9月1日，《中华人民共和国数据安全法》(以下简称《数据安全法》)正式实施，《数据安全法》以贯彻总体国家安全观的目的为出发点，以数据治理中最为重要的安全问题作为切入点，抓住了数据安全的主要矛盾和平衡点，是我国数据安全领域的一部重要基础性法律。

　　坚持总体国家安全观，是习近平新时代中国特色社会主义思想的重要内容。党的十九大明确把坚持总体国家安全观列入新时代坚持和发展中国特色社会主义基本方略，作出了完善国家安全制度体系、加强国家安全能力建设的总体部署。面对新形势新任务新挑战，必须全面贯彻落实总体国家安全观，保持清醒头脑、增强忧患意识、强化底线思维、做到居安思危，切实做好国家安全工作，坚决维护国家主权、安全、发展利益。网络安全的核心是数据安全，在数据对各领域的重要性与日俱增的同时，数据风险与数据安全问题也愈发突出，给人类和社会带来了前所未有的挑战。在此背景下，数据的保护与治理不仅关乎数据本身作为重要生产要素的开发利用与安全问题，而且与国家主权、国家安全、社会秩序、公共利益等休戚相关。因此，按照总体国家安全观的要求，制定一部数据安全领域的基础性法律十分必要。

　　《数据安全法》体现了总体国家安全观的立法目标，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置和数据安全审查等基本制度，并明确了相关主体的数据安全保护义务，这是我国首部关于数据安全的专门法律。

　　明确数据安全保护域外法律效力

　　当前，全球经贸交易、技术交流、资源分享等跨国合作日益频繁，数据跨境流动已经是无法避免的事实。如果我国的数据安全法只适用于“在中华人民共和国境内开展数据活动”的地域空间，显然是不现实的。为此，《数据安全法》第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”

　　该款中的“境外开展数据处理活动”的主体既包括位于中国境外的数据处理者，也包括位于中国境内的数据处理者，但其数据处理行为在境外，这两类数据处理者的行为只要损害了我国国家安全、公共利益以及公民和组织的合法数据权益，均由我国法律管辖，并追究法律责任。

　　实行统筹协调下的行业监管机制

　　《数据安全法》第五条明确：“中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。”这表明，《数据安全法》实行“中央国安委”统筹协调下的行业监管机制：第一，中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作；第二，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责；第三，工业、通信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责；第四，公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责；第五，国家网信部门依照《数据安全法》和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

　　促进以数据为关键要素的数字经济发展

　　《数据安全法》第七条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”数据作为生产要素由市场评价贡献、按贡献决定报酬，这是党的十九届四中全会首次提出的一项重大产权创新制度。目前，各类网络平台，尤其是超级网络平台通过自身营造的网络生态系统，将网络公共空间的数据当作一种私权，不利于数据要素市场的构建。因此，《数据安全法》明确提出“国家保护个人、组织与数据有关的权益”，这里的“权益”指公民和法人受法律保护的与数据有关的权利和利益，在个人和组织与数据有关的权益得到充分保护的基础上，依法推动数据合理有效利用和依法有序流动。

　　建立数据分类分级保护制度

　　《数据安全法》第二十一条规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”

　　《数据安全法》中的“数据分类分级”，采用了数据“重要程度﹢危害程度”的立法手段，对数据实行分类分级保护，特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为“国家核心数据”，实行更加严格的管理制度。《数据安全法》从国家层面提出了数据分类分级，是确定数据保护和利用之间平衡点的一个重要依据，为政务数据、企业数据、工业数据和个人数据的保护奠定了法律基础。

　　《数据安全法》没有给出“重要数据”的定义，而是通过“制定重要数据目录”的形式确定“重要数据”。实践中，“重要数据”按照行业划分很难体现其“重要性”，因此一般不采用按行业划分的方式，而是从维护国家安全的高度，按照数据的重要程度进行分级，并通过国家制定的“重要数据目录”明确“重要数据”的名称和类别，“重要数据目录”应当适时进行更新。

　　建立数据安全审查制度

　　“国家安全审查”是《国家安全法》最先确立的一项国家安全审查与监管制度。根据《国家安全法》第五十九条规定：“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。”

　　数据安全审查制度与网络安全审查是依法确立的国家安全审查制度中两项重要的安全审查制度。《数据安全法》第二十四条规定：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”《网络安全法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

　　《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度相辅相成，交叉适用，但两者在审查的具体对象上侧重点不同，前者的审查对象主要侧重于影响或者可能影响国家安全的数据处理活动，数据处理活动包括：数据的收集、存储、使用、加工、传输、提供、公开等；后者的审查对象主要针对关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的情形，这里的“影响国家安全的情形”本身就涵盖了数据安全的内容。

　　建立数据安全应急处置机制