《数据安全法》要点解读汇编（5篇） 目录 1.《数据安全法》要点解读 2 2.《数据安全法》要点解读 10 3.《数据安全法》要点解读 15 4.《数据安全法》要点解读 25 5.《数据安全法》要点解读 27 《数据安全法》要点解读 2021年6月10日，第十三届全国人民代表大会常务委员 会第二十九次会议通过《数据安全法》三审稿，该法将于 2021年9月1日起正式施行。《数据安全法》全文共七章五 十五条，分别从数据安全与发展、数据安全制度、数据安 全保护义务、政务数据安全与开放的角度对数据安全保护 的义务和相应法律责任进行规定。本文将对《数据安全法 》的立法沿革和重点条款进行解读，以期帮助市场参与者 在新法生效前及时做好数据安全建设，降低合规风险。 一、《数据安全法》的立法沿革 2020年6月28日，第十三届全国人大常委会第二十次会 议对《数据安全法（草案）》进行了初次审议。2021年4月 29日，中国人大网公布了《数据安全法（草案）》的二审 稿。二审稿的主要亮点在于将数据分类分级制度作为数据 安全的基本核心制度，强化了等保的基础作用，提出明确 数据安全负责人和管理机构的要求，明确关键信息基础设 施的运营者在重要数据的出境方面的义务和责任，调整数 据处理服务的资质要求，加强向涉外司法机构提供数据的 监管，大幅加重不履行数据安全保护义务的法律责任及拒 不配合数据调取的法律责任等。 在近日通过的最终三审稿中，与二审稿相比，主要的 亮点和变化体现在明确国家机关在数据安全管理的职责和 配合机制，强调对重要数据重点保护，强调智能化公共服 务对老年人等的适用性，完善政务数据安全保障，并进一 步加大对违法行为的处罚力度。 二、《数据安全法》重点条款解读 第一章第五条　中央国家安全领导机构负责国家数据 安全工作的决策和议事协调，研究制定、指导实施国家数 据安全战略和有关重大方针政策，统筹协调国家数据安全 的重大事项和重要工作，建立国家数据安全工作协调机制 。 第一章第六条　各地区、各部门对本地区、本部门工 作中收集和产生的数据及数据安全负责。工业、电信、交 通、金融、自然资源、卫生健康、教育、科技等主管部门 承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行 政法规的规定，在各自职责范围内承担数据安全监管职责 。 国家网信部门依照本法和有关法律、行政法规的规定 ，负责统筹协调网络数据安全和相关监管工作。 《数据安全法》作为数据安全领域最高位阶的专门法 ，与2017年6月1日起施行的《网络安全法》一起补充了《 国家安全法》框架下的安全治理法律体系，更全面地保障 了国家安全在各行业、各领域保障的有法可依。 就监管机构而言，国家安全机构、公安机关、网信部 门、以及工业、电信、交通、金融等主管部门均有权在各 自的职权范围内对数据安全进行监督和管理。因此，《数 据安全法》延续了《网络安全法》生效以来的“一轴两翼多 级”的监管体系。“一轴”指国家安全机关，两翼指公安机关 和网信部门，多级在行业横向范围主要体现在工业、电信 、交通、金融等行业主管部门的共同参与，在行政架构方 面主要体现在各地区、各部门对工作中收集和产生的数据 进行安全管理上。 第一章第十条　相关行业组织按照章程，依法制定数 据安全行为规范和团体标准，加强行业自律，指导会员加 强数据安全保护，提高数据安全保护水平，促进行业健康 发展。 第二章第十六条国家促进数据安全检测评估、认证等 服务的发展，支持数据安全检测评估、认证等专业机构依 法开展服务活动。 第二章第十七条　国家推进数据开发利用技术和数据 安全标准体系建设。国务院标准化行政主管部门和国务院 有关部门根据各自的职责，组织制定并适时修订有关数据 开发利用技术、产品和数据安全相关标准。国家支持企业 、社会团体和教育、科研机构等参与标准制定。 在数据安全技术发展日新月异的背景下，立法的要求 无法完全与科技发展保持同步，行业协会、评估认证专业 机构和标准化机构等组织在推动技术发展、完善合规建设 和实现行业自律方面的作用得到了法律的充分认可。 为了能够及时与行业的最新发展同步、参与引领行业 发展的方向，建议市场参与者积极加入有关行业协会或组 织，踊跃参与行业标准的讨论，积极分享企业在安全合规 建设中探索出的实践经验，并以行业最佳实践为基线实时 推进企业内部的合规建设。