经济观察报 记者 沈怡然 《中华人民共和国数据安全法》（下称“《数据安全法》”）将在9月1日落地实施，这意味着中国在数据安全方面初步建立起一套法律架构。

在数字经济蓬勃发展的今天，数据正成为企业关键的生产要素，于国家而言，也是具有战略价值的核心资产。一家企业从数字化到智能化的转型过程，本质是对数据的积累、挖掘以及价值释放。新法增加了企业的安全责任，为实现合规，企业需要针对数据保护增加成本，规避风险。

立法并非针对某一类企业，凡涉及数据处理的企业均在这部法律的调整范畴之内。现实中，一些企业因为信息化程度高，或业务事关国计民生，或存在跨国经营等情况，对于该法的反应更为敏感，对相应的合规条款也更为关切。很多企业担心：新法出台后，过往积累的数据资产就像一个“历史的包袱”，未来其合规性可能会被追溯。

政府、法律人士、数据安全技术的提供方，都在努力帮助企业达到数据的合规与安全，也试图抚平和缓解法律给产业的冲击。

国家工业信息安全发展研究中心大数据研究室主任杨玫表示，中国大数据、人工智能产业发展至今，在应用层面已经实现了全球领先，历经了市场的考验。从国家政策角度看，希望产业先由市场引导，遵循自身的规律发展，而立法相对置后一些。过去几年，有很多出台相关法案的呼声，但国家选择在今年密集出台，其实是遵循了市场的选择，并且认为市场发展到这个阶段，才是需要法律去规范的，才是需要安全和发展并重的。

瑞莱智慧CEO田天表示，当前数据的价值和安全性之间存在一个鸿沟，中间的矛盾愈演愈烈，原本对于简单的数据流通和应用，各方是可以形成共识的，随着算法和算力的增强，数据本身的底层价值正在发生井喷，而与此相比，对安全性的保护和关注是滞后的。

IBM大中华区科技事业部网络安全业务主管冯靓表示，短期来看，该法会给产业带来一些阵痛，因为企业是安全责任的主要承担者。长期来看，该法可以帮助产业走向健康和规范，促进企业真正提升安全意识。过去，对很多企业来说，数据安全是个可有可无的部门，如今成为了企业不可或缺的部门，数据保护将被纳入到企业整体发展战略当中。

中国信通院云计算与大数据研究所大数据部副主任闫树表示，中国数字经济受到《数字安全法》的冲击，是一个必要的过程，因为产业发展模式本身存在一些问题，这样的模式对企业发展有利，但触犯了国家和个人的权益，因此需要一些合理的改变。

《数据安全法》在规制什么

中伦律师事务所合伙人陈际红对记者表示，《数据安全法》和先前的《网络安全法》，连同筹备中的《个人信息保护法》，共同构成了中国在网络安全和数据保护方面的法律“三驾马车”，它们定位各有不同，内容互有交叉，而《数据安全法》监管对象，主要是数据处理活动。

简单来说，《数据安全法》对企业的数据处理活动，提出了五项监管要求。第一，符合基础性的合规要求，包括建立企业数据安全管理制度，有相应的基础措施和管理措施；第二，对数据做等级保护，需要企业做等级保护测评和备案；第三，进行数据分级分类，企业要根据分类结果采取相应的管理措施；第四，识别核心数据和处理数据出境问题，比如年检、年报审计；第五，管理数据交易中介，中介要审核双方身份、流程交易记录、制定审核清单等。

如果企业在运营中没有符合这些法规要求，出现了严重的数据泄漏问题，那么将受到一定的经济惩罚，处罚对象以机构、企业为主，包括直接负责的主管人员和其他直接责任人员，企业的罚款额从百万元至千万元级别不等，个人的罚款额在数十万元级别。此外，涉事企业还可能被停业整顿、吊销营业执照。如果违反了国家核心数据管理制度且构成了犯罪，还将被依法追究刑事责任。

北京瀛和律师事务所业务中心总监高楠对记者表示，从监管的角度看，《数据安全法》有三项明确，即明确了数据安全监管的约谈制度，但未明确主管部门的层级要求；明确了未履行数据安全保护义务的开展数据处理活动的组织、个人的法律责任；明确了违反《数据安全法》向境外提供重要数据的法律责任等等。

高楠还表示，该法辐射范围广泛，只要在华企业的日常经营活动涉及数据生命周期的任何一个环节，境外企业涉及对中国有关联的数据处理活动的，皆会受到该法的规制。

那么，对于一些企业过往的数据资产，其合规性是否会被追溯？

陈际红这样认为，合规是一个过程，新法颁布第二天企业立即合规，这也不太现实。通常来看，企业的实践分两个阶段，合规之前的数据叫历史数据，合规以后再进行授权、分类，对应用场景做严格限制，这是一个新的起点。对历史数据可以分为继续用的和不再用的，对于不再用的数据，企业没必要担心，只要不泄露，就不会对主体带来权益侵害；对于还要使用的数据，则是需要授权的。

