引言

2020年3月30日发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据定性为“生产要素”。在数据成为生产要素的大背景下， 如何在数据的自由流动与利用、保障数据安全之间保持平衡，是数据合规立法方面最重要的焦点之一。与此同时，随着信息技术和人类生产生活交汇融合，互联网快速普及，全球数据呈现爆发增长、海量集聚的特点，对经济发展、社会治理、国家管理、人民生活都产生了重大影响，[1]数据安全问题逐渐上升为多国国家战略。重要数据这一概念的提出进一步完善了我国对于数据安全的管理制度规定。

除了考虑到国家安全、公众利益两个宏观因素，单独保护还兼顾到重要数据保护的成本问题。成本一词可以理解为两个子概念，一方面是主管机关进行监督监管的行政成本，另一方面是企业自身对于重要数据的识别、保护和风险自评估成本。三是仅依赖数据经营者从自身利益角度进行对于重要数据的保护存在滞后性、安全性等不足，因此我们有必要建立强制性的重要数据保护制度，用以弥补商业秘密以外的非秘的重要数据保护空白。

重要数据的提出

1.重要数据的立法沿革

2017年《中华人民共和国网络安全法》（“《网安法》”）第三十七条首次提出了“重要数据”的概念。随后，全国信息安全标准化技术委员会发布《信息安全技术 数据出境安全评估指南（草案）》（“《出境指南》”）中的附录A“重要数据识别指南”按照行业领域对重要数据进行了划分，但是该指南最终并未生效。2019年，《数据安全管理办法（征求意见稿）》（“《数安办法》”）依据《网安法》的要求，界定了“重要数据”的范围并制定相关数据安全保护工作规范。2020年，《网络安全审查办法》将“重要数据被窃取、泄露、毁损的风险”纳入对网络安全审查重点评估的“采购网络产品和服务可能带来的国家安全风险”中进行规制。2021年出台的《中华人民共和国数据安全法》（“《数安法》”）虽然也未对重要数据的概念进行界定，但是在《网安法》的基础上提出了国家建立数据分类分级保护制度，各地区、各部门确定重要数据具体目录，并强调对列入的数据进行重点保护。随后出台的《信息安全技术 重要数据识别指南（征求意见稿）》（“《识别指南》”），对重要数据的定义及范围、识别原则、识别流程进行了明确规定。2021年11月14日，国家互联网信息办公室公布《网络数据安全管理条例（征求意见稿）》（“《条例》”），对我国的网络数据安全与个人信息保护进行了细化和补充。重要数据的立法发展动态详见图1。

（图1-重要数据的立法沿革）

《条例》主要针对前述三部法律中《网安法》《数安法》和《个人信息保护法》的相关要求和规定进行了法规层面上的细化和展开，同时也增加了重要数据处理者一系列的配套义务，进一步强化了问责制度的落实，我国对重要数据的重视程度不言而喻。作为关键的配套性法规，与前几次规定最大的一点不同是，本次条例对相关企业提出了一系列的合规要求。至此，我国逐步形成了网络数据安全管理领域内的规则体系。

2.重要数据是我国独创吗？

数据安全问题已成为各国关注重点。伴随着大数据、云计算等数字科技的兴起，国家间竞争从传统领域拓展到数字空间，欧盟开始意识到数字服务的巨大影响力，立法层面上陆续出台《通用数据保护条例》（General Data Protection Regulation，GDPR）、《数字服务法》（Digital Service Act， DSA）、《数字市场法》（Digital Market Act，DMA）等一系列法律政策，建构欧盟“数字主权”，强化内部数据基础设施建设，保护欧盟内部数据，加强数字领域战略自主。从执法角度来看，欧盟近年也对Facebook、Google在内的多家互联网跨国公司就数据问题进行天价处罚。在2021年中国互联网大会安全论坛上，中国信息通信研究院安全所信息安全部主任魏薇表示，2020年全球数据泄露超过去15年总和，数据安全问题已成为全球各国的关注重点，近期多个国家纷纷将数据安全上升至国家安全高度，优化数据安全政策，加快设立统一的数据安全保护机构，加强对重点主体、重要数据类型、重要数据处理活动的安全监管。[2]

