关于对“滴滴出行”进行网络安全审查的有关法律问题分析

2021年7月2日，国家互联网信息办公室（以下简称“国家网信办”）发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》，停止滴滴出行新用户注册。滴滴出行回应称，将积极配合网络安全审查，并表示，“审查期间，我们将在相关部门的监督指导下，全面梳理和排查网络安全风险，持续完善网络安全体系和技术能力。”

2021年7月4日，国家网信办发布《关于下架“滴滴出行”App的通报》，通知应用商店下架“滴滴出行”App并要求滴滴出行进行整改。

2021年7月5日，国家网信办发布《网络安全审查办公室关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告》，要求以上三款应用停止新用户注册。

2021年7月10日，国家网信办对外公布了《网络安全审查办法（修订草案征求意见稿）》（以下简称修订案），公开向社会征集意见。

2021年4月13日，国家网信办、国家发改委等12个部门，联合印发了《网络安全审查办法》（以下简称“《办法》”）。作为《办法》自6月1日施行以来网络安全审查办公室的首个审查对象，国家网信办针对滴滴出行的审查、下架处理行动获得了社会广泛关注，同时开启了我国网络安全审查的新阶段。

现就“滴滴出行”被网络安全审查涉及的有关法律问题，分析如下：

一、滴滴出行为何会被网络安全审查？

    根据国家网信办发布的《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》，国家网信办“为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。”

二、什么是网络安全审查？

    根据《网络安全审查办法》第二条，“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”

网络安全审查是国家网信办针对影响或可能影响国家安全的关键基础信息设施运营者的采购网络产品和服务行为而展开的针对网络安全的审查检查行为。

三、网络安全审查的法律依据是什么？

    根据国家网信办发布的《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》显示，网络安全审查活动按照《网络安全审查办法》展开。《办法》由12家联合起草单位起草而成，为部门规章性质文件。

《办法》的上位法依据为《中华人民共和国国家安全法》与《中华人民共和国网络安全法》。以上两部法律之中，与网络安全审查工作相关的主要为《国安法》第二十五、第五十九条与《网安法》第三十一、三十四、三十五、三十九条。

《国家安全法》

第二十五条国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

第五十九条国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

《网络安全法》

第三十一条　国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第三十四条　除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

第三十五条　关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第三十九条　国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。 

四、网络安全审查工作由谁完成？

    根据《办法》第四条，在中央网络安全和信息化委员会领导下，国家网信办会同国家发改委、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

    根据《关键信息基础设施安全保护条例(征求意见稿)》第四条，国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

　　国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

　　县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。

    以上法律确立了网络安全审查工作中中央网络安全和信息化委员会的领导地位，作为工作展开的总负责部门，但不直接参与网络安全具体审核活动。具体审核制度的建立与审核活动的开展由国家互联网信息办公室主导，以上各部门联合完成。同时，根据《办法》12家联合起草单位，国家网信办、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局均参与到关键信息基础设施保护与网络安全审查的实际工作之中。

五、网络安全审查对象是谁？

    根据《网络安全审查办法》第二条，关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。因此，网络安全审查的对象为关键信息基础设施运营者及可能影响国家安全的网络行为。

根据《网安法》第三十一条，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

关键信息基础设施为国家重要行业、领域且遭破坏、丧失功能或数据泄露会对国家产生重大影响的基础设施，其具体范围由国务院制定。目前尚未出台具体关键信息基础设施认定标准。2020年9月22日，公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》要求重点行业及领域的主管、监管部门制定本行业、本领域关键信息基础设施认定规则并报公安部备案；同时，主管、监管部门应根据认定规则负责组织认定本行业、本领域关键信息基础设施，及时将认定结果通知相关设施运营者并报公安部。

国家互联网信息办公室有关负责人在就《办法》相关问题答记者问中做出相对具体的行业范围说明：“根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应当按照《办法》要求考虑申报网络安全审查。”

六、网络安全审查内容是什么？

    根据《办法》第九条及国家网信办负责人就《办法》答记者问，网络安全审查的主要内容为：网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，包括：

