?《數據安全法》自2021年9月1日實施已經一周年，這一年的變化有目共睹。數據處理活動開始有規可循，數據安全得到更多保障，數據開發利用更加規范，個人和組織更加具有數據安全意識，企業安全建設越來越完善，政務數據越來越開放。

數據安全和數字經濟密不可分。數據顯示，2017年到2021年，我國數字經濟規模從27.2萬億元增至45.5萬億元，總量排名世界第二，年均復合增長率達13.6%。數字經濟在提升市場效率的同時，也帶來了數據安全問題。再加上如今遠程網課、居家辦公的需求迅猛增長，網絡環境愈加開放和多元也暗含著風險因素增加。

在《數據安全法》實施的這一年中，我們看到了幾個趨勢，首先企業數據安全建設工作面臨挑戰，法規和技術落地之間存在實踐難點；其次是數據經紀開始興起，數據流通加快的同時也面臨一些隱私邊界界定問題；最后是各地政務數據開放趨勢加快，越來越多的政府部門開始對外開放數據，但其中目前相對還處于粗放式開放階段，有待進一步發展。

企業數據安全建設挑戰

在企業數據安全建設中，數據分級制度、數據合規、數據保護、數據備份、數據存儲、數據容災等等，需要部署和落地的環節很多。7月，互聯網出行巨頭滴滴的網絡安全審查案剛剛靴子落地，以處罰80.26億元人民幣結束，也給其他企業的數據安全和數據出境工作敲響警鐘。

但目前企業數據安全面臨的問題是，從法律到技術落地之間缺少細則。在實際業務層面，法律的合規要求如何落實在技術中，應用何種技術既能滿足合規要求，又能減少對業務的影響，是企業在實際操作中遇到的難點。

騰訊安全數據安全專家謝燦在接受媒體采訪時表示，除了技術問題，企業還面臨的還包括法律規范的解讀、數據安全組織、流程制度、技術規范和落地、監測處置、能力評估各個層面的建設和落地。

螞蟻集團副總裁兼首席技術安全官韋韜曾對36氪表示，相關法律實施近一年，行業對安全的投入依然有巨大缺口。不少企業把數字化系統應用得相當廣泛，但往往能看到他們專業安全團隊的建設滯后。他表示，“一些企業買了安全產品，有了安全報警，卻沒人管，這不在少數。“

數據經紀開始興起

數據經紀（data broker）在國外發展成熟，是成熟的數據交易產業鏈中的重要一環，極大地促進數據交易、發揮數據作用。數據交易除了數據提供方、使用方、交易平臺，還需要數據撮合、加工、評估、定價、存儲及交付的主體，也就是數據經紀商。

但數據是一把雙刃劍，數據流通可以帶來便利，但理想的數據流通應該建立在數據分級情況下，核心敏感數據需要脫敏處理以保護用戶的信息安全。2022年9月，美國最大的數據服務商之一Kochava，被美國聯邦貿易委員會起訴，稱其過度收集隱私信息、出售數億手機設備的地理位置數據，威脅公民人身安全。

回看國內情況，由于此前在法律上無法清晰界定數據權利邊界，數據交易活動徘徊不前。《數據安全法》明確要完善數據交易管理制度，促進數據流動。第十九條規定，國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。

數據經紀商從用戶的智能手機上收集精確數據，包括手機位置、時間標記、經緯度作標、設備ID、IP地址、設備類型等，處理打包轉售給客戶，客戶利用這些數據來進行精準營銷。但在這些環節，需要法律約束，以防出現上述侵犯用戶隱私的行為。

2021年11月，上海提出“數據服務商”體系，包括數據交易主體、數據合規咨詢、質量評估、資產評估、交付等環節。2022年1月，北京國際大數據交易所提出了“數字經濟中介產業體系”。其他各地也陸續推出數據經紀服務，但目前的數據經紀市場仍處于起步階段，后續在《數據安全法》的驅動下，其發展值得期待。

政務數據愈發開放

《數據安全法》的亮點之一，是在中央立法層面對政務數據安全和數據開放做出明確規定。在本法施行之前，我國政務數據的開放處于各自摸索狀態，各地、各部門發展進度不一、發展不平衡，一些走在前列的省市通過立法對政務數據開放做出規定，但尚無全國范圍內的統一法律。還存在部分部門，出于數據安全問責壓力，對政務數據開放存在顧慮缺乏動力。

政務數據安全和開放在《數據安全法》中單獨占據一個章節， 第三十九條規定，國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。

上述兩條法規旨在規范數據政務數據安全，對于政務數據公開，該法也做出相應要求。第四十一條規定，國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外。第四十二條規定，國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用。

根據復旦大學數字與移動治理實驗室的《中國地方政府數據開放報告》（2021年度），截至 2021 年 10 月，我國已有 193 個省級和城市的地方政府上線了數據開放平臺，其中省級平臺 20 個（含省和自治區，不包括直轄市和港澳臺）， 城市平臺 173 個（含直轄市、副省級與地級行政區）。

如上圖所示，全國各地上線的城市數據開放平臺分布不一，主要集中在東部沿海、中部、西南地區以及南部廣東、廣西兩省。圖中綠色越深代表開放平臺上線越早。

但是報告也指出，我國公共數據開放目前仍存在不充分、不協同、不平衡、不可持續等問題。開放數據數量不多、容量低、顆粒度粗、質量不高；實時動態、高顆粒度、高容量數據集的開放極少，來自政府部門數據以外的公共數據集的開放也很不充分。其次，各地數據開放工作之間缺少聯動協同，地方平臺間未充分實現跨層級跨地域連通，各地開放的數據在內容和標準上也存在明顯差異。此外，各地之間在開放平臺的數量、開放數據集的數量、容量和類型上也很不平衡。

當前，《數據安全法》實施一年有余，數據安全各方面更加規范，各個主體在實踐中也暴露了一些問題。為了補充《數據安全法》，2022年7月7日，國家互聯網信息辦公室公布《數據出境安全評估辦法》，自9月1日起施行。該法規定了數據出境安全評估的范圍、條件和程序，為數據出境安全評估工作提供具體指引。

還有學者提出疑慮，《數據安全法》中存在數據地方主義和部門主義。北京師范大學法學院副院長袁志杰認為，將確定數據保護目錄的權力交給各個地方和部門，將會造成嚴重的數據地方主義和數據部門主義，回味各種數據系統的打通認為設置更大的障礙，也令跨地域、跨部門經營的大公司的合規工作難上加難。

前不久，實施了五年之久的《網絡安全法》迎來了修改的消息，國家網信辦擬對該法的四部分做出修改，涉及處罰方式和個人信息保護等方面。《數據安全法》在實施過程中面臨的問題和挑戰也有望在后續進行調整或增補。