事实上，“重要数据”这一制度也不是中国独有的。虽然大多数国家没有针对性的“重要数据”保护制度，但是重要数据的保护在实质上还是得到了有效的执行，只是在实际管理层面散落在不同数据保护管理制度之下。以美国为例，美国对重要数据的保护就主要体现在非秘信息保护制度和数据信息系统分级制度之中。2002年美国就颁布了《联邦信息安全管理法案》（Federal Information Security Management Act, FISMA），确立了美国联邦信息系统安全的总体制度框架，也进一步明确了管理责任。美国的信息安全主要指的是保护信息和信息系统，并注重保护数据的完整性、保密性和可用性的三大标准。2009年，时任总统奥巴马签发总统行政令EO 13526《国家安全保密信息》（Classified National Security Information），将保密信息（classified information）分为Top Secret、Secret、Confidential三个级别，其他不涉及保密的信息被称之为非密信息（Unclassified Information）。但是这并不意味着非密信息就不受监管。美国陆续制定了一系列相关标准和指南、安全控制实施和评估工具，包括安全分类、最小安全要求、安全规划、风险评估、风险管理、认证和认可、国家安全系统、安全分类映射等方面具体要求，建立受控非密信息(Controlled Unclassified Information, CUI)保护制度。其中，涉及安全分类映射的NIST800-60《信息及信息系统安全分类映射指南》在三大标准的基础上，将联邦政府信息及信息系统分为低、中、高三个级别，并提出了针对性的安全保障要求。[3]此外，SP 800-171《保护非联邦系统和机构的受控非密信息》[4]、SP 800-171A《受控非密信息安全要求评估》[5]都对受控非密信息提出了安全保护的要求。由此可见，数据安全在很多国家都已经上升到国家系统性战略规划的高度。

重要数据的定义

1.重要数据概念的历史发展

《网安法》及《数安法》等不同法规都对重要数据提出了严格的监管要求，但是并没有从法律层面给出重要数据的定义，究竟何为重要数据一直是业内关注的重点问题。本次《条例》对这一法律概念在法规层面赋予了正式定义。

回顾重要数据概念的演进过程，也可以窥见我国对重要数据不断深入的理解和重视。2017年，《出境指南》将“重要数据”定义为“与国家安全、经济发展以及公共利益密切相关的数据”，此后《数安办法》《识别指南》等规定将后果分析这一要件直接加入定义之中，明确了重要数据认定的主要标准之一是对于可能造成的损害结果。此次《条例》延续了这一立法思路，将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。”在适用主体上，2017年的《出境指南》将涉及的主体限定为“组织、机构和个人”，而《条例》则删除了这一限制，扩大了适用主体范围。重要数据概念内涵的适当外延，扩大了我国对于数据安全的监管范围，有利于进一步保障国家安全、数据主权和社会公共利益。

重要数据定义的具体历史发展线整理如下：

2.重要数据的范围

《条例》以数据可能造成的影响程度作为标准决定重要数据的界限，并通过列举的方式描述了部分典型的重要数据场景，包括出口管制数据、重点行业数据、未公开的政务数据、达到高精度或规模的国家基础数据等，并通过“其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”这一兜底条款来扩大重要数据可能适用的范围。重要数据的具体范围如下：

今年生效的《数安法》已经提出建立数据分级分类保护制度和重要数据目录，《条例》对重要数据的定义和列举则对《数安法》规定的重要数据目录建设提供了更大的参考价值。但是条例本身对重要数据的阐释仍旧是一种描述性规定，仍然存在兜底规定，兜底条款在实践中可能还是会造成重要数据范围扩大化的问题。重要数据管理的具体权限实际上可能还是会下放到各地区、各部门以及相关行业、领域中去。因为重要数据很难有一个可以穷尽且普适的标准可以直接应用到各个行业，例如，数据规模量、罚金数额的设置对于不同的企业来说，可能就是完全不同的影响效果。具体而言，一些行业或领域的主管部门已经陆续出台了有关地理数据、人口数据、健康数据、金融数据、交通数据等重要数据的管理规定。