行业协会也可作为传达行业普 遍面临的难题和最新技术进展的重要媒介，积极与监管形 成有益、互信的良好互动。 在评估、认证方面，专业机构可基于对行业的深度认 知、在咨询过程中积累的丰富行业经验，帮助行业的新进 者识别合规义务和锚定风险隐患，有针对性地提出合规改 进方案和措施，帮助相关企业降低合规风险。 第二章第十五条　国家支持开发利用数据提升公共服 务的智能化水平。提供智能化公共服务，应当充分考虑老 年人、残疾人的需求，避免对老年人、残疾人的日常生活 造成障碍。 疫情期间基于大数据的公共服务应用得到迅速的推广 ，与个人生活的参与深度也得到前所未有的提升。但高龄 、视障等群体由于不会使用智能手机进行付款、预约等操 作而举步维艰。在防疫智能应用迅速根据疫情需要进行适 老化调整后，大量其他与生活息息相关的应用仍可能将部 分人群排除在智能化、数字化的生活之外。《数据安全法 》将智能化公共服务满足老年人、残疾人的需求列入国家 重点支持的范围之内，充分体现了国家对弱势群体需求的 关注。 第三章第二十一条　国家建立数据分类分级保护制度 ，根据数据在经济社会发展中的重要程度，以及一旦遭到 篡改、破坏、泄露或者非法获取、非法利用，对国家安全 、公共利益或者个人、组织合法权益造成的危害程度，对 数据实行分类分级保护。国家数据安全工作协调机制统筹 协调有关部门制定重要数据目录，加强对重要数据的保护 。 关系国家安全、国民经济命脉、重要民生、重大公共 利益等数据属于国家核心数据，实行更加严格的管理制度 。 各地区、各部门应当按照数据分类分级保护制度，确 定本地区、本部门以及相关行业、领域的重要数据具体目 录，对列入目录的数据进行重点保护。 《网络安全法》第21条首次提出了数据分类分级保护 制度，《数据安全法》进一步明确了相关部门在分类分级 保护和重要数据保护中的职能。《数据安全法》原则性规 定了数据分类分级的依据为在经济社会发展中的重要程度 和遭到篡改、泄露等情形时的危害程度。由于不同行业、 不同地区数据分类分级的具体规则和考虑因素差异巨大 ，《数据安全法》将重要数据具体目录和具体分类分级保 护制度的制定权限下放到行业主管部门和各地区国家机关 ，充分平衡了法律规定的普适性和灵活性。对于市场参与 者而言，我们建议首先关注《工业数据分级分类指南（试 行）》、《基础电信企业数据分类分级方法》（YD/T3813- 2020）、《个人金融信息保护技术规范》（JR/T0171- 2020）等行业数据分级分类的国家标准，另外也需要密切 关注地方行业主管部门发布的数据分类分级目录等要求。 第三章第二十二条　国家建立集中统一、高效权威的 数据安全风险评估、报告、信息共享、监测预警机制。国 家数据安全工作协调机制统筹协调有关部门加强数据安全 风险信息的获取、分析、研判、预警工作。 第三章第二十三条　国家建立数据安全应急处置机制 。发生数据安全事件，有关主管部门应当依法启动应急预 案，采取相应的应急处置措施，防止危害扩大，消除安全 隐患，并及时向社会发布与公众有关的警示信息。 第三章第二十四条　国家建立数据安全审查制度，对 影响或者可能影响国家安全的数据处理活动进行国家安全 审查。依法作出的安全审查决定为最终决定。 《数据安全法》提出建立数据安全风险评估、安全事 件报告制度、监测预警机制、应急处置机制和安全审查等 制度，有望在后期逐步推出具体机制体制的主管机构、适 用范围、评估审查模式等配套制度。值得注意的是，国家 依法作出的数据安全审查决定为最终决定，这意味着相关 具体行政行为将无法通过行政复议、行政诉讼等形式进行 救济。 第三章第二十五条　国家对与维护国家安全和利益、 履行国际义务相关的属于管制物项的数据依法实施出口管 制。 第三章第二十六条　任何国家或者地区在与数据和数 据开发利用技术等有关的投资、贸易等方面对采取歧视性 的禁止、限制或者其他类似措施的，可以根据实际情况对 该国家或者地区对等采取措施。 在国际竞争逐步蔓延到数据、网络领域后，各国之间 的摩擦频发。例如2020年8月，美国以保护国家安全为由 ，要求字节跳动出售TikTok应用程序及业务。美国对 TikTok的封杀反映了《外国投资审查现代化法》对涉及美 国公民敏感信息和来自于特殊国家投资项目严加审查的立 法和执法态度。