三类企业关联密切

《数据安全法》的立法并非针对某一类特定企业，凡涉及数据处理的企业均在其中，但在实际情况中，不同企业对该法的反应不同。目前，具有信息化程度高、业务事关国计民生、涉及跨国经营等特点企业，对于该法的反应更为敏感。

冯靓表示，一些信息化程度高的企业明显对新法更关注。新法筹备以来，很多企业已经将业务上云或者上混合云，其数据并非仅存于私有数据库或者数据中心之中。从技术上看，这些企业的数据保护工作难度较大。

冯靓还提到，一些企业信息基础设施相对落后，大量数据没有上云，反而在规范之下有更多回旋余地。当然这并不意味着他们面临的风险更低，企业的信息技术能力不足，更有可能出现数据泄露。例如某些传统产业，自身的IT系统并不发达，却往往是产业链里的重要一环。站在黑客的视角，该群体很容易成为攻击的目标或切入口，因为他们是网络安全中较弱的一环。因此，安全风险就会通过这些薄弱环节危及整个产业链。

IBM大中华区科技事业部网络安全大客户销售总监张炜表示，从经营内容来看，很多掌握涉及国家安全的信息、经营业务事关国计民生的企业，都在密切关注新法，并寻求改进合规措施的技术手段。例如电信、能源、电力等行业的企业，要么属于基础设施运营者，要么其经营数据承担着国计民生的重大安全责任，所以其IT架构和信息安全的合规性非常重要。

当然，这并不意味着那些只掌握个人信息数据的企业没有责任，在数据保护上，它面对的场景更为复杂。张炜以快递企业韵达为例说，这家企业在全国有两万多网点、20多万快递员，服务数量庞大的客户群体，企业的业务数据和客户的个人信息安全，就是韵达这样的快递企业关心的重中之重。

另外，跨国企业也是较为敏感的群体，该群体涉及跨境数据传输的风险。陈际红表示，这其中涉及到数据的跨境保护问题，《数据安全法》原则上不搞数据孤岛、不搞封闭，但前提是安全有序，这需要对跨境的数据进行分类监管，比如涉国家秘密的数据不能出境，一般的数据跨境，需要经过国家互联网信息办公室的评估。而行业数据中，诸如医疗健康、汽车行驶、工业数据等，则由各自行业主管部门来进行评估。

闫树也对此表示，跨境数据虽然被纳入了法律，但配套制度和处理机制尚未建立完善，要等到有关部门建立相关机制，包括对数据分级分类、出台重要数据目录等一些细则后，才能实施有效监管。

运用技术的解决手段

长期致力于企业安全策略与技术方案的企业，也对产业提出了一系列应对方案。冯靓认为，从企业经营的角度看，完善数据安全策略、利用科技力量提前预防类似数据泄露事件的发生，可以有效降低风险，最大限度减少损失。

冯靓建议，企业需要健全数据安全制度，确定数据安全保护义务，建立数据分级分类制度，再根据定级规定义务。针对数据的采集、存储、使用、传输的每一步，都采取数据所对应等级的有效的安全措施。

一些常见的措施包括：在数据的采集阶段，使用加密技术保持数据的完整性，同时遵循“最小目的原则”；在数据的存储阶段根据数据等级采取不同的存储保护措施，在数据的使用阶段遵循“最小权限访问”及“从不信任，永远验证”原则，杜绝非授权访问，避免明文，进行脱敏、掩码处理，或者加水印、禁止截屏等；在数据的传输阶段监控追踪数据流向，限定传输方式等。

瑞莱智慧CEO田天表示，企业可以借助技术的手段，实现价值与安全之间的弥合。对于数据的采集、加工、流通过程中的保护手段，正在形成一个供应链，其中一项新兴技术是隐私计算，这属于促进数据流通的关键技术。田天介绍说，隐私计算可以通过改变数据交互与融合的模式和形态，让数据在流通过程中实现“可用不可见”，从而处于一个安全的环境之中。

闫树也表示，谷歌、Intel等企业开创了隐私计算产业的潮流，目前，国外企业在学术研究和开源生态上也比较活跃，国内隐私计算技术也正在逐步走向成熟，一些产品在特定场景下已基本具备可用性。

目前，中国多个地方政府正在积极规划和实施技术攻关，并把隐私计算作为重点，比如应用在数据流通和共享的交易所，或者赋能数字政府和数字社会等。不过，隐私计算目前还无法解决数据流通之前和之后的权属问题和应用上的问题，未来面临更多数据方、更大数据量、更复杂的场景时，技术的性能指标仍需要优化加强。