总之，数据处理者在识别其处理的数据是否属于重要数据时，应当同时满足行业要求、重要程度以及处理数量三个条件，避免实践中的重要数据被不当扩大化，对企业合规造成过大的压力。在实践中，数据处理者也要认识到“重要数据”并不等同于“重要的数据”。重要数据往往从国家安全、社会稳定、公共利益等宏观角度进行判断，如果只是对数据处理者自身而言重要或敏感的数据，并不意味着一定就是重要数据。此外，企业对重要数据范围的认定也不能孤立的去考虑，也要看与一些特殊主体是否存在关联或者服务关系，比如如果服务对象是关键信息基础设施，那么它提供的也可能被视为和关键信息基础设施运营者有关的延伸信息，在《识别指南》里也提到了很多与关键信息基础设施运营者有关的信息，运营数据在少数情况下也有被认定为重要数据的可能性。

3.重要数据与核心数据的关系

《数安法》提出国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。《条例》延续了《数安法》的数据分级分类保护制度，并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据三类。《条例》根据《数安法》的要求，明确不同级别的数据采取不同标准的保护措施，对个人信息和重要数据进行重点保护，对核心数据实行严格保护。根据《条例》第七十四条，“涉及国家秘密信息、核心数据、密码使用的数据处理活动，按照国家有关规定执行。”因此，我们理解核心数据应当适用与重要数据不同且更为严格的保护措施。

4.重要数据包含个人信息吗？

个人信息和重要数据的关系是一个被持续关注的话题。2019年《数安办法》没有将企业生产经营和内部管理信息、个人信息纳入到重要数据范围内。2020年出台的《识别指南》也是类似的做法，但是同时又提出基于海量个人信息形成的统计数据、衍生数据还是可能会属于重要数据。因此我们理解，不是所有的个人信息都不是重要数据，部分特定的个人信息还是存在被认定为重要数据的可能性。从这一角度而言，重要数据与个人信息并非完全割裂。虽然《条例》将“个人信息”与“重要数据”分别专章规定实行重点保护，但是《条例》第二十六条规定了二者存在交叉时的适用规则。数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。因此，如果处理一百万以上个人信息，数据处理者在遵守个人信息保护规则以外，还应当对其加以与重要数据相同的保护措施并履行相应义务。

《条例》对数据安全制度的发展延伸

（一）重要数据处理者的安全保障义务

《条例》在《数安法》第三章“数据安全制度”的基础上，对重要数据处理者的数据安全管理义务提出了具体明确的要求，涵盖技术手段、管理制度、报批义务等多个方面，可执行性强的细化规则为企业内部构建数据安全管理制度指引了方向。

重要数据处理者的数据安全管理义务详见图2，下文将针对重要的安全管理义务进行具体分析。

1.三级等保要求与密码保护要求

《条例》第九条重申了《网安法》第十一条规定的安全保护义务，也第一次有针对性的对重要数据处理者提出了等保级别的要求，对重要数据的保护依旧是从严监管。处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，且核心数据应当从严保护。根据《信息安全技术 网络安全等级保护基本要求》，第三级安全保护能力是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证，由此可见国家对于重要数据安全保护的重视程度。我们理解，企业应当依据国家相关法律法规，开展包括网络技术安全和网络管理安全在内的一系列工作，从制度建设、技术发展、人员培训等多方面进行管理加强。虽然等级保护是一个系统性、复杂性、细节性极强的工作，但是为了保障国家安全和公共利益，同时保障企业自身合法权益，网络安全等级保护工作应当严格仔细地持续性开展，避免网络安全事故的发生。实践中，网络安全等级保护义务的履行也是重要数据处理者高度重视数据合规义务的一个有力佐证。

此外，《关键信息基础设施安全保护条例》第十八条还规定了发生重大事故时的报告义务，“发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。”由于重要数据的系统原则应当满足关键信息基础设施安全保护要求，因此无论重要数据是否涉及关键信息基础设施，都应当满足《网安法》在中国境内运营中收集和产生的重要数据应本地化存储的管理规定。