（1）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（2）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（3）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（4）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（5）其他可能危害关键信息基础设施安全和国家安全的因素。 

七、网络安全审查如何进行？

    根据《办法》第三条，网络安全审查采取事前审查与持续监管两种方式相结合。

（1）事前审查

    《办法》对于事前审查做出如下规定：运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。运营者申报网络安全审查，应当提交申报书、关于影响或可能影响国家安全的分析报告、采购文件、协议、拟签订的合同等、网络安全审查工作需要的其他材料。网络安全审查办公室应当自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者。

（2）事中被动审查

    网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

八、滴滴出行为何会被下架？

在安全审查过程中，由于“‘滴滴出行’App存在严重违法违规收集使用个人信息问题。”因此，“国家网信办依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。”

    通过国家网信办发布的两则公告可以得知，国家网信办根据《网络安全审查办法》对滴滴出行展开网络安全审查，并在审查中发现问题，做出下架决定。

九、因存在个人信息安全问题而下架应用程序的法律依据是什么？

《网络安全法》

第六十四条　网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

本次审查过程中，“滴滴出行”因“存在严重违法违规收集使用个人信息问题”，属于“侵害个人信息依法得到保护的权利的”。因此，国家国家网信办以在应用商店下架APP的方式责令其暂停相关业务并进行改正。

十、除了停止新注册与应用下架，安全审查还会带来什么后果？

《网络安全法》中对于违反相关规定的处罚措施如下：

第六十四条　网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

　　违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

第六十五条  关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十六条　关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

对于未通过网络安全审查的产品或服务，除产品或服务本身将被停用外，企业及负责人员将可能被处以罚款或更严重的法律责任。

十一、滴滴出行、boss直聘等为何被网络安全审查？滴滴出行为何首当其冲？

    关于此次滴滴出行受到审查发生于其在美国纽交所上市后的第三天。2021年6月30日，滴滴出行正式在纽交所挂牌上市，股票代码为“DIDI”，发行价格为每股14美元。滴滴采用VIE结构上市，实际为按照在证券交易所在地的法律成立的公司，甚至不存在和中国公司的实际控股等关系。中国股东或外国投资者在境内和境外分别成立公司，境外公司来中国设立外商独资企业，该外商独资企业通过协议控制中国公司，在无需收购境内运营实体的情况下取得境内实体经济利益。

    根据滴滴出行向美国证券交易委员会提交的招股书，在截至2021年3月31日的12个月里，滴滴全球年活跃用户为4.93亿，全球年活跃司机1500万。2020年，滴滴中国出行业务、国际业务和其他业务收入分别是1336亿元、23亿元和58亿元人民币。其业务涵盖15个国家，近4000城市，年活跃用户4.93亿人，司机人数一千五百万。滴滴出行在中国网约车领域具有绝对优势，同时其业务涉及巴士客运、货运、电商、借贷等多方面内容，成为综合型平台。

    在绝对优势的市场占有地位中，滴滴控制了大量用户信息，包括身份信息、面部识别信息、个人财产信息、行程信息、日志信息等内容。同时，作为对行程记录的信息储存，滴滴同时掌握了国内大量车辆行程信息、道路信息等涉及国家社会安全的敏感信息。

    网信办在就《办法》答记者问中说明，关键信息基础设施包括“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统”。公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》则指出重要网络和信息系统包括“基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等”。

根据网信办两份《公告》与以上标准可以推知，“滴滴出行”平台掌握大量关键信息，其在美国上市的行为可能对我国国家安全产生影响。滴滴出行对于其所掌握的信息的管理与储存方式至关重要，涉及我国国家安全。

十二、新出台的修订草案征求意见稿中出现了哪些新内容？

对比现有的《网络安全审查办法》，修订案在申报范围、机制成员单位、特别审查时间等方面都进行了重要调整。

（1）增加《数据安全法》作为立法依据及处罚依据。

（2）扩大了网络安全审查申报范围，对比过去仅要求“关键基础设施运营者”申报，修订案将“数据处理者”“影响或可能影响国家安全的”纳入审查范围。

（3）对赴境外上市公司的审查提出了新要求。修订案新增第六条：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”在申报材料中，新增要求提供拟提交的IPO材料等。

