聽(tīng)朋友圈說，最近法律界有一件大(dà)事發生：作爲我國數據安全領域内的(de)“基本法”——《中華人(rén)民共和(hé)國數據安全法》（以下(xià)簡稱爲《數據安全法》）正式頒布了(le)，并将于2021年9月(yuè)1日正式實施。

在數字信息技術急速發展的(de)大(dà)背景之下(xià)，《數據安全法》既是應對(duì)國内數字經濟發展過程中與日俱增的(de)數據安全隐患爲個(gè)人(rén)和(hé)機構的(de)合法權益所帶來(lái)的(de)威脅的(de)綱領，也(yě)是保護我國在全球數據主權競争過程中隐藏在數據安全之下(xià)的(de)國家安全與利益的(de)利器。

“這(zhè)麽高(gāo)大(dà)上的(de)内容，與我們這(zhè)些平平無奇的(de)公益機構大(dà)概是沒什(shén)麽關系吧？”

“是不是隻有DD這(zhè)樣的(de)大(dà)機構，才适用(yòng)《數據安全法》呀？”

先别著(zhe)急下(xià)結論，做(zuò)一個(gè)小測試來(lái)判斷一下(xià)。

1. 機構的(de)業務活動是否會涉及一些實地考察、訪談或問卷等形式的(de)調研工作？
2. 機構的(de)業務活動中是否會涉及研究報告等含有數據内容的(de)産出？
3. 機構日常運營中是否會用(yòng)到自己的(de)理(lǐ)事、監事、員(yuán)工、實習(xí)生等人(rén)員(yuán)的(de)姓名、年齡、聯系信息等個(gè)人(rén)信息？
4. 機構日常運營中是否會用(yòng)到自己的(de)捐贈人(rén)、受益人(rén)、志願者等人(rén)員(yuán)的(de)姓名、年齡、聯系信息等個(gè)人(rén)信息？
5. 機構的(de)官網、公衆号、微博等線上平台是否載有各種有關項目、捐贈或者平台用(yòng)戶的(de)相關信息？

隻要上述問題中有一個(gè)問題的(de)答(dá)案是肯定的(de)，那麽機構的(de)工作很可(kě)能就屬于到《數據安全法》所規制的(de)内容了(le)。

01 與衆多(duō)法律法規和(hé)國際條約交叉或銜接

《數據安全法》雖然重要，但并不是我國出台的(de)第一部與數據相關的(de)法律法規文件。在此之前，已經陸陸續續出台了(le)一些法律法規、規範性文件、和(hé)其配套的(de)法規制度等。而對(duì)于數據安全合規的(de)把控需要結合整個(gè)法律環境，隻依據《數據安全法》一部法律是完全不夠的(de)。下(xià)表是對(duì)數據安全相關法律法規和(hé)國際條約的(de)梳理(lǐ)。

表1

02 适用(yòng)範圍廣、且含有必要的(de)境外适用(yòng)空間

機構是否成立在中國境内、機構的(de)數據相關活動是否在中國境内開展等都不是判斷是否适用(yòng)《數據安全法》的(de)标準。因爲從境内角度來(lái)說，《數據安全法》是以數據的(de)處理(lǐ)和(hé)安全監管這(zhè)兩種行爲爲規制對(duì)象的(de)；而從境外角度來(lái)說，它是以行爲後果爲觸發條件的(de)。也(yě)就是說，境内的(de)任何數據處理(lǐ)和(hé)安全監管行爲均受《數據安全法》管轄，一些數據處理(lǐ)行爲，即使是在境外發生的(de)，但若損害到我國國家安全、公共利益、公民或組織合法權益的(de)數據處理(lǐ)，則也(yě)受《數據安全法》管轄。

同時(shí)，這(zhè)裏的(de)數據包括以任何形式記錄的(de)任何信息，處理(lǐ)則包括了(le)收集、存儲、使用(yòng)、加工、傳輸、提供、公開等各種行爲。

03 實行數據的(de)分(fēn)類分(fēn)級管理(lǐ)

不隻是《數據安全法》，在此之前出台的(de)《網絡安全法》等有關數據安全的(de)法律中，也(yě)強調了(le)對(duì)數據進行分(fēn)類等級管理(lǐ)和(hé)保護的(de)有效數據治理(lǐ)原則。根據目前的(de)法律規定，數據的(de)分(fēn)類分(fēn)級包括兩種：法定分(fēn)類分(fēn)級和(hé)機構自行分(fēn)類分(fēn)級。

1. 法定分(fēn)類分(fēn)級

法定的(de)分(fēn)類分(fēn)級是法律直接規定的(de)數據種類和(hé)級别，不允許機構進行更改。目前數據的(de)法定分(fēn)類分(fēn)級包括以下(xià)幾種：

表2

2. 機構自行分(fēn)類分(fēn)級

對(duì)于無法歸類到上述法定分(fēn)類分(fēn)級中的(de)數據信息，機構可(kě)以參照(zhào)其在經濟社會發展中的(de)重要程度以及遭到篡改、破壞、洩露或非法利用(yòng)後可(kě)能造成的(de)危害程度自行分(fēn)類和(hé)分(fēn)級。