我国《数据安全法》一方面明确维护国家 安全和利益、履行国际义务可作为禁止相关数据出口的合 法依据，另一方面明确了对外国在数据领域的投资、贸易 歧视可采取对等反制措施的立法主张，充分体现了我国在 网络数据空间主张数据主权的立法思想。 第四章第二十七条开展数据处理活动应当依照法律、 法规的规定，建立健全全流程数据安全管理制度，组织开 展数据安全教育培训，采取相应的技术措施和其他必要措 施，保障数据安全。利用互联网等信息网络开展数据处理 活动，应当在网络安全等级保护制度的基础上，履行上述 数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机 构，落实数据安全保护责任。 第四章第二十九条　开展数据处理活动应当加强风险 监测，发现数据安全缺陷、漏洞等风险时，应当立即采取 补救措施；发生数据安全事件时，应当立即采取处置措施 ，按照规定及时告知用户并向有关主管部门报告。 第四章第三十条　重要数据的处理者应当按照规定对 其数据处理活动定期开展风险评估，并向有关主管部门报 送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量 ，开展数据处理活动的情况，面临的数据安全风险及其应 对措施等。 第四章第三十一条　关键信息基础设施的运营者在境 内运营中收集和产生的重要数据的出境安全管理，适用《 网络安全法》的规定；其他数据处理者在境内运营中收集 和产生的重要数据的出境安全管理办法，由国家网信部门 会同国务院有关部门制定。 《数据安全法》明确了开展数据处理活动的市场参与 者应当建立完善的数据安全管理制度、进行安全教育培训 、风险监测和报告，采用技术手段落实内部制度的规定。 因此，数据安全合规制度的建设已成为企业应当履行的法 律义务。《数据安全法》延续《网络安全法》的规定，对 重要数据提出更高的数据保护要求，具体的法律义务包括 明确数据安全负责人和管理机构、开展风险评估并报送报 告、符合数据出境安全管理要求等。就风险评估本身而言 ，关于评估的具体主体、报告报送的对象、评估的频率有 待后续立法进一步明确。 《数据安全法》也在法律责任的部分明确了不履行第 二十七、二十九、三十条规定的数据安全保护义务、尚未 造成数据泄露等后果的，主管部门也可以采取责令改正、 警告、罚款等行政处罚措施。在相关制度不健全，且拒不 改正或造成大量数据泄露等严重后果的，主管部门则可以 责令暂停相关业务、停业整顿、吊销许可证或营业执照和 处以罚款。 第四章第三十三条　从事数据交易中介服务的机构提 供服务，应当要求数据提供方说明数据来源，审核交易双 方的身份，并留存审核、交易记录。 第五章第三十四条　法律、行政法规规定提供数据处 理相关服务应当取得行政许可的，服务提供者应当依法取 得许可。 《数据安全法》特别对从事数据交易中介服务的市场 参与者提出额外的安全保护要求。就数据交易中介服务本 身而言，《数据安全法》尚未给出明确的范围，相关市场 参与者可参考《数据交易服务安全要求》中“帮助数据需方 和供方完成数据交易的活动”对自身的业务属性进行定位。 就中介机构需要进行审核的内容而言，《数据安全法 》要求中介机构审核交易双方的身份，关于审核的具体内 容、进行形式审核或实质审核、供需方的合规风险是否传 导到中介机构等内容还有待立法和司法的进一步明确。 就数据处理的行政许可而言，《数据安全法》为后续 数据交易的准入预留了口子。结合近期的立法和监管动向 ，例如《征信业务管理办法（征求意见稿）》和人行批准 个人征信业务许可，后续可能会在多行业、多领域对市场 的准入等环节加强监管。 第五章第三十八条　国家机关为履行法定职责的需要 收集、使用数据，应当在其履行法定职责的范围内依照法 律、行政法规规定的条件和程序进行；对在履行职责中知 悉的个人隐私、个人信息、商业秘密、保密商务信息等数 据应当依法予以保密，不得泄露或者非法向他人提供。 第五章第三十九条　国家机关应当依照法律、行政法 规的规定，建立健全数据安全管理制度，落实数据安全保 护责任，保障政务数据安全。 第五章第四十条　国家机关委托他人建设、维护电子 政务系统，存储、加工政务数据，应当经过严格的批准程 序，并应当监督受托方履行相应的数据安全保护义务。受 托方应当依照法律、法规的规定和合同约定履行数据安全 保护义务，不得擅自留存、使用、泄露或者向他人提供政 务数据。 