• 适用范围
  
  草案的适用范围包括内、外两个方面。对内，草案第二条第一款明确在我国境内开展的数据活动适用本法；对外，草案第二条第二款赋予本法必要的域外适用效力，规定：中华人民共和国境外的组织、个人开展数据活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。
• 数据与数据活动
  
  草案第三条：数据是任何以电子或者非电子形式对信息的记录，数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为。
• 数据安全工作职责
  
  草案第六条和第七条明确了数据安全的监管单位和分工：以中央国家安全机关为统领，由中央行政各主管部门和地方行政主管部门共同参与，同时充分发挥各行业监管单位的作用，协力构建数据安全监管体系。这意味着数据安全监管的责任被分担到了各地区、各部门以及各行各业，打破了以往由公安、网安部门实际监管的局面，大大减少了两部门的监管负担，使得监管体系更加全面和合理。

实施大数据战略，制定数字经济发展规划；支持数据相关技术研发和商业创新；推进数据相关标准体系建设，促进数据安全检测评估、认证等服务的发展；培育数据交易市场；支持采取多种方式培养专业人才等，力求提升数据安全治理和数据开发利用水平，保护个人、组织与数据有关的权益，促进以数据为关键要素的数字经济发展。

对数据实行分级分类保护；建立数据安全风险评估、报告、信息共享、监测预警机制；建立数据安全应急处置机制；建立数据安全审查制度；对属于管制物项的数据实施出口管制。

（1）建立全流程数据安全管理制度；
（2）开展数据安全教育培训；
（3）建立数据及数据技术的伦理审查机制；
（4）建立风险监测和补救机制；
（5）建立面向主管部门和机关的数据协助、配合与报告机制；
（6）收集数据应当采取合法、正当的方式；
（7）数据交易所、交易平台等从事数据交易中介服务的机构应当建立完善的内控机制；
（8）大数据等专门提供在先数据处理服务的经营者应当持牌经营；
（9）重要数据的处理者还应当设立数据安全负责人和管理机构，定期开展风险评估并向主管部门报送。

首先，对政务数据的特点做出概括，即“科学性、准确性、时效性”，要求提升运用数据服务经济社会发展的能力；

其次，规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行，并落实数据安全保护责任，保障政务数据安全；

再次，对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定；

最后，要求国家机关按照规定及时准确公开政务数据，制定政务数据开放目录，构建政务数据开放平台，推动政务数据开放利用。

《草案》规定国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分级分类保护。各地区、各部门应当按照国家有关规定，确定本地区、本部门、本行业重要数据保护目录，对列入目录的数据进行重点保护。（第十九条）

《草案》未明确数据分级分类保护的具体要求，但对于重要数据的处理提出了特别的要求：

（1）重要数据的处理者应设立数据安全负责人和管理机构（第二十五条）；
（2）重要数据处理者应定期对数据活动开展风险评估，并向有关主管部门报送风险评估报告，评估报告应包含所掌握的重要数据的种类、数量、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等。（第二十八条）

对重要数据的规制由《网络安全法》于2016年首次提出，主要对关键信息基础设施运营者收集的重要数据提出数据本地化及重要数据出境安全评估的要求。此后发布的相关征求意见稿，例如《信息安全技术 数据出境安全评估指南》（征求意见稿）、《数据安全管理办法（征求意见稿）》对各类重要数据进行了列举及定义，《数据安全管理办法（征求意见稿）》对重要数据的处理也提出了相应要求。

《草案》将建立对重要数据的处理规则，体现了重要数据管理制度的不断深化。但《草案》仍未能对重要数据做出明确的定义，而是留待各地区、部门、行业出台相关清单，反映了在实践中对数据进行分类、定义的复杂性。

《草案》要求国家建立统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险管控。（第二十条）

此制度的具体内容及相关政府部门及企业的义务待未来相关配套法规。

国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。（第二十一条）

此规定如何与《突发事件应对法》等现有法规的衔接需进一步观察。

国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。（第二十二条）

《草案》未明确数据安全审查制度的具体内容。进一步的，其与现有《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》中规定的针对关键信息基础设施运营者的相关安全审查制度的关系需进一步观察。

国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制度。《出口管制法》尚在制定中，于2020年7月20日发布的《出口管制法（草案二次审议稿）》规定了对货物、技术、服务等物项的出口管制要求，并对出口管制进行了定义。

