《中華人民共和國數據安全法（草案）》（下稱草案）近日在中國人大網結束征集意見，數據顯示，共有207人通過網站提交了651條意見。數據安全法是我國數據安全領域的基礎性法律，草案也規定了多項重要的數據安全制度。

重要數據保護目錄就是其中之一，草案第十九條第二款規定，各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要數據保護目錄，對列入目錄的數據進行重點保護。

但有業內專家認為，重要數據若交由各地自行決定，可能導致不當擴大或縮小重要數據范圍，還可能導致數據跨地區流動和處理，引發法律規避。

數據已成為重要的生產要素，數據安全法對企業、行業數據安全義務的規定，也將對市場主體帶來重大影響。但目前草案僅作出了概括性規定，專業人士認為，對于其中的新設行政許可或備案、違法后罰則的可操作性，均有待觀察和完善。

誰來認定重要數據

數據安全法對數據安全采取分級分類保護的原則。對于重要數據，草案規定：各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要數據保護目錄，對列入目錄的數據進行重點保護。

但草案沒有規定重要數據的定義和范圍，也沒有規定對“重要數據”施以“風險評估”“安全審查”“出口管制”等管理措施的明確和可操作的制度設計。

中國法學會法治研究所副研究員劉金瑞認為，草案授權“各地區、各部門”都可以制定“本地區、本部門、本行業重要數據保護目錄”，在未規定“重要數據”認定標準的情況下，有可能造成各地區、各部門各自為政，并不利于我國數據安全法治的統一。

比如，對于行業的重要數據，制定目錄或其他監管權限是由行業主管部門還是由網信管理部門行使？在今年7月舉行的一次數據安全法（草案）在線專家研討會上，中國東方航空集團總法律顧問、首席數據安全保護官郭俊秀就建議，賦予民航局承擔民航業數據安全監管的職責。

郭俊秀認為，“民航業是國家重要的戰略產業，上下游企業具有明顯的行業特征，航空公司在日常經營中要處理海量的旅客數據，對個人數據的保護需求較為突出?！?/p>

對外經濟貿易大學互聯網法治研究中心執行主任許可認為，為了避免各地自行決定重要數據保護目錄可能導致的不當擴大或縮小重要數據范圍，不妨汲取《保守國家秘密法》和《保守國家秘密法實施辦法》的經驗教訓，限制重要數據認定權授予、設置嚴格認定程序、強化認定結果監督。

為此，他建議由中央國家機關劃定重要數據的類型，各地區在上述劃定范圍內有權確定本地區重要數據目錄，在不同地區出現沖突的情況下，可上報中央網信部門決定。

“雖然不可能在法律中列舉出重要數據的具體范圍，但可以規定重要數據認定的所涉領域、依據標準、職責部門和具體程序，構建國家數據安全管理的統一制度架構?！眲⒔鹑鹫f。

罰則過低不利企業合規

數據是信息經濟的“石油”。數據安全法無疑將對企業、行業課以數據安全保障義務，如何在保護各方主體數據安全的同時，實行包容審慎監管，避免過度保護“拖累”企業備受關注。

一名企業信息安全管理人士介紹，數據安全法將給企業業務全流程的數據安全管理提出要求。未經用戶授權，不能采集或過度采集用戶信息。采集的用戶信息應通過一定的技術處理后再交給業務部門使用，確保數據專時專用，過期數據及時銷毀。

在業內專家看來，草案在這方面也存在規定較為概況的情況，相關制度設計亦有改善空間。

草案第三十一條規定，專門提供在線數據處理等服務的經營者，應當依法取得經營業務許可或者備案。具體辦法由國務院電信主管部門會同有關部門制定。

許可對21世紀經濟報道記者表示，他認為這項行政許可或備案僅針對大數據處理公司而設立，不會擴展至涉及泛數據處理業務的一般互聯網公司。

劉金瑞則認為，現行的電信條例和電信業務分類目錄里就規定了在線數據處理與交易處理業務?！安莅冈摋l款可能是把之前的規定納入數據安全法，也可能涉及新的制度，具體如何理解有待后續觀察?！?/p>

草案對數據安全主體設定了數據泄露后的報告制度。草案第二十七條規定，開展數據活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當按照規定及時告知用戶并向有關主管部門報告。

許可認為，將用戶和政府機關作為同等順位的被通知人，不但可能輕重失衡、貽誤時機，而且還將給數據處理者帶來通知重負，而用戶也可能因頻繁的通知，喪失對真正風險的警惕。他建議將網信部門作為安全事件報告的第一接收人，若用戶可能因之受損，則有權在合理期限內獲得通知。

草案還對違法行為設定了罰則，但有業內人士指出，草案目前設定的罰則較輕。草案設定了兩種罰款標準：一種是違法所得的倍數，一種是固定標準。固定標準的最高值是100萬元，最低是1萬元。

有業內人士表示，現有罰則過輕，會導致企業缺乏自我規制動力?，F實中，由于我國刑法對數據安全犯罪也設立了相關罪名，且該類型犯罪近年來成為重點打擊對象，因此現實中存在“要么坐牢、要么沒事”的現象，導致會有企業、個人鋌而走險。

該人士建議，可以適當提高違法行為的罰則，以促進企業建立良好的內部合規體系。并在約談、責令整改、罰款之外豐富處罰種類，可以考慮對違法主體在申領相關許可證照、從業禁止等方面設立限制性規定，同時引入信用懲戒機制。

責任編輯：韓希宇