《数据安全法》逐条详细解读之总则（5-8条）

1、数据安全法逐条详细解读之总则（5-8条）汇报人：XXX汇报时间：2022年X月目录CONTENTS五国家数据安全工作协调机制六地方和部门层面数据安全职责七权益保护与促进利用原则八数据处理者的基本义务五、国家数据安全工作协调机制 第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。本条的规范对象是中央国家安全领导机构在数据安全工作中的责任定位。本条与第6条一起，构建了我国国家、地方、行业层面的数据安全责任体系，本条是关于在中央层面建立数据安全工作协调机制的规

2、定。明确了中央国家安全领导机构对数据安全工作进行决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调重大事情和重要工作，建立国家数据安全工作协调机制四个方面的职责定位。本条确定了数据安全事权在中央的原则，国家数据安全工作由中央国家安全领导机构决策和协调，体现了数据安全是国家安全的一部分，数据安全法是广义的国家安全法体系的一部分。2020年9月我国在“抓住数字机遇，共谋合作发展”国际研讨会上提出全球数据安全倡议，指出全球数据爆发增长，海量聚集,成为实现创新发展、重塑人们生活的重要力量，事关各国安全与经济社会发展。由中央国家安全领导机构负责数据安全工作的决策和议事协调、国

3、家数据安全战略的制定和指导实施、统筹建立国家数据安全工作协调机制说明我国从国家安全战略的高度统筹规划数据安全问题，数据安全已经成为总体国家安全的重要组成部分。制定出台数据安全法就是以法治加强数据安全保护，贯彻整体国家安全观的重要举措。具体到数据安全领域，根据数据安全法第4条规定，维护数据安全应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。由中央国家安全领导机构统筹和协调国家数据安全战略、政策和工作是完善我国数据安全治理体系的顶层制度设计。信息安全是总体国家安全的重要组成部分。数据安全涉及多政府部门、互联网企业、数据交易平台、信息处理者等多个主体，需要建立多方主体共同参与

4、的协调机制。数据安全法第9条也指出，国家支持推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。因此，本条规定了中央国家安全领导机构在数据安全工作中的决策和统筹协调的职能，提高数据安全治理的整体水平，明确了中央国家安全领导机构统一部署、狠抓落实的工作重点。同时，数据安全是国家战略之一，数据安全工作需要国家战略和方针政策的原则指引，数据安全治理的规则体系应当由国家数据安全战略、数据安全政策、数据安全法，以及其他实施细则、行业和技术标准等组成。完善数据安全战略和数据安全政策，才能为进一步推进国家数据安全工作提供原则和指引。六、地方

5、和部门层面数据安全职责 第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。本条规范的对象是地方和部门层面数据安全职责的条、块划分。本条规定了各地区、各部门、各行业主管部门的数据安全保护责任和数据安全监管责任两类数据安全责任。本条与第5条一起，构建了我国中央层面和地方、部门层面的国家

6、数据安全责任体系，即在中央国家安全领导机构的决策和议事协调机制之下，规定各地区、各主管部门的数据安全责任，形成了国家数据安全工作协调机制。本条第1款是对各地区、各部门所承担的数据安全责任的整体上的条块划分。第2款、第3款、第4 款则分别规定了比较重要领域的政府主管部门的数据安全监管责任，是不完全列举。对不能被第2款、第 3款、第4款涵盖的情形，则适用第1款的总体性规定。本条第1款是关于地区和部门数据安全总则性条款，规定了各地区、各部门需要对工作中产生和收集的数据及数据安全负责。该款简单概括地规定了中央机制之下，地区和部门的数据安全责任机制。从责任主体上看，包括各地区和各部门的责任主体，形成条、

7、块责任的划分。从适用对象上看，包括各责任主体在工作中所产生和收集的数据。从责任内容上看，包括对数据的责任和对数据安全的责任。对数据的责任是指责任主体对工作中所产生和收集数据的安全保护责任，关联数据安全法第四章的数据安全保护义务，对数据安全的责任则是指各地区、各部门对隶属干本地区、本部门管辖的数据处理活动承担数据安全的监管责任，体现了我国数据安全监管责任的条、块划分。因此，该条款实际上包含了各地区、各部门的数据安全保护义务和数据安全监管责任。七、权益保护与促进利用原则 第七条 国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发

8、展。（一）国家保护个人、组织与数据有关的权益。尽管保护国家安全是我国的数据安全法的首要立法目的，但是，数据安全法的保护对象并不仅限于国家安全，个人和组织的与数据相关的权益亦是立法的保护对象。民法典规定了自然人、法人和其他组织所享有的各项民事权利和利益。其在总则编的第五章“民事权利”中明确认可了“数据”亦可为民事权益的客体。目前我国数据安全法第7条采取的个人、组织与数据有关的权益表述，其含义非常宽泛，既包括与数据有关的各类民事权利，亦包括各类法益，即受法律保护的利益。（二）鼓励数据依法合理有效利用。我国的数据安全法以保护数据安全为宗旨，但是，这绝不意味着因噎废食、禁止从事各类数据利用活动，而是坚

