日前，《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式通过并公布，自2021 年9月1日起施行。在信息经济时代，数据已成为新兴的生产要素，是国家基础性和战略性资源，同时，数据安全需求也越发凸显，已成为事关国家安全与经济社会发展的重大问题。

笔者指出，企业应当开始评估自身业务活动是否收集、处理重要数据与国家核心数据，并特别关注国家有关部门后续将发布的重要数据目录、非关键信息基础设施的运营者出境重要数据的具体办法，以及国家核心数据相关规定的内容与要求，以确保在《数据安全法》正式实施之前，建立起较为完善的重要数据与国家核心数据的管理措施。此外，对于业务活动涉及出口管制范围内数据出口、涉及个人信息收集与处理、涉及统计与档案工作中的数据处理活动等的企业而言，还应当关注自身操作符合其他相关法律法规的要求。

要 点

1. 企业在相应搭建自身的合规制度参照数据分类分级标准时，需要关注的不仅仅是数据分类分级保护标准中分类分级标准是否为强制标准，而是关注行业主管部门所制定的有关指引以及在依据法律法规执法过程当中所适用的分类分级标准。

2. 重要数据的边界在《数据安全法》中仍不明确。我们判断有关重要数据的相关标准很可能于近期出台，相关企业首先应当就此加以关注，以及时判断自身是否属于重要数据处理者的范围。

3. 对于重要数据跨境传输而言，《数据安全法》首先明确了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，仍适用《网络安全法》的要求，即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

一、前言

2021年6月10日，《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务 委员会第二十九次会议于2021年6月10日正式表决通过，正式公布，并将于2021年9月1日正式实施。

二、概述

（一）立法背景

自2020年6月28日以来，《数据安全法》经历了三次审议与修改，终于2021年6月10日正式表决通过， 并确定将于2021年9月1日正式实施。

在此之前，中国未就数据安全领域设置具有针对性的上位法，主要零散分布于其他法律法规及其相关司法解释等文件中予以体现。具体而言，包括但不限于以下内容：

1. 《网络安全法》中对关键信息基础设施运营者就个人信息和重要数据出境前设置了安全评估制度的要求（例如，第三十七条等）；对网络运营者设置了建立用户信息保护制度的要求，与收集、使用个

人信息的要求（例如，第四十条、第四十一条等）。

2. 《民法典》明确规定个人信息保护为民事权利之一，即自然人的个人信息受法律保护。任何组织 或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息（例如，第一百一十一条等）。

3. 《刑法》修正案及其司法解释就出售或者非法提供、窃取或者非法获取公民个人信息的犯罪及刑罚予以了定义与补充（例如，刑法修正案（七）、刑法修正案（九）、《关于办理侵犯公民个人信息刑事案件使用法律若⼲问题的解释》等）。

（二） 立法意义

《数据安全法》由七个章节、55条法律条文组成，涵盖了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放及相关法律责任等具体规定。

作为中国首部针对数据安全领域的立法，本法明确了国家对数据安全的监管范围、确立了相关监管机关 对数据安全的监管地位、阐明了维护数据安全的核心意义等，为数据安全各领域后续立法工作（例如， 个人信息保护法等）与安全监管工作提供重要法律依据。

三、重点内容解读

本文将结合《数据安全法》的具体规定与中国法律法规项下其他相关规定，对《数据安全法》中的重点内容予以解读，分析其与其他数据安全领域相关规定的联系，研判法律要求的具体变化，形成立法形势预判，供企业参考。

（一）立法核心目的

从《数据安全法》第一条中我们可以得知，此项立法继承了《网络安全法》《民法典》等法律以及国际数据保护立法趋势中对公民、组织合法权益保障，对数据处理活动予以规范，促进数据开发利用的核心目的。

此外，此次立法中另一项被延续的重要的目的在于维护国家主权、安全和发展利益。此项立法基于这一目的实现所规定的具体要求除保护中国公民个人信息以及中国境内重要数据安全以外，还可能成为反制外国司法或执法机构调查中的跨境证据采集法律法规（例如，美国 云法案 ）的有效手段。