04 限制特殊數據跨境流動

促進數據跨境流動的(de)安全與自由是《數據安全法》确定的(de)原則，因此在鼓勵一般數據跨境流動的(de)基礎上，《數據安全法》對(duì)部分(fēn)特殊數據的(de)跨境流動設置了(le)一定的(de)限制和(hé)監管措施，主要可(kě)分(fēn)爲以下(xià)幾類：

表3

05 強調數據交易及市場(chǎng)秩序的(de)合規性

1. 對(duì)于數據處理(lǐ)服務的(de)資質要求

部分(fēn)數據處理(lǐ)服務需依法取得(de)許可(kě)證後才可(kě)提供[14]，例如增值電信業務經營許可(kě)證、在線數據處理(lǐ)與交易處理(lǐ)業務經營許可(kě)證、網絡文化(huà)經營許可(kě)證、互聯網藥品信息服務資格證、涉外調查許可(kě)證等。

2. 對(duì)于數據交易中介服務機構的(de)責任要求

《數據安全法》明(míng)确規定了(le)對(duì)接數據買方和(hé)賣方的(de)中介機構需要負責的(de)工作内容，包括要求數據提供方說明(míng)數據來(lái)源、審核交易雙方的(de)身份、留存審核和(hé)交易記錄。[15]

3. 禁止不正當競争和(hé)壟斷行爲

繼2020年初的(de)《<反垄断法>修訂草(cǎo)案（公開征求意見稿）》和(hé)《國務院反壟斷委員(yuán)會關于平台經濟領域的(de)反壟斷指南(nán)》對(duì)有關互聯網這(zhè)一數據市場(chǎng)平台的(de)反壟斷規則進行規定後，《數據安全法》也(yě)強調了(le)不得(de)通(tōng)過非法方式獲取數據或開展其它數據處理(lǐ)活動來(lái)排除和(hé)限制競争。

06 強調對(duì)其他(tā)國家的(de)反制措施

從一定角度來(lái)看，《數據安全法》同時(shí)也(yě)是中國家對(duì)于國際間數據主權競争的(de)一個(gè)正面回應。這(zhè)不僅體現在法律起草(cǎo)和(hé)出台的(de)時(shí)間與背景環境，還(hái)體現在法律正文中對(duì)于反制措施的(de)明(míng)确規定，即如果其他(tā)國家和(hé)地區(qū)在與數據和(hé)數據開發利用(yòng)技術等有關的(de)投資、貿易等方面對(duì)中國采取歧視性措施，中國可(kě)以視情況采取反制措施。[16]而配合我國于今年6月(yuè)10日出台和(hé)生效的(de)《反外國制裁法》，反制措施包括了(le)不予簽發簽證、不準入境、注銷簽證或者驅逐出境；查封、扣押、凍結在我國境内的(de)動産、不動産和(hé)其他(tā)各類财産；禁止或者限制我國境内的(de)組織、個(gè)人(rén)與其進行有關交易、合作等。

如今距離《數據安全法》生效已經不足兩個(gè)月(yuè)，公益機構應當如何來(lái)準備相應的(de)合規工作呢(ne)？我們準備了(le)一份To do list供大(dà)家參考。

Step 1-進行機構數據盤點，并建立分(fēn)類分(fēn)級制度

（1）将機構以往所有行政管理(lǐ)和(hé)業務活動所涉及到的(de)所有數據（以下(xià)簡稱爲“曆史數據”）進行彙集。

（2）梳理(lǐ)曆史數據，并在這(zhè)一過程中了(le)解機構運營所涉及到的(de)數據類型、來(lái)源、使用(yòng)方式、使用(yòng)範圍、使用(yòng)平台、存儲方法、存儲地點、銷毀方法等基本信息。同時(shí)根據所了(le)解到的(de)信息，按照(zhào)前文第三部分(fēn)“實行數據的(de)分(fēn)類分(fēn)級管理(lǐ)”中所列出的(de)類别對(duì)曆史數據進行分(fēn)類，并記錄下(xià)所分(fēn)的(de)類别。

（3）根據機構的(de)業務範圍和(hé)近期的(de)戰略計劃，檢查記錄的(de)分(fēn)類類别是否有需要删除或增加的(de)，确認最終版本的(de)機構數據分(fēn)類。

（4）根據最終版本的(de)機構數據分(fēn)類制定“機構數據分(fēn)類制度或指南(nán)”，在其中明(míng)确規定機構數據分(fēn)爲哪幾類、各類别的(de)定義和(hé)界定方法、數據分(fēn)類和(hé)統計的(de)負責人(rén)等。

