对于 数据安全 的有关规定正在不断细化。

　　目前，《网络 数据安全 管理条例》（以下简称“《条例》”）公布，据了解，其将于2025年1月1日起施行。

　　北京大成（上海）律师事务所合伙人彭凯对《中国经营报》记者表示，《条例》的位阶是行政法规，属于《 网络安全 法》、《 数据安全 法》与《个人信息保护法》的下位法，因此《条例》的“细化”“衔接”条款居多， 网络安全 、个人信息保护和重要 数据安全 等方面都有兼顾。

　　上海锦天城律师事务所律师刘广杰认为，《条例》作为网络 数据安全 领域的首部行政法规级文件，其颁发标志着我国数据领域已构建起涵盖“法律-行政法规-部门规章”的规范体系。在此之前，《 网络安全 法》、《 数据安全 法》和《个人信息保护法》这三大法律已从不同维度为网络 数据安全 构建了制度基础。《条例》则针对三部法律进行了重要补充和细化。

　　合规问题需系统化应对

　　彭凯认为，相较于2021年《条例》征求建议版本，正式版本在合规义务方面有一定“减负”。在重要 数据安全 、网络平台服务提供者义务等方面着墨较多，该两个板块对相关主体（重要数据处理者、网络平台提供者）影响较大。

　　浙江万里学院法学院副教授、宁波 知识产权 学院研究院孙梦龙表示，数据处理者需要负担更多的 数据安全 义务，这有益于建立更加规范的 数据要素 市场，实现良性的 数字经济 竞争。

　　针对《条例》对金融领域影响，孙梦龙表示，金融数据天然的公共价值要求其在数据加密方面承担更多的社会责任。在生成式 人工智能 一类大规模语料数据收集的时代环境下，金融系统需要实现数据处理者身份与数据应用者身份的统一，即实现金融数据算法的自主研发与自主应用。

　　同时，孙梦龙强调，数据处理者在数据处理方面具有算法层面的封闭性与解释层面的任意性，造成 数据安全 隐患监管难度加大。为应对系统性风险，当下的监察管理重点应聚焦于决定数据访问控制的数据接口。

　　彭凯认为，《条例》的出台，补齐了行政法规位阶的立法缺口，且没有针对特定行业作出特别规定（本身是全行业适用的），因此一些重点行业，典型如金融领域，《条例》影响有限，针对金融领域的重要数据管理、跨境管理、App监管等，过往几年已经越发加强。

　　中伦律师事务所合伙人刘新宇表示:“就实务而言，建议企业应当采取成体系的技术措施才能切实保障网络 数据安全 。而这恰恰也是《条例》颁发以前就已经存在的要求，本次《条例》的第9条实际上就是对既有要求的一次重申。”

　　刘新宇进一步表示，2017年《中华人民共和国 网络安全 法》第21条就已经提出网络运营者“应当根据 网络安全 等级保护制度的要求”履行安全保护义务。而为了履行该项义务，企业应当就所运营的网络系统开展 网络安全 等级保护测评。在测评进程中，精湛的测评机构就会全面地评价企业对网络全面的整个保护体系，并给出相应的整改建议。这样体系化的测评与整改其实比仅落实个别的措施更有价值。

　　实务难题引关注

　　在彭凯看来，实务中，有两个现状，一是“安全技术措施止步于 网络安全 等级保护”，认为等保测评与认证就能够解决自身的所有技术措施问题，二是“安全能力依赖于服务商”，认为只要采购的网络服务产品是大厂的、成熟的、市场流行的，则相应的技术措施采取都仰赖于该等产品自带。广大中小企业在这个问题上尤为明显。

　　另外，彭凯指出，当前在数据分类分级其实不是《条例》首提，在《 数据安全 法》中已经有要求，在《个人信息保护法》中亦有“个人信息分类管理”要求。

　　彭凯透露，对于分类分级保护制度，实际业务的具体做法各种各样，“表面式”的应付做法居多。从监管角度而言，数据分类分级的核心工作在于“重要数据识别”，但从企业角度而言，数据分类分级在实际业务中的工作内容包含“数据盘点”、“数据处理活动场景梳理”、“系统侧盘点”、“重要数据识别”、“敏感个人信息识别”、“数据分类分级模型确立”、“数据打标”与“数据清单制作”等，数据分类分级是一个工作量巨大且难言全覆盖的大工程项目。

　　孙梦龙指出，数据分类分级保护面临监管难题，仍需借助《 网络安全 法》《 数据安全 法》中算法公开的有关规定，和完善数据处理者对算法的解释体系。国家机关也应完善自身的算力体系建设以应对其与私企之间的算力不同。

　　刘新宇同时也表示，《条例》的发布再次提醒部分企业应当尽快开展 网络安全 等级保护测评并获取对应的 网络安全 等级保护备案证明，以弥补之前遗留的合规与安全漏洞。

　　刘新宇指出，特别需要谨防的是，对于金融领域而言，由于存储大量客户的敏感信息，因此其系统级别通常也会更高，需要实施更严格的保障措施。不推荐金融企业盲目参照其它企业或既有经验来决定如何对系统采取保障措施，最好的方案还是聘请精湛的测评机构结合系统内数据的规模与敏感水平进行全面的判断，并提供相适应的技术建议。

　　便利国际业务合作

　　本次《条例》在数据跨境传输方面也作出了一点调整。

　　刘广杰认为，此次调整有效地降低了企业在此进程中的合规成本。例如，《条例》取消了网络数据处理者提交关于数据出境年度报告的要求，同时明确了未被定性为重要数据的信息无须作为重要数据进行申报以进行数据出境安全评估。这些改进措施无疑将极大地增进数据的自由流通，为国际间的数据交换与合作提供更为便捷的通道。

　　对于数据跨境传输管理的监察管理，彭凯向记者解释道，我国在数据出境管理方面经历了宽严变化。今年3月22日出台《增进和规范数据跨境流动规定》，数据跨境传输管理迎来转机，豁免机制给企业在合规侧进行了适当且必要的减负。此次《条例》还新增了“为履行法定职责或法定义务，确需向境外提供个人信息”（该情形《增进和规范数据跨境流动规定》并未规定），体现进一步“减负”的 势头。

　　刘新宇认为，对于大多数业务场景而言，跨境传输数据的数量级与敏感水平通常都不会触发安全评估申报，因此企业可以通过相对更为快捷的认证或签署标准合同等方式满足数据跨境传输的前置条件，国际业务与合作的开展也将更为便利。

　　记者了解到，《条例》第35条还列举了一点可以直接豁免安全评估及其它前置条件的具体情形，例如订立、履行个人作为一方当事人的合约所确需，实施跨境人力资源管理所确需，履行法定职责或法定义务所确需等。

　　刘新宇认为，对于金融领域的企业而言，很多实际的业务场景都可能落入这一范畴，例如为客户提供跨境交易、转账服务，或是满足境外总部对境内机构的人力资源管理要求等。实践中金融企业基本不会为了这些即时发生的业务或管理要求逐一去完成申报流程，因此《条例》豁免这些场景下的申报义务，也避免了企业承担过重的合规负担。

　　刘新宇进一步补充道，以上的豁免与便利也是有限度的，例如《条例》第37条就明确“重要数据确需向境外提供的”就需要通过安全评估，这其实就彰显出监管职能部门在公共利益保护与便利商业活动之间的平衡考量。