除此以外，面对数据带来的机遇和挑战，应当树立全面、科学的安全管理理念，在核心技术底层架构的设计上就应当做到数据的安全可控。因此《条例》进一步提出要求，数据处理者应当使用密码对重要数据和核心数据进行保护。密码是国家安全法律体系的重要组成部分，是国家重要战略资源。我国《密码法》也规定密码应当应用于大数据战略，维护国家安全、促进经济社会发展，保护公民、法人和其他组织合法权益。数据加密、数据脱敏等措施，不仅有利于构建包括采集、存储、使用、传输为一体的数据安全体系，满足数据共享和防护安全需求，还可以利用密码技术与数据标识的结合实现大数据追踪溯源，为监管取证提供有力武器。

因此我们理解，对于那些企业认为涉及“机密” “敏感”的信息，数据的整理和管理是必不可少的一步，包括但不限于纸质载体和电子载体上的数据。企业同时还应参考数据的重要性、对业务的优先级和一旦遭到篡改、破坏、泄露或者非法获取、非法利用后可能带来的损失等因素对数据进行内部定级，以方便相关负责人的内部管理和保护。当然，除了密码，数据的管理控制还包括很多方面，比如数据访问控制管理（包括及时的更新、删除访问权限）、数据的加密技术、数据相关日志的详细记录和留存等。数据的管理是一种流动的管理，不仅仅包括数据本身的过程管理，也包括数据处理者本身发生实质变化时，相对应的数据安全保护义务。

2.数据安全负责人及管理机构

数据领域责任制的确定最早是经济合作与发展组织（Organisation for Economic Cooperation and Development，“OECD”）提出的概念，OECD在1980年颁布了《隐私保护和个人数据跨境流通指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），在第十四条中确立了责任原则（Accountability Principle）。该项原则要求，数据控制者应根据国内法的规定遵守隐私保护规则和决定。“责任”一次既包括法律制裁下的“问责”，也包括行为准则下的“问责”。责任一词也是指严格责任制，就算不是控制者自己实施而是委托或者指示他人实施，也可能承担连带责任。

《数安法》第二十七条明确规定重要数据的处理者应当明确数据安全负责人和管理机构，《条例》延续这一规定，并且对数据安全负责人提出相关任职要求：数据安全负责人应当具备数据安全专业知识和相关管理工作经历，且由数据处理者决策层成员承担。此外，《条例》还要求数据安全负责人直接向网信部门和主管、监管部门反映数据安全情况，为数据安全保护提供了更为高效、便捷的保护渠道。企业可以根据工作背景及工作职责，综合考虑在内部设置数据安全负责人。

除此以外，《条例》第二十八条规定重要数据的处理者应当成立数据安全管理机构，由数据安全负责人带领。在此基础上，《条例》进一步具体规定了数据安全机构在数据安全负责人的领导下应当履行的职责，包括：

（1）研究提出数据安全相关重大决策建议；

（2）研究提出数据安全相关重大决策建议；

（3）开展数据安全风险监测，及时处置数据安全风险和事件；

（4）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动；

（5）受理、处置数据安全投诉、举报；

（6）按照要求及时向网信部门和主管、监管部门报告数据安全情况。

3.安全教育培训时长要求

数据安全教育培训的要求在实践中是非常重要的，也是很容易被轻视的一环。之前在《数安法》第二十七条里就要求开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训。《条例》在此基础上针对重要数据的处理者提出了更为明确、具体的要求。《条例》第三十条明确规定安全培训义务的主体成员包括“数据安全相关的技术和管理人员”，我们建议企业对相关人员进行扩大化理解，将相关“技术和管理人员”理解为数据治理、合规管理、技术支持等多领域的人员，包括但不限于从事与管理人员、实施人员、审计人员以及信息技术工作人员等。除此以外，《条例》第三十条要求重要数据的处理者应当制定数据安全培训计划，每年组织开展数据安全教育培训，并且每年教育培训时间不得少于二十小时。

这条规定是相关立法上第一次在培训时长上提出了具体的要求，更加体现了我国对重要数据的保护、教育和数据安全制度落实的重视。除了培训时长，培训的效果预估也是企业应当重视的一部分。我们理解，数据安全的培训效果可以通过制定一系列的相关指标来衡量，比如安全事件在培训前后发生频率的对比、员工的满意度、相关日志记录下的行为改变、客户对相关数据安全措施和人员意识的满意度、客户的投诉数量等。