此外，《网络安全法》、《数据安全管理办法（征求意见稿）》及《个人信息出境安全评估办法（征求意见稿）》分别规定了关键信息基础设施运营者、网络运营者重要数据及个人信息的数据出境安全评估要求，但相关具体细则尚未明确。数据出口管制及数据出境安全评估制度之间的配合及衔接有待未来立法的进一步明确。

对在数据和数据开发利用技术等有关投资、贸易方面对我国采取歧视性措施的，根据实际情况采取反制措施（第二十四条）。

草案围绕重要数据保护提出了若干延伸管理要求，主要包括：

1）重要数据的处理者应当设立数据安全负责人和管理机构（第二十五条）；
2）重要数据相关活动定期开展包括重要数据的种类、数量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等在内的风险评估，并向有关主管部门发送风险评估报告（第二十八条）；
3）如果重要数据的处理活动影响或者可能影响国家安全的，应当接受国家安全审查（第二十二条）；
4）如果属于 “与履行国际义务和维护国家安全相关的属于管制物项的”重要数据的，也应当依法实施出口管制（第二十三条）。

在《民法典》以开放立法方式将数据、网络虚拟财产纳入法律保护后，草案第十七条同步关注数据交易的价值，并对从事数据交易中介服务机构提出保证数据来源合法合规及审核交易双方身份的法律要求。

在线数据处理活动会接触大量的数据，数据安全非常重要，同时，这项活动涉及数据主体权益。草案第三十一条强调专门提供在线数据处理等服务的经营者，应当按照国家电信主管部门规定，依法取得经营业务许可或者备案。同时，草案也明确了未依法办理许可或备案而从事相关业务的处罚要求。

草案将涉及数据跨境流动监管的相关要求，分散规定于不同场景条款中，主要包括如下：

1）国家积极开展数据领域国际交流合作及标准制定，促进数据跨境安全自由流动（第十条）；
2）国家对与履行国际义务和维护国家安全相关的属于管制物项的数据，依法实施出口管制（第二十三条）；
3）针对外国对中国采取的与数据活动有关的歧视性措施，可以采取相应反制措施（第二十四条）；
4）针对境外执法机构要求调取境内数据的，有关主体应向主管机关报告并获其批准后方可进行（第三十三条）

作为世界第二大数字经济体，我国始终将数字经济视为国际交流合作新重点，而数据则是数字经济发展的关键要素。为进一步推动数据跨境流动，《草案》第10条明确，国家将积极开展数据领域国际交流与合作，参与数据安全相关国际规则和标准的制定，共同促进数据跨境安全、自由流动。

伴随着数据的跨境流动，数据主权和数据安全等问题也日益凸显。在此背景下，草案首次提出数据出口管制制度，对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。数据的出口管制如何与国家安全审查及数据出境安全评估制度等制度相衔接值得我们进一步关注。

在近年来全球贸易和投资冲突加剧的背景下，草案明确规定任何国家或者地区在与数据开发利用技术等有关的投资、贸易方面对中国采取歧视性的禁止、限制或者其他类似措施的，中国可以根据实际情况对该国家或者地区采取相应的措施。

就跨境执法中的数据调取问题，2018年通过的《国际刑事司法协助法》和2019年修订的《证券法》已分别从刑事诉讼及证券业务角度，禁止境外机构在中国境内直接进行调查取证活动，并要求境内组织或个人未经同意不得向外国提供证据材料。作为数据领域的基本法，草案对境内组织及个人向境外执法机构提供数据的报批义务进行了进一步明确，原则上要求有关组织、个人应当向有关主管机关报告，获得批准后方可提供。

《国家安全法》原则性的规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现……数据的安全可控（第二十五条）。

《网络安全法》亦要求企业应履行网络安全等级保护义务，采取数据分类、重要数据备份和加密等措施（第二十一条）。

包括：《草案》规定的重要数据相关保护义务与《网络安全法》、《数据安全管理办法（征求意见稿）》中相关定义及规定的衔接；

《草案》规定的数据出口管制制度与尚在制定的《出口管制法（草案二次审议稿）》的出口管制要求及《网络安全法》、《数据安全管理办法（征求意见稿）》及《个人信息出境安全评估办法（征求意见稿）》规定的数据出境的相关要求的衔接；

《草案》规定的数据安全审查制度与《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》的关联；

草案规定的要求企业落实的数据安全管理制度、对数据活动进行的风险监测与《网络安全法》中规定的安全等级保护的相关制度的衔接。