数据安全法规定依法作出的安全审查决定为什么决定

《数据安全法》的立法沿革

2020年6月28日，第十三届全国人大常委会第二十次会议对《数据安全法（草案）》进行了初次审议。2021年4月29日，中国人大网公布了《数据安全法（草案）》的二审稿。二审稿的主要亮点在于将数据分类分级制度作为数据安全的基本核心制度，强化了等保的基础作用，提出明确数据安全负责人和管理机构的要求，明确关键信息基础设施的运营者在重要数据的出境方面的义务和责任，调整数据处理服务的资质要求，加强向涉外司法机构提供数据的监管，大幅加重不履行数据安全保护义务的法律责任及拒不配合数据调取的法律责任等。

在近日通过的最终三审稿中，与二审稿相比，主要的亮点和变化体现在明确国家机关在数据安全管理的职责和配合机制，强调对重要数据重点保护，强调智能化公共服务对老年人等的适用性，完善政务数据安全保障，并进一步加大对违法行为的处罚力度。

《数据安全法》重点条款解读

第一章 第五条　中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

第一章 第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

《数据安全法》作为数据安全领域最高位阶的专门法，与2017年6月1日起施行的《网络安全法》一起补充了《国家安全法》框架下的安全治理法律体系，更全面地保障了国家安全在各行业、各领域保障的有法可依。

就监管机构而言，国家安全机构、公安机关、网信部门、以及工业、电信、交通、金融等主管部门均有权在各自的职权范围内对数据安全进行监督和管理。因此，《数据安全法》延续了《网络安全法》生效以来的“一轴两翼多级”的监管体系。“一轴”指国家安全机关，两翼指公安机关和网信部门，多级在行业横向范围主要体现在工业、电信、交通、金融等行业主管部门的共同参与，在行政架构方面主要体现在各地区、各部门对工作中收集和产生的数据进行安全管理上。

第一章 第十条　相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。

第二章 第十六条 国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。

第二章 第十七条　国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

在数据安全技术发展日新月异的背景下，立法的要求无法完全与科技发展保持同步，行业协会、评估认证专业机构和标准化机构等组织在推动技术发展、完善合规建设和实现行业自律方面的作用得到了法律的充分认可。

为了能够及时与行业的最新发展同步、参与引领行业发展的方向，建议市场参与者积极加入有关行业协会或组织，踊跃参与行业标准的讨论，积极分享企业在安全合规建设中探索出的实践经验，并以行业最佳实践为基线实时推进企业内部的合规建设。行业协会也可作为传达行业普遍面临的难题和最新技术进展的重要媒介，积极与监管形成有益、互信的良好互动。

在评估、认证方面，专业机构可基于对行业的深度认知、在咨询过程中积累的丰富行业经验，帮助行业的新进者识别合规义务和锚定风险隐患，有针对性地提出合规改进方案和措施，帮助相关企业降低合规风险。

第二章 第十五条　国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

疫情期间基于大数据的公共服务应用得到迅速的推广，与个人生活的参与深度也得到前所未有的提升。但高龄、视障等群体由于不会使用智能手机进行付款、预约等操作而举步维艰。在防疫智能应用迅速根据疫情需要进行适老化调整后，大量其他与生活息息相关的应用仍可能将部分人群排除在智能化、数字化的生活之外。《数据安全法》将智能化公共服务满足老年人、残疾人的需求列入国家重点支持的范围之内，充分体现了国家对弱势群体需求的关注。

第三章 第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

《网络安全法》第21条首次提出了数据分类分级保护制度，《数据安全法》进一步明确了相关部门在分类分级保护和重要数据保护中的职能。《数据安全法》原则性规定了数据分类分级的依据为在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。由于不同行业、不同地区数据分类分级的具体规则和考虑因素差异巨大，《数据安全法》将重要数据具体目录和具体分类分级保护制度的制定权限下放到行业主管部门和各地区国家机关，充分平衡了法律规定的普适性和灵活性。对于市场参与者而言，我们建议首先关注《工业数据分级分类指南（试行）》、《基础电信企业数据分类分级方法》（YD/T 3813-2020）、《个人金融信息保护技术规范》（JR/T0171-2020）等行业数据分级分类的国家标准，另外也需要密切关注地方行业主管部门发布的数据分类分级目录等要求。