（二）适用范围

根据《数据安全法》第二条第一款的规定，本法的适用范围为在中华人民共和国境内开展的数据处理活动及其安全监管活动。

但是与此同时，第二条第二款规定在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，将依法追究法律责任，据此可知第二条第二款未直接将境外开展数据处理活动纳入本法的适用范围内。我们初步判断，设置本条款的主要目的在于在国家的合理立法范围权力内，通过作为数据安全领域的重要法律基础的《数据安全法》，确立境外开展的数据处理活动需符合中国法律的相关规定的要求，以《个人信息保护法（草案二次审议稿）》为例：该草案规定某些特定的在中国境外处理中国境内自然人个人信息的活动也属于草案的适用范围。

值得注意的是，《数据安全法》的适用范围排除了涉及国家秘密的数据处理活动及其监管，即涉及国家 秘密的数据处理活动，适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

（三）关键定义

1. 数据的范围：电子数据与非电子形式记录的数据

《数据安全法》第三条第一款给出了对数据的定义，即指任何以电子或者其他方式对信息的记录。此处的定义与《个人信息保护法（草案二次审议稿）》中个人信息的定义的描述类似，具体而言包括了电子数据以及非电子形式记录的数据。

在此之前，中国法律项下未就数据这一概念予以具体定义，但是在《网络安全法》中，有网络数据的定义，即通过网络收集、存储、传输、处理和产生的各种电子数据。因此，需要注意的是，《数据安全法》作为数据安全领域的重要法律基础，其项下所指数据范围要大于此前立法中的概念，也意味着未来的立法趋势中，非电子形式记录的数据可能也会纳入各具体数据安全领域法律规定的适用范围内。

2. 数据处理的含义

《数据安全法》第三条第二款对数据的 处理 与《民法典》第一千零三十五条所描述的处理一致，即收集、存储、使用、加工、传输、提供、公开等。

（四）数据安全监管体系

根据《数据安全法》，建立健全数据安全治理体系应当坚持总体国家安全观。中央国家安全领导机构作 为研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重 要工作，建立国家数据安全工作协调机制的关键机关。各行业主管部门承担本行业、本领域数据安全监管职责，国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。鉴于上述《数据安全法》的要求，数据监管将按照行业予以划分，各行业内的所有数据保护监管，包括数据出境审批、落实数据分类分级保护制度等权力，实际落实到了各行业主管部门。

此外，根据《数据安全法》的要求，国家将建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

（五）数据安全制度

1. 数据分类分级保护制度

《数据安全法》确立建立数据分类分级保护制度，要求对数据实行分类分级保护。此处，我们判断“分类”，指根据不同的产业类型对数据进行分类保护，而“ 分级”，指根据不同的数据类型设置不同的等级保护要求。例如，工业和信息化部就工业数据分类分级于2020年2月27日发布了《工业数据分类分级指南》，根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等3个级别。此外，例如中国证券监督管理委员会于2018 年发布了《证券期货业数据分类分级指引》行业标准。《数据安全法》奠定了未来各行业主管部门基于其数据监管权力，通过制定数据分类分级指引与行业标准、开展有关执法监管活动，落实数据分类分级保护制度中的重要趋势。

对于此，我们提请相关企业注意，在相应搭建自身的合规制度参照数据分类分级标准时，需要关注的不仅仅是数据分类分级保护标准中分类分级标准是否为强制标准，而是关注行业主管部门所制定的有关指引以及在依据法律法规执法过程当中所适用的分类分级标准。即使当执法所依据的分类标准为指引或推 荐性标准，相关企业仍应当严格按照相应标准执行数据分级分类保护制度。

2. 重要数据与国家核心数据

（1）重要数据

《数据安全法》授权国家数据安全工作协调机制统筹协调各地区、各有关部门制定重要数据目录。重要数据 的概念首次在《网络安全法》中提出，并对重要数据的某些跨境传输、特别保护提出了具体要求， 但是没有予以具体的界定，实际的认定中也存在模糊的情形。我们初步判断，未来有关部门根据《数据安全法》的要求制定的重要数据目录，将作为《网络安全法》中界定重要数据 的重要依据。

值得留意的是，2017年4月网信办发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，但是迟迟未有新立法动向。在此项征求意见稿中，重要数据指与国家安全、经济发展，以及社会公共利益密切相关的数据。我们理解，该范围可能会作为有关部门制定重要数据目录的参考标准。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。对于此，我们判断行业主管部门除通过发布指引、行业标准等文件落实数据分类分级保护制度以外，还很可能基于其数据监管权力，制定本行业的重要数据目录，具体划定本行业中受《数据安全法》规制的重要数据 。

