数据安全法草案 二审稿

明确由国家建立数据分类分级保护制度，确定重要数据目录，加强对重要数据的保护；各地区、各部门按照规定确定本地区、本部门以及相关行业、领域的重要数据具体目录。

4月26日，数据安全法草案二审稿提请十三届全国人大常委会第二十八次会议审议。草案二审稿拟规定未经批准向境外司法或执法机构提供数据最高将被罚100万元。有专家表示，很多国家对于数据的跨境调取有相应的规则设计。从目前来看，这一点是各国在尊重主权原则下的一个普遍选择。

主要从国家安全角度出发

随着各国之间数据资源竞争愈发激烈，数据主权成为各方博弈的焦点。

南都记者注意到，草案一审稿规定，境外执法机构要求调取境内的数据的，获得有关主管机关批准后方可提供。草案二审稿增加规定，未经主管机关批准向境外的司法或者执法机构提供数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处二万元以上二十万元以下罚款。

华东政法大学教授高富平介绍，新增的此条规定是公法领域的一个规范，主要从国家安全的角度出发。他举例表示，美国“云法案”规定，只要是美国公司控制的企业，有义务配合执法部门提供其控制范围的全球范围内的数据。

也就是说，美国执法部门要求苹果公司提供存储在中国境内的数据，苹果必须配合。而按照草案二审稿的新增规定，苹果提供存储在中国境内的数据，必须经过相关主管部门的同意，向中国政府报备，否则将被罚款。

对于处罚力度，北京师范大学网络法治国际中心执行主任、博导、中国互联网协会研究中心副主任吴沈括认为还是比较适中和克制的，“包括美国的‘云法案’在内，很多国家对于数据的跨境调取都有相应的规则设计。从目前来看，这一点是各国在尊重主权原则下的一个普遍选择。”

由国家确定重要数据目录，加强保护

草案一审稿第十九条规定：各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。

“上述条款虽未明确‘重要数据’的内涵和外延，但其从程序角度确立了‘重要数据’的认定主体。”对外经济贸易大学互联网法治研究中心执行主任许可表示，“重要数据”一般具有攸关国家安全的高度敏感性和自身特有的流动性，若将其交由各地自行决定，不仅可能不当扩大或缩小重要数据范围，还可能导致数据跨地区流动和处理，引发法律规避。

南都记者注意到，草案二审稿作出修改，明确由国家建立数据分类分级保护制度，确定重要数据目录，加强对重要数据的保护；各地区、各部门按照规定确定本地区、本部门以及相关行业、领域的重要数据具体目录。

“这是一个比较好的修改。”许可还提醒，在数据快速迭代和爆发式增长的情况下，难以划定重要数据的范围，穷举所有的重要数据。他建议对中央国家机关划定的重要数据类型建立更新机制。同时，还建议建立协调机制，解决不同地区的重要数据目录出现冲突的问题。