据悉，于13届全国人大常务委员会第29次会议审议通过的《数据安全法》（全称为《中华人民共和国数据安全法》）将于二零二一年九月一日起正式开始实施。《数据安全法》一共有七章五十五条，旨在推动我国的数字建设，为我国在国际数字经济竞争环境下的发展添加助力。它是一部基本法，对我国数据安全治理体系的顶层设计和主体框架进行了明确定义。北京赛虎网络空间安全技术发展有限公司（简称赛虎网安）作为致力于信息安全人才培养和提供信息安全保障服务的专业企业，现基于权威数据就《数据安全法》进行四点归纳和亮点分享：

一、以国家总体安全为基础，确认我国数据安全治理采取的顶层设计原则

《数据安全法》以总体国家安全观为基础，清楚明了地确认了我国数据安全治理采取的顶层设计原则，即最高决策、协同治理。用以解决“数据”这类与传统国家安全风险存在极大不同的全新风险类型。具体表现为：

1、《数据安全法》第五条明确规定：由中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制，实现最高决策。

2、《数据安全法》第六条明确授权行业主管部门对本行业和领域的数据安全负监管职责，同时第二十一条和二十二条明确开展重要数据相关工作的机构和公祖婆内容，避免跨部门导致的国家数据安全隐患。——表明数据安全的风险已经不分行业和领域的渗透，对于数据安全的治理需要在各行各业之间求同存异，寻求跨部门合作，避免出现危害国家数据安全的行为。

3、《数据安全法》延续了《网络安全法》的职责授权，明确了由国家网信部门负责统筹协调网络数据安全和相关监管工作，同时公安机关、国家安全机关在各自职责范围内承担数据安全监管职责。

二、数据安全治理体系的主体框架是以风险治理为前提

1、《数据安全法》搭建的数据安全管理制度是以“数据分类分级“为基础和核心展开。第二十一条明确规定了对数据进行分类分级保护制度的重要性以及必须加强对重要数据的保护。据悉《数据安全法》曾在三审期间提出了“国家核心数据”的概念，这也为未来该法的细化预留了相关的制度接口。

2、《数据安全法》第二十二条明确规定国家建立相关的数据安全风险评估预警机制及其工作内容；第二十三条明确规定必须建立数据安全应急处置机制以及发生数据安全时间的处置措施——这都是在强化对于数据安全可能存在的风险进行全流程的应对和防范，明确了相关环节的管理要求。

3、《数据安全法》第四章规定了数据安全保护义务，明确了不同等级、不同类型的数据处理者应该承担的数据安全保护义务，并且明确了对于数据处理服务的提供者必须取得相关的行政许可，对于未来对相关市场的准入实施和监管提供了法律依据（具体法律条款不在此赘述）。

三、加强重要数据出境监管，并针对全球数据存在的竞争形式作出应对性规定

1、《数据安全法》第三十一条规定国境内外数据处理者和关键信息基础设施的运营者应该如何管理；第二十五条规定国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制——这都是在加强重要数据的出入境监管。

2、《数据安全法》第二条、第二十四条、第二十六条、第三十六条分别针对境外开展数据活动、建立安全审查制度、针对境外歧视和限制的措施、需相关组织机构审批方能进行涉外数据处理请求等，都针对目前全球激烈的数据竞争形势作出了相应的应对规定，充分参考了其他国家对外数据相关立法的适用效力和管辖权的问题。

四、加快推进《数据安全法》各项制度的配套实施，解决相关立法间的制度衔接。

1、《数据安全法》即将于2021年9月1日开始实施，但其作为一部“基本法“存在比较“”粗放“的问题，需要依靠相关的标准、法规、规章配合予以细化。例如虽然《数据安全法》规定了数据分类保护、分级保护，针对重要数据进行了目录管理、出入环境安全管理等要求，但具体要怎样实施，内容是什么并未做出详细解释，这对于法规的具体实施存在很大的影响，所以未来还需要尽快推行配套的标准、法规和规章等，将《数据安全法》进行细化指引。

2、《数据安全法》还存在着与现行的法律制度之间缺乏衔接的问题。未来，将出现《数据安全法》、《网络安全法》和即将出台的《个人信息保护法》三部法律并行的局面，这三法在制度规定上有诸多交叉，需要相关部门理清各方的适用边界，建立可以有效避免制度之间交叉而浪费监管资源和企业合规成本的优化机制。

以上为针对《数据安全法》的一些基础解读，希望对关注信息安全和数据安全的学员以及伙伴们有所提示。赛虎网安一直关注信息安全领域，作为致力于信息安全人才培训（包括CISP培训、CIIPT培训、CISAW培训等）和信息安全保障服务的企业，时刻关注信息安全行业动态，希望和小伙伴们一起努力构建更健康的网络和信息环境。