（2）国家核心数据

《数据安全法》还首次提出了国家核心数据的概念，即关系国家安全、国民经济命脉、重要民生、重大 公共利益等数据，并要求对此类数据实行更加严格的管理制度。违反国家核心数据管理制度，危害国家主权、安全和发展利益的主体，可能面临由有关主管部门处一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

此外值得注意的是，由于《数据安全法》的适用范围排除了涉及国家秘密的数据处理活动及其监管，此处国家核心数据并非指涉及国家秘密的数据。

目前，《数据安全法》中暂未就针对国家核心数据的更加严格的管理制度予以展开规定，我们推断有关部门可能会在后续立法工作中予以更为细化的解释，有关公司应当特别予以跟踪关注。

3. 数据安全审查制度

《数据安全法》确立建立数据安全审查制度，要求对影响或者可能影响国家安全的数据处理活动进行国 家安全审查，并赋予了依法作出的安全审查决定最终决定的效力。

早在2020年4月27日，国家互联网信息办公室，国家发展和改革委员会，工业和信息化部，公安部，财政部，商务部，中国人民银行，国家市场监督管理总局，国家广播电视总局，国家保密局，国家密码管理局十二个国家部门联合制定、发布了于2020年6月1日生效的《网络安全审查办法》，以确保关键信息基础设施供应链安全，进而保护关键基础设施网络安全与业务安全，并维护国家安全。我们推断，《网络安全审查办法》可能会作为《数据安全法》项下各领域数据安全审查工作模式的蓝本，形成多部门联 合审查工作机制作为审查主管部门可能成为数据安全审查的趋势，从而能够有效应对数据安全问题的内在复杂性。

4. 数据安全应急处置机制

《数据安全法》确立建立数据安全应急处置机制，要求在发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。

5. 管制物项数据的出口管制

根据《数据安全法》的规定，对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

《出口管制法》明确指出管制物项的范围包括技术资料等数据。具体而言，《出口管制法》第二条规定，国家对两用物项、军品、核以及其他与维护国家安全和利益、履行防扩散等国际义务相关的货物、技术、服务等物项（以下统称管制物项）的出口管制，适用本法。前款所称管制物项，包括物项相关的技术资料等数据。《数据安全法》在数据保护领域立法中，明确技术资料等数据出口属于出口管制监管范围内，若予以出口需申请相应出口许可证，从而进一步确保了涉及限制出口的两用物项技术资料的安全。

6. 针对数据歧视的对等措施

《数据安全法》中设置了一项针对数据歧视的比较特别的规定，即任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

对等措施 的设置多存在于贸易法与投资法领域，例如《外商投资法》《出口管制法》等。在作为数据安全领域重要法律基础的《数据安全法》中加入对等措施，反映出立法机关将数据安全、数据技术认 定为中国企业壮大发展的关键要素，也反映出中国立法机关在复杂国际背景下未⾬绸缪的努力。

（六）数据安全保护义务

《数据安全法》第四章具体规定了开展数据处理活动的主体应当遵循的数据安全保护义务。具体而言， 从事数据处理的组织与个人应当关注以下主要数据安全保护义务：

1. 一般义务

首先需要注意的是，《数据安全法》所规定的一般义务适用主体范围约束的是 开展数据处理活动。因此，凡开展《数据安全法》所约束范围内的数据处理活动的主体，均需履行一般义务。这⾥的所指的一般义务主要包括：

（1）建立健全全流程数据安全管理制度，组织开展数据安全教育培训。

（2）采取相应的技术措施和其他必要措施，保障数据安全。

（3）利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。具体指在符合《网络安全法》项下网络安全等级保护制度的要求下，采取包括但不限于制定内部安全管理制度和操作规程，确定网络安全负责人，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，监测、记录网络运行状态与网络安全事件，采取数据分类、重要数据备份和加密等措施，履行具体的数据安全保护义务。

（4）加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施。

（5）发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

（6）收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

（7）法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。该项义务衔接了各行业主管部门关于个人信息保护的数据处理规则，形成了上位法依据。此外，值得注意的是，根据此项义务描述，不仅个人数据的收集、使用需满⾜合法性、正当性原则，其他数据也要需要具有相应的合法性与正当性。基于此，我们初步预见目前针对个人信息保护的制度未来可能会扩大、借鉴适用到其他数据保护法律法规的内容当中。