政务数据已成为促进政府科学决策、提高公共管理效 能的重要资源，疫情催生的大量公共服务数据采集、分析 工具也进一步提升了政务数据的体量和质量。《数据安全 法》敏锐洞察到政府履职过程中收集、使用数据的安全合 规、数据保密、数据共享和委托第三方设计、运维电子政 务系统带来的安全问题，并要求相关国家机关制定完善的 数据安全管理制度、严格的批准程序以应对实践中存在的 数据泄露等安全风险。 第六章第四十一条　国家机关应当遵循公正、公平、 便民的原则，按照规定及时、准确地公开政务数据。依法 不予公开的除外。 第六章第四十二条　国家制定政务数据开放目录，构 建统一规范、互联互通、安全可控的政务数据开放平台 ，推动政务数据开放利用。 在数据安全保障的大前提下，《数据安全法》明确了 政务数据以公开为原则、不公开为例外的基本理念。在政 务数据的互联互通方面，基于实践中普遍存在的政务数据 “不愿开放、不敢开放、不会开放”孤岛，《数据安全法》要 求在国家层面建立政务数据开放平台，并通过政务数据开 放目录的形式应对政务数据领域数据资源碎片化、政务发 展不均衡、政务协同缺乏互信基础等现实问题。 《数据安全法》要点解读 一、关于制定本法的必要性 随着信息技术和人类生产生活交汇融合，各类数据迅 猛增长、海量聚集，对经济发展、社会治理、人民生活都 产生了重大而深刻的影响。数据安全已成为事关国家安全 与经济社会发展的重大问题。党中央对此高度重视，xjp总 书记多次作出重要指示批示，提出加快法规制度建设、切 实保障国家数据安全等明确要求。党的十九大报告提出 ，推动互联网、大数据、人工智能和实体经济深度融合。 党的十九届四中全会决定明确将数据作为新的生产要素。 按照党中央部署和贯彻落实总体国家安全观的要求，制定 一部数据安全领域的基础性法律十分必要：一是，数据是 国家基础性战略资源，没有数据安全就没有国家安全。因 此，应当按照总体国家安全观的要求，通过立法加强数据 安全保护，提升国家数据安全保障能力，有效应对数据这 一非传统领域的国家安全风险与挑战，切实维护国家主权 、安全和发展利益。二是，当前，各类数据的拥有主体多 样，处理活动复杂，安全风险加大，必须通过立法建立健 全各项制度措施，切实加强数据安全保护，维护公民、组 织的合法权益。三是，发挥数据的基础资源作用和创新引 擎作用，加快形成以创新为主要引领和支撑的数字经济 ，更好服务我国经济社会发展，必须通过立法规范数据活 动，完善数据安全治理体系，以安全保发展、以发展促安 全。四是，为适应电子政务发展的需要，提升政府决策、 管理、服务的科学性和效率，应当通过立法明确政务数据 安全管理制度和开放利用规则，大力推进政务数据资源开 放和开发利用。 二、关于起草工作和把握的几点 按照党中央部署，制定数据安全法列入了十三届全国 人大常委会立法规划和年度立法工作计划。2018年10月 ，全国人大常委会法工委会同有关方面成立工作专班，抓 紧草案研究起草工作。在起草过程中，多次召开座谈会 ，认真听取有关部门、企业和专家学者的意见；整理国内 外有关立法资料，开展专题研究；并到有关地方和部门调 研，深入了解数据安全领域存在的突出问题，听取立法意 见建议。形成数据安全法草案稿后，又征求了中央有关部 门和部分企业、专家的意见，经反复修改完善后，形成了 《数据安全法（草案）》。 起草工作注意把握以下几点：一是，把握正确政治方 向，贯彻落实总体国家安全观，坚持党对数据安全工作的 领导。二是，立足数据安全工作实际，着力解决数据安全 领域突出问题，同时坚持包容审慎原则，鼓励和促进数据 依法合理有效利用。三是，数据安全法作为数据领域的基 础性法律，重点是确立数据安全保护管理各项基本制度 ，并与网络安全法、正在制定的个人信息保护法等做好衔 接。 需要说明的是，按照全国人大常委会立法规划和年度 立法工作计划的安排，全国人大常委会法工委会同中央网 信办正在抓紧个人信息保护法草案起草工作，争取尽早提 请全国人大常委会审议。 三、关于草案的主要内容 草案共七章五十一条，主要内容包括： （一）关于本法的适用范围 草案明确在我国境内开展的数据活动适用本法，其中 数据是任何以电子或者非电子形式对信息的记录，数据活 动是指数据的收集、存储、加工、使用、提供、交易、公 开等行为。