4.重要数据的应急处理机制

我国《网安法》第二十一条、第三十四条要求对重要数据进行备份或容灾备份，第三十七条要求关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据应当在境内存储。这一条补充了重要数据处理者对于突发的非管理疏漏造成安全事件的管理义务，也是对企业业务连续性的又一有力保障。

《条例》规定如果发生重要数据或者十万人以上个人信息的泄露、损毁、丢失等数据安全事件时，数据处理者需要履行以下义务：

（1）数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。

（2）安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。

（3）安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。

（4）在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。

（5）在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

5.数据安全风险评估制度

《数安法》第二十二条规定了数据安全风险评估制度，《条例》对数据安全风险管理制度提出了进一步具体要求。首先，《条例》扩展了《数安法》规定的风险报告主体，处理重要数据或者赴境外上市的数据处理者应当进行风险评估报告。其次，《条例》明确了报告的时间频次和报告机制，规定每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。再次，《条例》细化了风险评估报告内容要求，包括一般评估和重点评估两类，除《条例》第三十二条第第一款提出的一般评估报告的8项内容要求以外，该条第四款明确了对于“数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估”还要完成的5项重点评估内容。风险评估报告应当保留至少三年。值得注意的是，根据《条例》第三十二、三十三条，数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。

6.重要数据处理者合并、重组、分立的报告义务

根据《条例》第十四条之规定，涉及重要数据和一百万人以上个人信息的，数据处理者发生合并、重组、分立等情况的，数据接收方应当继续履行数据安全保护义务；应当向设区的市级主管部门报告。此外，包括重要数据在内的所有数据处理者发生解散、被宣告破产等情况的，应当向设区的市级主管部门报告，按照相关要求移交或删除数据，主管部门不明确的，应当向设区的市级网信部门报告。

重要数据涉及国家安全和公共利益，涉及范围涵盖国家和人民生活的方方面面，一旦遭到破坏后果不堪设想。当持有、控制重要数据的主体发生破产、兼并、重组等重大变化时，容易形成内部管理制度的不稳定因素，从而产生重要数据泄漏、破坏的风险。《条例》在延续数据接收方应当继续履行数据安全保障义务之规定以外，增设重要数据处理者及涉及一百万以上个人信息的数据处理者报告义务，除告知个人信息主体以外，还应当向设区的市级主管部门报告，使得主管部门可以及时监管。

7.重要数据处理识别备案义务

2019年，《天津市数据安全管理办法（暂行）》首次提出建立重要数据和个人信息的备案制度。《条例》第二十九条在此基础上将重要数据处理者的备案义务适用主体范围扩大至全国，要求重要数据的处理者应当在识别其重要数据后的15个工作日内向设区的市级网信部门备案，但是如何判断数据处理者明确的识别日期仍有待进一步讨论。《条例》规定备案内容仅限于数据处理规则，包括数据处理者基本信息，数据安全管理机构信息、数据安全负责人姓名和联系方式，处理数据的目的、规模、方式、范围、类型、存储期限、存储地点，但是不包括数据内容本身。并且重要数据处理者应当注意，若发生处理数据的目的、范围、类型及数据安全防护措施等发生重大变化，应当重新备案。备案制度的建设，有利于监管部门全面了解和动态监管重要数据处理者的数据安全保障情况， 也有利于企业对重要数据的全生命周期处理活动进行安全保护。

目前，一些具体行业或领域的主管部门也出台了有关重要数据的管理规定。工信部发布《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》，提出建设工业、电信行业重要数据和核心数据全生命周期备案管理制度。重要数据的备案制度可以作为政府监管抓手，加强企业完善重要数据的合规义务，并且落实企业发生数据安全实践的追责管理，因此应当得到企业重视。

