《法人》特约撰稿 王艺 余灏 周谢军

9月1日，《中华人民共和国数据安全法》（下称“数据安全法”）生效实施已满两周年。植德数据合规组长期专注数据合规工作，结合对市场上数据法规则、案例更新，列举出数据安全法实施两周年以来值得关注的七大亮点。

亮点一：不同行业数据安全管理办法陆续出台

数据安全法第六条第二款规定：“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”目前，工业、医疗、金融、证券、能源等领域，均结合领域数据处理的实际情况和特点，出台了专门数据安全或网络安全管理办法。如《工业和信息化领域数据安全管理办法（试行）》 《电力行业网络安全管理办法》《医疗卫生机构网络安全管理办法》《中国人民银行业务领域数据安全管理办法（征求意见稿）》《证券期货业网络安全管理办法（征求意见稿）》。

亮点二：数据分类分级制度在各行业进一步深化

数据安全法第二十一条第一款规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”实践中，金融、医疗、证券期货、政务、电力、汽车等，均出台专门的数据分类分级指南或者数据安全分级指南。

亮点三：重要数据目录及其治理工作在多地试点

数据安全法第二十一条第三款规定：“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”除了目前公开的两版《重要数据识别指南（征求意见稿）》（国标）外，具体细分行业也有相关部门规章在明确重要数据的概念和范围，如《工业和信息化领域数据安全管理办法（试行）》第十条、《汽车数据安全管理若干规定（试行）》第三条。其中《工业和信息化领域数据安全管理办法（试行）》要求企业对重要数据目录及其重大变化开展备案工作，而《汽车数据安全管理若干规定（试行）》则要求处理重要数据，需要开展风险评估以及在年度报告披露，向境外提供重要数据还需要补充报告。

此外，上海、浙江率先启动重要数据识别和备案落地工作，上海市首批重要数据和核心数据认定工作已完成。值得关注的是，上海网信办组织开展了数据分类分级、制定重要数据目录试点，并发布11个重要数据目录试点工作优秀单位和优秀案例，为企业开展数据分类分级、重要数据目录识别、数据全生命周期安全保护等方面提供了落地指引(具体见表1)。

亮点四：公共数据授权运营和数据场内交易新发展

在公共数据授权运营方面，一些地方已取得关键突破。根据数据安全法第四十二条、第四十三条规定，“国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用”“法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动，适用本章规定”，明确推动政务数据与公共数据的开发利用。

在政策新趋势下：（1）上海、江苏、广东、湖北等地成立了地方数据集团承担公共数据运营主体的角色，从制度、平台、应用、流通等全面发力；（2）北京、杭州、青岛等地已颁布或正在制定公共数据授权运营的规定；（3）多款公共数据授权运营产品及服务已上架数据交易场所；（4）部分公共数据试点平台上线，独立于交易所之外发展；（5）部分公共数据平台与数据交易所合二为一进行发展。在新趋势下，公共数据授权运营已经进入快车道，全国各地正在全速推进。

在场内数据交易方面，规范化的数据交易市场进一步培育壮大。根据数据安全法第十九条规定，“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场” ，各地纷纷建立数据交易所，并出台各类数据交易规则和流程指引，旨在规范场内数据安全合规交易。

值得关注的是，2023年4月，全国首笔个人数据合规流转交易在贵阳大数据交易所场内完成，此笔交易各环节全程接受监督管理，是个人数据合规使用、规范交易、合法收益的创新实践，也是对B2B2C（网络购物商业模式）数据合规交易全新商业模式的探索。

此外，2023年4月，深圳数据交易所通过与光大银行深圳分行以及多家第三方数据服务机构的协同合作，实现无质押数据资产增信贷款项目业务落地。凭借在深圳数据交易所上架的数据交易标的，深圳微言科技有限责任公司通过光大银行深圳分行授信审批并成功获得1000万元授信额度，顺利放款。

亮点五：处罚案例覆盖线上线下及大小规模企业

执法是最好的普法。结合对市场发布的相关依据数据安全法处罚案例初步分析，网信办等部门正加大执法力度和频度处罚，数据安全法已在实务中成为网络和数据安全执法的主要依据之一，特别是在2023年呈爆发式增长趋势。处罚依据主要是数据安全法第二十七条（数据安全保护义务）、第二十九条（数据安全风险监测与补救）、第三十二条（合法正当采集数据）。

对于执法对象，已覆盖线上线下各行业领域，各类大小规模企业。除票务、电商等线上平台外，还包括高校、医院、燃气等公共事业单位以及餐饮、网吧、足浴等线下门店。不论企业规模大小，均可能受到处罚。

对于违法的常见情形，包括未建立相应技术措施和管理制度、存在数据安全风险或发生数据泄露等（见表2）；对于处罚结果，需要做到“过罚相当”。如未发生数据泄露后果，但存在违法违规事项的企业，监管通常给予责令整改、警告的处罚结果。但对于如果发生数据泄露或造成其他严重后果时，一般会具体罚款，目前罚款上限为100万元。值得关注的是，除了企业受罚外，直接负责人也可能受到处罚。

亮点六：数据安全合规首次成为企业IPO必答题

自数据安全法实施以来，证券监管部门已就涉及数据处理的境内外拟IPO企业是否满足数据安全法相关要求进行重点问询。企业往往需要对照数据安全法，重点在于数据生命周期处理活动的合法合规性以及是否履行数据安全保护义务、是否建立数据安全管理体系、是否进行风险评估监测、是否发生数据安全事件、是否存在数据方面行政处罚或纠纷进行答复。

值得关注的是，2023年3月起，数据安全合规首次明确成为境内上市“必答题”。深交所和上交所发布的《深圳证券交易所股票发行上市审核业务指南第3号——首次公开发行审核关注要点（2023年修订）》《上海证券交易所发行上市审核业务指南第4号——常见问题的信息披露和核查要求自查表》，均要求保荐人、发行人律师需对公司相关经营是否符合个人信息保护法、数据安全法、网络安全法等法律法规进行核查，并发表明确意见。

亮点七：第36条在境外频频被企业援引

在境外证据开示过程中，美国地区法院有多个案例裁定中国数据安全法第三十六条不能阻止美国法院依据联邦程序法调取中国境内数据。相关美国法院认为，提交证据是一方当事人向另外一方当事人提交，而不是向法院提交。此外法院还认为，当事人没有提交证据证明该条款在内的中国法律阻碍其提交案件证据。数据安全法第三十六条规定：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”为此，实务中，中国企业在海外法院开庭时，需要考虑提交充分证据（如监管部门“拒绝”的文件或者专家论证意见）证明其无法履行证据提交义务。

综上所述，数据安全法第一条规定：“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织合法权益，维护国家主权、安全和发展利益，制定本法。”数据安全法作为数据安全领域基础性法律，从两周年落地实践可看出，其设立的多样数据安全保护机制正对各行各业发挥着深远影响，对维护国家利益、公共利益、组织和个人合法权益起到重要保障作用，促使中国数字经济正朝着安全、合法、规范的方向发展和前进。

（作者单位：北京植德律师事务所）

（责编 王茜）