9、持保障数据安全与促进数据开发利用并重的原则，通过规范数据处理活动，实现数据利用过程中的数据安全。这意味着对数据的开发利用必须坚持依法与合理利用的原则。数据安全法进行具体制度设计时，为了兼顾数据安全和数据的开发利用，立法者采取了对数据进行分级分类管理的制度，通过对不同类型的数据设置不同的管理要求，努力实现安全与发展之间的平衡。为了促进数据开发利用，数据安全法规定了许多制度措施，如明确提出国家实施大数据战略，推进数据基础设施建设；要求有关部门组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准；建立健全数据交易管理制度和培育数据交易市场；国家支持教育、科研机构和企业等开展数据开发利用技术

10、和数据安全相关教育和培训，促进人才交流，等等。（三）保障数据依法有序自由流动。数据安全法鼓励对数据的有效利用，就必然会涉及数据的流动。只有允许数据的流动，才能够体现数据的价值，才能够真正实现对数据的有效利用，然而，数据的流动会涉及多方利益，并会产生数据安全方面的风险。1.数据流动须依法进行，不得非法提供、非法传输或非法交易数据，不得损害个人和组织的合法权益，不得危害国家安全。数据流动可区分为境内流动和跨境流动，其分别适用不同的法律规则。对于重要数据和非重要数据，因其安全风险水平有差异而在流动时所受到的法律限制亦有所不同。2.数据流动应有序进行，特别是重要数据、国家核心数据的流动，需要依法进行风

11、险评估和安全审查。从事数据交易中介服务的机构应当尽到依法审核的义务。3.除法律、法规外，各地方政府、各部门不得为数据流动设置各种限制和障碍。4.促进以数据为关键要素的数字经济发展。数字经济已成为引领经济发展的新引擎，而数据系数字经济的关键要素，这已成为全社会的共识，数据安全法通过建立一套完整的保障数据安全的制度框架，引导各方主体在这一制度框架内进行数据开发利用和有序流动，以此来促进数字经济的发展。八、数据处理者的基本义务 第八条 开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个

12、人、组织的合法权益。（一）数据处理者应当遵守法律、法规。法律、行政法规是对全体社会成员具有普遍的强制约束力的行为规范。数据处理活动应当在法律、行政法规规定的范围内，保证数据处理活动的合法性。数据处理活动则正面规定“遵守法律、法规”的义务，意味着数据处理活动是受到法律、行政法规严格监管的活动领域，应当严格依照法律、法规的规定开展，甚至暗含数据处理活动“法无规定则不可行”的特点。本条最后“不得危害国家安全、公共利益，不得损害个人、组织的合法权益”实际上属于“遵守法律、法规”的“限制性”同等表述，前者具体落实到了法律规范中的合法权利和利益的保护层面。（二）数据处理者应当尊重社会公德和伦理。数据伦理在

13、规范数据处理活动中占据重要的地位。究其原因在于，数据处理活动，尤其是伴随着人工智能发展的自动化数据处理，具有极高的专业性、技术性和黑箱特点，通过法律的外部监管往往难以打破黑箱，单独形成有效的技术监管效果，因此，对数据处理活动的政府监管需要行业自律和数据处理者自我监管的配合。在形成技术自律的过程中，技术伦理、数据伦理是除了法律之外最为重要的自律规则渊源。伦理规则往往能够起到法律规则所不具有的软法向善的治理效果，且当法律基于利益平衡的考量，往往仅规定最低的技术和价值标准时，伦理规则则可以倡议最高的道德和伦理要求，要求数据处理者自愿、尽最大努力去遵守。（三）数据处理者应当遵守商业道德和职业道德，诚实

14、守信。诚实信用是民事活动的基本原则之一，且是限制性原则。诚信原则要求民事主体秉持诚实，恪守诺言，尽最大的善意从事民事活动，特别是在合同缔约和履行过程中，应当合理确定双方的权利和义务，诚实行事，不欺不诈，自觉履行。针对商业性的数据处理活动，数据处理者也应当尊重现代民法上的这一“帝王条款”。（四）数据处理者应当履行数据安全保护义务。数据安全保护义务的制度体系是实现数据安全法立法目的的核心制度。数据安全保护义务在数据安全法中独立成章，本法第四章是数据安全保护义务的具体制度展开。如果说本法第三章数据安全制度是直接体现国家承担的积极保护数据安全的国家义务，那么，数据安全保护义务的制度则间接体现了国家履行积极保护数据安全这一国家义务。数据安全保护义务作为一种公法私法化的转介性义务，实现了国家通过向数据处理者施加数据安