（8）法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。

（9）有关组织、个人应当配合公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据。

上述《数据安全法》所要求用于确保数据安全保护的一般义务，与ISO27001《数据安全管理体系》中的部分基本元素相吻合，如制定数据保护制度政策，采取例如加密技术等技术措施及物理环境安全保障措施、访问管理措施、操作管理措施等其他必要措施保障数据安全，制定应急预案以应对数据安全事件，并关注与有关法律法规的要求合规等。

若开展数据处理活动的主体违反以上（1）（2）（3）（4）（5）项一般义务的要求，可能会面临由有关主管部门责令改正，给予警告，直至责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，并处以二百万元以下的罚款。

若违反第（9）项一般义务的要求，拒不配合数据调取的，可能将面临由有关主管部门责令改正，给予警告，并处以五十万元以下的罚款。

对于（6）（7）（8）项一般义务而言，由于各数据安全领域具有其自身的特殊性（例如个人信息具有内在敏感性，涉及个人信息处理的相关义务要求与对应违法处罚一般更为严格），虽然未在《数据安全法》直接规定具体的违法处罚措施，但是我们判断具体的罚则将在具体的实施条例及其他相关法律法 规中予以明确。

2. 重要数据处理者特别义务

目前，重要数据的边界在《数据安全法》中仍不明确。我们判断有关重要数据的相关标准很可能于近期出台，相关企业首先应当就此加以关注，以及时判断自身是否属于重要数据处理者的范围。根据《数据安全法》的要求，重要数据处理者需要履行以下特别义务：

（1）要求重要数据处理者任命数据安全负责人和管理机构，以落实数据安全保护责任。

（2）要求重要数据处理者对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。具体而言，风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

若开展数据处理活动的主体违反以上重要数据处理者特别义务，可能会面临由有关主管部门责令改正，给予警告，直至责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，并处以二百万元以下的罚款。

3. 重要数据跨境传输特别要求

对于重要数据跨境传输而言，《数据安全法》首先明确了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，仍适用《网络安全法》的要求，即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

此外，《数据安全法》规定，其他数据处理者（即，非关键信息基础设施的运营者）在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。我 们判断，有关部门可能会出台针对非关键信息基础设施的运营者出境重要数据的具体办法。虽然《个人 信息和重要数据出境安全评估办法（征求意见稿）》的出台可能性已经非常小，但是其中有关非关键信息基础设施的运营者重要数据出境安全评估的标准以及相关要求仍可能作为立法部门参考的重要依据。

若违反《数据安全法》规定向境外提供重要数据，可能会面临由有关主管部门责令改正，给予警告，责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，并处一千万元以下的罚款。

4. 数据交易中介服务机构特别要求

《数据安全法》对于从事数据交易中介服务的机构提供服务的过程当中，设置了特别的要求，即应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

若数据交易中介服务机构未履行上述要求，则可能面临由有关主管部门责令改正，没收违法所得，责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，并处违法所得一倍以上十倍以下或一百万元以下的罚款。

5. 应对外国司法或执法机构调查的特别要求

近年来，外国司法或执法机构（例如，美国BIS、OFAC等监管机关）调查中国境内实体的频率以及由此引发的制裁、处罚案件越发增多。美国于2018 年3 月还通过了《海外数据合法使用权明确法案》（CLOUD ACT，多称为美国 云法案 ），以指导美国执法部门依据合法的搜查令来直接访问境外的数据。

在此背景下，此次《数据安全法》的立法明确规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机关提供存储于中华人民共和国境内的数据，并同时声明中国主管机关根据有关法律和中国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。这一立法规定能够从法律层面上阻断外国司法或者执法机构直接要求相关实体提供存储于中国境内的数据的调查活动，从而在一定程度上实现对国家主权、安全和发展利益的维护。

在此之前，中国境内组织、个人在配合外国司法或执法机关调查时，主要需要关注数据跨境传输中的两类情形，即（1）跨境传输的数据构成国家秘密，则不得向境外提供，以及（2）关键基础设施所收集的个人信息、重要数据仅可在依法进行了安全评估后能够向境外提供。《数据安全法》实质上在此前的基础上，对组织、个人在配合外国司法或执法机关调查时所提交数据的管控范围予以了扩张，即扩张至所有数据需经过有关主管机关批准方可向外国司法或者执法机关提供，而不再仅限于上述两类限制性情形。