Step 2-建立常态化(huà)、全流程的(de)數據管理(lǐ)措施

（1）在完成數據分(fēn)級分(fēn)類制度或指南(nán)的(de)基礎上，結合數據的(de)分(fēn)類和(hé)分(fēn)級搭建機構内部常态化(huà)和(hé)貫穿數據全生命周期的(de)數據安全管理(lǐ)制度。該制度既要覆蓋數據的(de)收集、存儲、使用(yòng)、加工、傳輸、提供、公開等各個(gè)環節，同時(shí)還(hái)要爲不同級别和(hé)種類的(de)數據匹配差異化(huà)的(de)管理(lǐ)措施，以确保各類數據的(de)合規要求可(kě)以滿足。

（2）采納機構業務所涉及的(de)行業通(tōng)行的(de)數據安全技術措施，确保滿足該行業内容相關技術标準和(hé)組織管理(lǐ)标準。

（3）機構内部應當定期或不定期地組織開展數據安全教育培訓活動

Step 3-建立特定場(chǎng)景的(de)數據管理(lǐ)措施

（1）數據出境

首先，建立出境數據的(de)内部識别審查流程機制和(hé)安全評估制度。審查和(hé)安全評估的(de)重點主要集中在以下(xià)幾個(gè)方面：數據出境的(de)必要性和(hé)成本；數據的(de)類型是否屬于有法定出境限制的(de)數據；數據接收方的(de)安全保護措施、能力和(hé)水(shuǐ)平，以及所在國家和(hé)地區(qū)的(de)網絡安全環境等；數據出境及再轉移後被洩露、毀損、篡改、濫用(yòng)等風險；數據出境及出境數據彙聚可(kě)能對(duì)國家安全、社會公共利益、個(gè)人(rén)合法利益帶來(lái)的(de)風險等。

其次，在上述審查和(hé)評估基礎上，對(duì)是否出境進行決策。可(kě)考慮将數據出境作爲機構“重大(dà)事件”之一，必須經理(lǐ)事會2/3以上投票(piào)通(tōng)過方可(kě)執行。同時(shí)，根據各地方規定或機構自身的(de)登記管理(lǐ)機關和(hé)業務主管單位要求需要就此涉外事項進行重大(dà)事項報告的(de)，應當按要求進行審批或報備。

最後，在執行數據出境時(shí)，應當與數據接收方就數據的(de)安全等事項簽訂協議(yì)，并監督對(duì)方按約定履行相關義務。如遇到任何問題或風險，應及時(shí)向相關部門報告。

（2）數據安全事件

加強風險檢測，并提前制定在發現數據安全缺陷、漏洞時(shí)應當采取的(de)處理(lǐ)方式、補救措施、人(rén)員(yuán)責任，以及相應的(de)向主管部門和(hé)所涉第三人(rén)進行報告的(de)相關操作。

Step 4-調整合作策略

（1）篩選合作對(duì)象。開展涉及到數據内容項目時(shí)，機構對(duì)于合作對(duì)象的(de)盡職調查和(hé)篩選标準應當增加以下(xià)内容：

– 對(duì)方是否爲具有較高(gāo)數據合規義務的(de)主體，如國家核心數據運營者、關鍵信息基礎設施運營者、重要數據運營者、或者其他(tā)有關對(duì)于經濟社會發展非常重要以及對(duì)國家安全、公共利益、個(gè)人(rén)和(hé)組織合法權益有重大(dà)影(yǐng)響的(de)數據運營者。

– 對(duì)方是否爲需要相應資質的(de)數據服務提供者，以及對(duì)方是否獲得(de)了(le)相應的(de)資質或許可(kě)證。

– 對(duì)方是否擁有完善的(de)數據安全管理(lǐ)制度和(hé)措施。

– 對(duì)方是否爲境外非政府組織或其他(tā)含有涉外因素的(de)機構或個(gè)人(rén)。

（2）篩選合作項目或調整合作内容。開展涉及到數據内容項目時(shí)，機構應當考慮該項目所涉及的(de)數據合規風險和(hé)成本來(lái)決定是否執行該項目，或對(duì)該項目的(de)内容進行調整。考量的(de)角度包括：

– 項目涉及的(de)數據中屬于具有較高(gāo)合規要求的(de)數據數量和(hé)比例，如國家核心數據、關鍵信息基礎設施運營者在境内收集和(hé)産生的(de)重要數據、一般重要數據、出口管制物(wù)品數據。敏感個(gè)人(rén)信息、未成年人(rén)信息等。

– 數據的(de)來(lái)源是否透明(míng)且合法。

– 數據可(kě)否存儲在境内，是否需要跨境。

（3）修改合作協議(yì)。

機構應當針對(duì)不同的(de)合作對(duì)象和(hé)合作内容所涉及的(de)數據類型，制定不同的(de)有關數據處理(lǐ)的(de)協議(yì)條款，加入到目前的(de)合作協議(yì)模闆中。

Step 5-注意相關配套規定和(hé)行業标準的(de)出台及更新

目前《數據安全法》剛剛出台，其他(tā)相關的(de)法律法規和(hé)配套規定仍在征求意見或制定當中。建議(yì)各機構對(duì)此以及自己業務所屬的(de)行業标準等多(duō)加關注，及時(shí)了(le)解和(hé)學習(xí)新的(de)要求，并據此對(duì)内部規章(zhāng)制度作出調整。