數據智能時代，大數據野蠻生長，對數據立法，已經勢在必行。

6月10日，備受社會關注的《中華人民共和國數據安全法》（下稱《數據安全法》）歷經三次審議和修改正式出臺，確定將于今年9月1日起正式實施。

伴隨數字化進程，當企業在數字藍海開疆辟土的時候，數據安全就是企業背后的掌舵人。毋庸置疑，數據安全將是企業面臨的一場大考，從《數據安全法》撕開一個口子，我們可以窺見一二。

01 數據管轄除了「眼前」，還有「遠方」

《數據安全法》在境外管轄上實現了突破，覆蓋了境內和境外兩個層面。

關于境內外數據安全風險

第二條：在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。在中華人民共和國境外開展數據處理活動，VPS租用，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

解讀：表明我國數據安全法屬于長臂管轄，境外組織觸犯本法同樣要追責。

第三條：本法所稱數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

解讀：明確了數據、數據處理、數據安全的定義，所有在中華人民共和國境內的數據處理者都要按照本法的要求進行數據安全的建設。

第十一條：國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，歐洲服務器，促進數據跨境安全、自由流動。

解讀：在數據跨境傳輸方面，我國鼓勵數據處理者進行國與國之間的數據流通，在數據安全標準制定方面我國后來居上，參與到眾多國際化標準制定當中。

第三十六條：中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。

解讀：如果要向境外傳輸數據，數據不能被轉發到國外司法或者執法機構的平臺中。境內外關聯公司，如子公司與母公司之間進行的數據傳輸，客戶要同時遵守我國與對方國家的法律法規。實際上是將境內法律的適用范圍通過合同擴大到境外主體上。

02 數據管理要「知己」，更要「知彼」

分級分類是管理的基礎，《數據安全法》明確了企業要對數據分級分類，不同類數據面臨不同的管理要求、合規義務。

數據安全保護等級

第二十一條：國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。

第二十七條：開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。

解讀：第二十一條與第二十七條表明我國對數據安全會如同等保一般進行分級、分類保護，通過“技術手段+管理制度”作為標準對企業的數據安全態勢進行評測、審查。未來數據安全檢查很大可能會納入等保范圍，豐富等保測評的檢查項。

第二十九條：開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

第三十條：重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

解讀：第二十九條和第三十條表明了數據安全法會像等保一樣在數據處理活動時要有“事前預防”、“事中處置”、“事后追溯”的動作，根據數據重要等級進行周期性的評測工作，并及時上報監管部門進行備案。

03 數據出境，做好合規「守門人」

《數據安全法》中明確規定，關鍵信息基礎設施向境外提供重要數據前，要進行安全評估。

數據安全導向