（4）在审查内容上，针对国外上市公司新增两条内容：一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；二是国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

（5）将中国证券监督管理委员会纳入网络安全审查工作组。

（6）变更申报材料及审查时间，增补申报网络安全审查应提交的材料。预备在海外上市的公司申报审查材料后，网络安全审查办公室在10个工作日内确定是否需要审查并书面通知运营者。此次修订案对特别审查程序的审查时间进行了修改，由过去的“45个工作日”改为“三个月内完成”。

十三、哪些企业属于“数据处理者”？

《民法典》在第一千零三十七条、第一千零三十八条，即第四编第六章“隐私权和个人信息保护”中提出了“信息处理者”概念，但是未对其进行定义。

《数据安全法》在第二十七条、第三十条、第三十一条中提出了“重要数据的处理者”、“其他数据处理者”概念，但也未对其进行定义。

《个人信息保护法（草案）》（第二次审议稿）在第七十二条“本法下列用语的含义：(一)个人信息处理者，是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。”中指出个人信息处理者的定义。

中国信息安全研究院副院长左晓栋称，“应当从数据安全法的实施范围出发去理解“数据处理者”。数据安全法规定，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。所有涉及数据处理活动的主体，只要影响或可能影响国家安全，都应当接受数据安全审查。从这个角度而言，修订后的网络安全审查办法的规范对象较广。审查办法的修订稿实施后，哪些企业需要补充申报网络安全审查，或者主动提起网站安全审查，需要等待政策进一步的规定。”

根据以上法律与观点，应当认为网络安全审查的对象不仅仅是关键信息基础设施运营者，只要其相关业务涉及个人信息或核心数据、重要数据的处理，若处理活动（如个人信息或核心数据、重要数据出境等）影响或可能影响国家安全，则可能会面临网络安全审查。

十四、新出台《办法》是否具有法律溯及力？对“滴滴出行”的审查是否有法律依据？

对于在未对《网络安全审查办法》进行修订前即对“滴滴出行”采取下架措施的行为，中国信息安全研究院副院长左晓栋称：“滴滴被审查之初，的确很多人猜测是因为滴滴被列为了关键信息基础设施。因为网络安全审查的启动条件是关键信息基础设施运营者采购产品和服务时可能影响国家安全。甚至为此还引发了很多“阴谋论”。事实上，这与滴滴是否被列为关基没有必然关系，因为网络安全审查的启动还有第二种条件，即网络安全审查机制成员单位认为网络产品和服务可能影响国家安全。因此，对滴滴等企业启动安全审查，法律依据是充分的。”

修订草案未明确对于未来出台的新《网络安全审查办法》生效实施时已经在国外上市的企业是否需要申报审查进行规定。但修订草案第十六条规定，“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查”。根据以上规定，相关监管部门有权对已经在国外上市的企业的数据处理活动进行网络安全审查。

因此，对于已经在国外上市的企业而言，亦需重视网络安全审查的相关规定。一方面企业需要对已发生的数据处理活动进行评估，若存在安全风险，应当及时采取补救措施；另一方面，企业未来在开展个人信息及核心处理、重要数据处理活动时，特别是涉及数据出境的，应当提前评估其安全风险，与相关监管部门保持良好沟通，履行相应的报告、评估、审查等义务，避免面临相关法律风险。

十五、网络安全审查制度体现了哪些新变化？未来会如何发展？

    《办法》的出台相比《网络产品和服务安全审查办法（试行）》（以下简称“《试行办法》”）更加注重供应链安全风险，在强调技术安全的基础上细化完善了相应规定。

《办法》的修订是为了落实《中华人民共和国数据安全法》第二十四条的要求，该条提出国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《中华人民共和国数据安全法》将在2021年9月1日实施，此次审查办法的修订，表明数据安全法进入实施前紧锣密鼓的准备阶段，法律中设立的重大制度将逐步通过法规和细则予以落实。