同时，草案赋予本法必要的域外适用效力，规 定：境外的组织、个人开展数据活动，损害国家安全、公 共利益或者公民、组织合法权益的，依法追究法律责任。 （二）关于支持、促进数据安全与发展的措施 草案坚持安全与发展并重，设专章对支持促进数据安 全与发展的措施作了规定，保护个人、组织与数据有关的 权益，提升数据安全治理和数据开发利用水平，促进以数 据为关键要素的数字经济发展。包括：实施大数据战略 ，制定数字经济发展规划；支持数据相关技术研发和商业 创新；推进数据相关标准体系建设，促进数据安全检测评 估、认证等服务的发展；培育数据交易市场；支持采取多 种方式培养专业人才等。 （三）关于数据安全制度 为有效应对境内外数据安全风险，有必要建立健全国 家数据安全管理制度，完善国家数据安全治理体系。对此 ，草案主要作了以下规定：一是，建立数据分级分类管理 制度，确定重要数据保护目录，对列入目录的数据进行重 点保护。二是，建立集中统一、高效权威的数据安全风险 评估、报告、信息共享、监测预警机制，加强数据安全风 险信息的获取、分析、研判、预警工作。三是，建立数据 安全应急处置机制，有效应对和处置数据安全事件。四是 ，与相关法律相衔接，确立数据安全审查制度和出口管制 制度。五是，针对一些国家对我国的相关投资和贸易采取 歧视性等不合理措施的做法，明确我国可以根据实际情况 采取相应的措施。 （四）关于数据安全保护义务 保障数据安全，关键是要落实开展数据活动的组织、 个人的主体责任。对此，草案主要作了以下规定：一是 ，开展数据活动必须遵守法律法规，尊重社会公德和伦理 ，有利于促进经济社会发展，增进人民福祉，不得违法收 集、使用数据，不得危害国家安全、公共利益，不得损害 公民、组织的合法权益。二是，开展数据活动应当按照规 定建立健全全流程数据安全管理制度，组织开展数据安全 教育培训，采取相应的技术措施和其他必要措施，保障数 据安全。三是，开展数据活动应当加强数据安全风险监测 、定期开展风险评估，及时处置数据安全事件，并履行相 应的报告义务。四是，对数据交易中介服务和在线数据处 理服务等作出规范。五是，对公安机关和国家安全机关因 依法履行职责需要调取数据以及境外执法机构调取境内数 据时，有关组织和个人的相关义务作了规定。 （五）关于政务数据安全与开放 为保障政务数据安全，并推动政务数据开放利用，草 案主要作了以下规定：一是，对推进电子政务建设，提升 运用数据服务经济社会发展的能力提出要求。二是，规定 国家机关收集、使用数据应当在其履行法定职责的范围内 依照法律、行政法规规定的条件和程序进行，并落实数据 安全保护责任，保障政务数据安全。三是，对国家机关委 托他人存储、加工或者向他人提供政务数据的审批要求和 监督义务作出规定。四是，要求国家机关按照规定及时准 确公开政务数据，制定政务数据开放目录，构建政务数据 开放平台，推动政务数据开放利用。 （六）关于数据安全工作职责 数据安全涉及各行业各领域，涉及多个部门的职责 ，草案明确中央国家安全领导机构对数据安全工作的决策 和统筹协调等职责，加强对数据安全工作的组织领导；同 时对有关行业部门和有关主管部门的数据安全监管职责作 了规定。 此外，草案还对违反本法规定的法律责任等作了规定 。 《数据安全法》要点解读 2021年6月10日，第十三届全国人民代表大会常务委员 会第二十九次会议通过《数据安全法》三审稿，该法将于 2021年9月1日起正式施行。《数据安全法》全文共七章五 十五条，分别从数据安全与发展、数据安全制度、数据安 全保护义务、政务数据安全与开放的角度对数据安全保护 的义务和相应法律责任进行规定。本文将对《数据安全法 》的立法沿革和重点条款进行解读，以期帮助市场参与者 在新法生效前及时做好数据安全建设，降低合规风险。 一、《数据安全法》的立法沿革 2020年6月28日，第十三届全国人大常委会第二十次会 议对《数据安全法（草案）》进行了初次审议。2021年4月 29日，中国人大网公布了《数据安全法（草案）》的二审 稿。二审稿的主要亮点在于将数据分类分级制度作为数据 安全的基本核心制度，强化了等保的基础作用，提出明确 数据安全负责人和管理机构的要求，明确关键信息基础设 施的运营者在重要数据的出境方面的义务和责任，调整数 据处理服务的资质要求，加强向涉外司法机构提供数据的 监管，大幅加重不