但是，尽管备案制度可以作为政府监管重要数据的重要依据，但是在实践中，数据处理涉及业务繁杂、数量众多，加之数据具有动态性、时效性的特点，尤其是涉及重点行业领域的企业，若每次数据处理活动都需要逐一备案，势必增加了企业的运营及合规负担。此外，数据处理者本身若在识别过程中对重要数据的界定范围仍存在困惑，企业对于重要性的判断首先应当定性定量结合，然后参考三大主要因素，一是数据的类型，例如涉及国家安全、公众利益、社会民生的相关数据；二是数据的数量，数据数量之所以在数据保护相关的法律法规中被多次提到，主要是因为数据本身关联的社会价值和经济价值巨大，并且当数据量过大时，发生数据泄漏、滥用等问题时可能会造成巨大破坏影响；三是数据发生事故发生时可能造成的危害后果，这种危害更强调于宏观层面的影响，例如对于国家及社会造成的经济损失、对社会大众造成的负面影响，以及危害持续的时长，甚至可能会影响整个国计民生。

8.共享、交易、委托处理重要数据的义务

数据的共享、交易、委托处理均涉及第三方数据接收方，可以接触、使用和控制数据的主体群体扩大，增加了数据泄露的风险，不利于数据的管理和安全保障。此前需要审批的数据处理活动一般为跨境传输。例如《信息安全技术 健康医疗数据安全指南》中要求“控制者因为学术研讨需要，需要向境外提供相应数据的，在进行必要的去标识化处理后，经过数据安全委员会讨论审批同意，数量在250条以内的非涉密非重要数据可以提供，否则应提请相关部门审批。”此次《条例》第三十四条规定数据处理者共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意。这对重要数据处理者的数据处理行为提出了比《数安法》更为具体、严格的管理措施，有利于实现重要数据保护的事先防范。《条例》将主管审批的范围从数据出境扩大至数据的共享、交易和委托处理，有利于填补相关监管漏洞，对数据安全的管理提出了更为全面的保障制度。

除审批义务之外，《条例》第十二条规定重要数据处理者也应当遵守共享、交易、 委托处理数据时的合同义务规定，应当与数据接收方约定处理数据的目的、范围、处理方式，数据安全保护措施等，通过合同等形式明确双方的数据安全责任义务，并对数据接收方的数据处理活动进行监督。此外，《条例》第十二条还规定了审批记录的存储要求，“数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当留存个人同意记录及提供个人信息的日志记录，共享、交易、委托处理重要数据的审批记录、日志记录至少五年。”为监管部门审计数据安全管理、对可能发生的数据安全事故追踪定责提供证据基础。

9.重要数据的跨境管理规定

《条例》在《网安法》《数安法》等上位法基础上，对数据跨境流动规则进行了完善，完整地建立了数据出境安全管理制度，包括个人信息出境前单独同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。此外，《条例》对于重要数据的出境提出了更为严格的要求，包括通过国家部门组织的数据出境安全评估、向设区的市级网信部门报告上一年度数据出境情况义务等。详情可参考我们之后即将发布的“《网络数据安全管理条例（征求意见稿）》系列解读之数据跨境篇”内容。

10.其他义务

《条例》细节性地规定了重要数据处理者的安全采购义务，应当优先采购安全可信的网络产品和服务。此外，处理大量重要数据、具有强大社会动员能力和市场支配地位的互联网运营者也有可能被认定为大型互联网平台运营者，如果符合，则数据处理者还需符合本《条例》中第六章里具体列明的互联网平台运营者义务。大型互联网平台运营者有相对加重的义务，所涉及的范围包括及时披露相关内容、管理第三方产品与服务并承担先行赔偿义务、如何合理的推送信息、有哪些禁止性的行文、对信息的真实性、准确性和合法性来源负责、委托第三方审计并进行年度审计等等的内容。具体的相关细则分析可以参考我们本次系列解读即将发布的“《网络数据安全管理条例（征求意见稿）》系列解读之互联网平台篇”。