    随着网络安全相关法律条文的逐渐出台与施行，网络信息安全的法律依据愈发充分、完善。继滴滴出行受到审查与下架处理后，boss直聘等软件也受到审查。随着国际形势的紧张趋势与国内相关法律的完善，《数据安全法》实施后，中国将形成以《国家安全法》《网络安全法》《密码法》《数据安全法》《网络安全审查办法》等组成的网络安全审查法律体系。网络安全审查工作即将全面展开，并不断向更严密，更细致，更具体的方向发展，成为常态化运作标准，并对企业合规业务不断提出新要求。

十六、面对网络安全审查，企业应当怎么做？

    中国信息安全研究院副院长左晓栋认为：“从现在起所有的数据处理者，特别是掌握了大量个人信息数据的基础互联网服务企业，要自行组织或者委托专业机构对本企业数据处理的合规性，特别是数据处理是否可能影响国家安全，抓紧开展自评估。”

针对网络安全审查工作，企业应当首先明确自身是否属于关键信息基础设施运营者，通过和行业监管部门的沟通确认自身性质。对于属于关键信息基础设施运营者的，企业应切实履行上述法律规定的的义务，不断提升信息业务合规水平。针对自身难以确定的服务与采购项目，企业应当及时与行业监管部门及国家网信办等网络安全审查部门进行沟通，确认其活动的合法性。

（1）针对网络安全审查工作中产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险，采取网络安全等级保护测评义务，展开网络安全的风险监测与评估，进行网络数据安全培训，建立网络安全及数据安全响应机制，进行数据分类分级。

（2）对于产品和服务供应中断对关键信息基础设施业务连续性的危害，对采购或新上线的产品或服务进行安全影响评估。

（3）对于产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险，采取供应链贸易合规审查。

（4）对于产品和服务提供者遵守中国法律、行政法规、部门规章情况，完成对第三方的合规审查，通过采购文件、协议等要求产品和服务提供者配合网络安全审查。

对于在运营过程中涉及掌握大量个人信息的企业，应当做到：

（1）紧跟监管机构对个人信息保护的动态，避免收集与服务无关的个人信息，特别是敏感个人信息，不断完善用户信息保护工作。

（2）密切关注监管机构后续出台的重要数据认定标准，全面贯彻落实重要数据保护、安全风险评估、数据本地化等系列要求。系统建立数据安全影响评估制度、内部合规治理制度，对高风险数据处理活动开展事先评估，并持续开展数据合规审计工作。

（3）进一步完善网络产品和服务的供应链安全审查，通过事先供应商合规评估、协议约束、事中事后审计等方式，防范采购的网络产品和服务导致运营者系统被非法控制、干扰，数据被泄露、窃取或毁损的风险，确保其供应链安全、开放、透明、来源多样、可持续，不会受到非法控制、干扰，并可有效防范数据泄露、窃取或毁损。

（4）在向境外交易所和监管机构提供数据前，按照《数据安全法》第36条及《证券法》第177条等法律法规的规定事先征求网信办、证监会等主管部门意见，并制定内部制度明确前述要求。

（5）密切关注后续配套审查标准的出台和落地。 

十七、还有哪些与网络安全审查相关的制度？

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行。其中第二十四条对数据安全审查工作作出规定：国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

同时，《数据安全法》提出“重要数据”概念。第二十一条，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

《数据安全法》对于我国涉及国家安全的数据做出更加严格的管控，制定更为明确的境外数据提供安全评估标准，为国家数字安全管理划定更加明确的边界。数字安全与网络安全密不可分，宏观的网络安全包含数字安全。面对数字安全审查制度与重要数据分级制度、出境安全评估与管理制度的完善，企业应当不断调整自身经营方式，提升合规水平，以适应愈发清晰明确的网络信息安全法律体系。

- 武峰律师应邀参加在武汉举办的 2021年中国汽车流通行业蓝皮书论坛

- 武峰律师应邀就新修订的《行政处罚法》进行法律培训

- 北京朗诚律师事务所主任武峰律师应邀参加“2021中国汽车消费论坛”并发表演讲

- 3·15晚会第一弹：违规抓取人脸识别信息侵犯个人信息安全