的主要内容

三、法律责任

随着《数安法》《个保法》的陆续颁布实施，我国数据领域的基础立法已基本确立，初步构建了民事、行政和刑事责任相结合的立体保护框架。《数安法》第五十二条规定：“违反本法规定，给他人造成损害的，依法承担民事责任；违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任”。

（一）行政处罚

《数安法》《个保法》对数据违法行为规定了多项行政处罚条款，对不履行规定保护义务、交易来源不明的数据、拒不配合国家机关进行数据调取、违反国家核心数据管理制度及数据出境管理要求等行为，均设定了严格的罚则：对单位最高可罚5000万元，并可以视违法程度责令违规企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对个人最高可罚1000万元，并可以对其采取“职业禁入”限制，对构成违反治安管理行为的给予治安管理处罚，相关违法行将记入信用档案并予以公示。

《数安法》第四十五条明确规定，在开展数据处理活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的，由有关主管部门责令改正，对违规单位给予警告，可以并处5～50万元的罚款，对直接负责的主管人员可以处1～10万元的罚款；拒不改正或者造成大量数据泄漏等严重后果的，处50～200万元的罚款，并可以责令业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处5～20万元的罚款。违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处200～1000万元的罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

《个保法》第六十六条规定了违规处理个人信息的法律责任，对于违法处理个人信息，或者处理个人信息未履行法律规定个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处100万元以下罚款，对直接负责的主管人员和其他直接责任人员处1～10万元的罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处10～100万元的罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

（二）民事纠纷

数据处理行为损害他人合法权益的，应依法承担民事责任，相关主体可依法提起民事诉讼。实践中主要包括个人侵权之诉、企业间的商事纠纷以及公益诉讼。

1、个人侵权之诉

早在《个保法》出台之前，2013年修订的《消费者权益保护法》对于个人的民事救济权利就作出了相关规定，该法首次明确了消费者享有的个人信息受保护的权利，且规定了侵害消费者个人信息合法权益的，应停止侵害、恢复名誉、消除影响、赔礼道歉并赔偿损失。《民法典》专章规定了个人隐私权和个人信息保护，从民事基本法层面进一步明确了个人信息保护的民事救济权利。

2、企业间的商事纠纷

企业间关于数据领域的诉讼，主要体现为不正当竞争、合同、侵权等纠纷。例如，2019年腾讯向天津滨海市新区人民法院提起诉讼，诉称抖音旗下的视频社交APP多闪（以下简称“多闪APP”）超范围使用腾讯数据，构成不正当竞争，侵犯了用户合法权益，据此向法院申请了行为禁令；法院最终裁定抖音立即停止将微信/QQ开放平台授权登录服务提供给多闪APP使用的行为。

3、公益诉讼

《个保法》第七十条明确了数据领域的公益诉讼制度，该条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”。实际上此前已有关于个人信息的公益诉讼案例，2017年12月11日，江苏省消费者权益保护委员会就曾依据《消费者权益保护法》第37条的规定，对百度公司涉嫌违规获取消费者个人信息行为，提起过消费民事公益诉讼。

（三）刑事犯罪

涉及数据领域的刑事犯罪主要体现在《刑法》规定的侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法获取计算机信息系统数据罪、帮助信息网络犯罪活动罪、非法侵入计算机信息系统罪等罪名。近几年，侵犯公民个人信息类犯罪处于高发态势。例如：2019年7月15日中国裁判文书网披露的《林某金非法获取计算机信息系统数据、非法控制计算机信息系统二审刑事判决书》显示，林某金是国泰君安证券经纪人，其侵入证券公司等机构的计算机系统非法获取公民个人信息共计400余万条。对此，福建省福州市中级人民法院终审判决林某金犯非法侵入计算机系统罪，判处有期徒刑七个月；犯侵犯公民个人信息罪，判处有期徒刑五年，并处罚金人民币二万元。数罪并罚，决定执行有期徒刑五年二个月，并处罚金人民币二万元。

结语

在《数据安全法》《个人信息保护法》等法律陆续生效、《数据出境安全评估办法（征求意见稿）》《网络数据安全管理条例（征求意见稿）》等配套规章相继发布之际，无论是互联网企业还是传统企业，均应充分认识到数据合规对于企业的重要性，企业相关负责人亦需增强对数据安全及个人信息保护方面的法律意识，深刻理解数据分级分类、风险评估、安全审查、出境监管等各项数据保护制度，方能有效履行法律法规中要求的各项数据处理者义务，避免因数据违规带来的法律责任或商业利益损失。