（二）重要数据的保护与监管

1.数据分类分级保护制度

数据分级分类保障的立法思路已在多项法规中有所体现。《网安法》第二十一条规定“采取数据分类、重要数据备份和加密等措施”，《数安法》第二十一条规定国家建立数据分级分类制度，并提出建立重要数据保护目录并定义国家核心数据，《数安办法》第十九条要求“网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护”。部分行业在出台行业标准时也将分级分类作为数据安全保护的指导思想。例如，《工业数据分类分级指南（试行）》第五条规定“工业企业结合生产制造模式、平台企业结合服务运营模式，分析梳理业务流程和系统设备，考虑行业要求、业务规模、数据复杂程度等实际情况，对工业数据进行分类梳理和标识，形成企业工业数据分类清单。”《证券期货业数据分类分级指引》《金融数据安全数据安全分级指南》对数据分级分类的原则、范围、规则方法、具体流程进行了具体描述。目前国内尚未出台重要数据目录，对于大多数企业而言如何识别其业务开展过程中涉及的数据是否属于重要数据、核心数据仍待解决。

2.数据交易管理制度进一步推进

在梳理重要数据的概念和囊括范围时，还有一个重要的原则是，要让对重要数据的保护和对数据合理价值开发的两个目标进行平衡，企业既不能忽视对于重要数据的处理问题，也不要因为考虑重要数据的谨慎保护需要而限制了对企业数据价值的合理开发和外部流动。《条例》第七条第二款就明确指出，“国家建立健全数据交易管理制度，明确数据交易机构设立、运行标准。”但这已经不是第一次在法律层面提出了数据交易管理制度的概念，《数安法》第十九条就明确指出，“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场”。两个规定的区别在于，《条例》强调的是数据制度上的健全，更多关注于运行体系上的完善和丰富。而《数安法》里更强调的则是“规范”，即合规上的要求，核心的法律价值目标则是“秩序”。

与制度并行的还有各地的实际行动。我国各地都陆续开展了数据交易的制度推进。山东、广东等地相继出台了与数据交易、数字经济相关的《条例》和通知。北京、上海和深圳更是走在全国前列。2021年北京国际大数据交易所（“北数所”）成立。这是国内首家基于“数据可用不可见，用途可控可计量”新型交易范式的数据交易所，凭借北京在隐私计算、区块链等技术领域的领先优势，北数所为双方提供了安全、可靠、负责的数据交易平台。北京正朝着构建“全球数字经济标杆城市”的目标快速迈进。而上海数据交易所也于近日揭牌成立，正式开始构建一种“数商”的新型业态，同时也确立了“不合规不挂牌，无交易不场景”的基本原则，与《条例》里所提倡的数据交易规范和体系化形成了呼应。根据国家统计局发布的《数字经济及其核心产业统计分类（2021）》，2020年深圳数字经济核心产业占深圳全市GDP的比重已经高达30.5%，位居全国大中城市首位，深圳亦在积极布局和推动数据交易场所的设立。

尾言

《条例》的出台，进一步强化了大众和相关企业对重要数据的认知和对相关要求、措施的理解，也是对三部上位法的一个里程碑式的配套性补充规定。在国家大力发展数字经济数据的时代背景下，《条例》不仅进一步强调了我国数据主权的重要性、数据安全的严肃性，也直接关系到我国数据流动、数据交易发展的进一步促进。本次条例既有全新的详细要求，也有重申数据安全保护的核心原则，从宏观和微观层面都对企业合规提出了进一步要求，也明确了相关机构和地区、行业的职责与作用。我们期待在未来可以看到更多重要数据的具体行业细则的出台，期待看到数据市场化价值的实现和监管的规范化要求也能达到更好的平衡。

注释（上下滑动阅览）

[1] 《习近平：实施国家大数据战略加快建设数字中国》，https://www.csust.edu.cn/xxhjs/info/1034/1770.htm

[2] 《数据安全上升为多国国家战略：去年全球数据泄露超过去15年总和，中国数据安全市场2023年或近百亿》，https://m.21jingji.com/article/20210714/herald/a52b74393c9964167c7b98ba380865a4.html

[3] 参见NIST SP 800-60 Vol. 1 Rev. 1《Guide for Mapping Types of Information and Information Systems to Security Categories 》，https://csrc.nist.gov/publications/detail/sp/800-60/vol-1-rev-1/final

[4] 参见NIST SP 800-171 Rev. 2《Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations》，https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final

[5] 参见NIST SP 800-171A 《Assessing Security Requirements for Controlled Unclassified Information 》，https://csrc.nist.gov/publications/detail/sp/800-171a/final

来源：金杜律师事务所

编辑：梵高先生