若相关主体未经主管机关批准向外国司法或者执法机构提供数据，可能面临由有关主管部门给予警告，责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，并处五百万元以下罚款。

（七）政务数据管理

《数据安全法》对国家机关收集、使用数据（如个人隐私、个人信息、商业秘密、保密商务信息等数据），以及与数据处理受托第三方共享数据等方面设置了具体的原则性要求，落实政务数据安全。与此同时，《数据安全法》还对国家机关制定了及时、准确地公开政务数据，构建统一规范、互联互通、安全可控的政务数据开放平台等方面的要求，推动政务数据开放利用。

四、企业合规建议

（一）评估自身业务的适用性

《数据安全法》的适用范围相较而言，明确扩大了原数据安全领域法律法规的管辖范围，将管辖范围延伸至非电子数据。因此，相关企业需要重新结合自身业务操作，研判自身所开展的数据处理活动是否属于《数据安全法》的规制范围内，特别是针对非电子数据的处理活动予以研判。

此外，相关企业还应当研判自身开展业务是否属于《数据安全法》中所指定的具有特殊义务要求的数据处理主体，如重要数据处理者、数据交易中介服务机构、关键信息基础设施的运营者等，以明确自身应当履行的义务范围。

（二）建立符合要求的数据安全制度，确保义务的履行

《数据安全法》要求建立数据安全制度，治理数据安全领域问题。对于相关企业而言，建立与《数据安全法》要求匹配的内部数据安全制度是确保合规操作、完整履行自身义务的重要手段。

1. 建立数据分类分级管理制度

我们建议相关企业根据《数据安全法》，建立数据分类分级管理制度。鉴于有关重要数据出境以及国家核心数据的违法处罚占据了《数据安全法》中最严格处罚措施的地位（一千万元以下的罚款；构成犯罪，处以刑事责任），企业应当特别关注分类分级管理制度中的重要数据与国家核心数据的管理措施建立。

企业应当着手采取措施，开始评估自身业务活动是否收集、处理重要数据与国家核心数据，并特别关注国家有关部门后续将发布的重要数据目录、非关键信息基础设施的运营者出境重要数据的具体办法，以 及国家核心数据相关规定的内容与要求，以确保在《数据安全法》正式实施之前，建立起较为完善的重要数据与国家核心数据的管理措施。

此外，对于业务活动涉及出口管制范围内数据出口、涉及个人信息收集与处理、涉及统计与档案工作中的数据处理活动等的企业而言，还应当关注自身操作符合其他相关法律法规的要求。

2. 建立数据安全审查制度

《数据安全法》要求建立数据安全审查制度，要求对影响或者可能影响国家安全的数据处理活动进行国 家安全审查。对于相关企业而言，特别是业务活动涉及处理重要数据的相关企业，应当履行对其数据处理活动定期开展风险评估，并向有关主管部门依法报送风险评估报告的义务。

此外，企业应当继续关注《网络安全审查办法》等针对各领域数据安全审查的具体办法的后续颁布情况，及时依法调整内部数据安全审查范围，以配合国家有关部门的审查要求。

3. 建立数据安全应急处置机制

《数据安全法》确立建立数据安全应急处置机制。对于相关企业而言，应当履行加强数据安全风险监测并及时采取补救措施的义务，与发生数据安全事件时及时采取处置措施并上报主管部门的义务。

我们建议相关企业搭建内部正式数据安全风险监测与修正机制，并制定书面数据安全事件应急预案，以最大程度确保配合有关部门的调查与应急处置措施开展，从而防止危害扩大，消除安全隐患。

（三）关注数据安全领域立法动态

《数据安全法》的颁布是中国的数据安全领域立法进程中的一项关键的举措，其颁布标志着数据安全立法拥有了具有统领性质的上位法。这同时意味着，后续有关部门将很可能加大数据安全领域立法力度，补充更多针对各领域的具体细化要求。

就目前而言，企业应当关注的后续数据安全领域立法，例如《个人信息保护法》等立法进程。此外，相关企业还应当重点关注重要数据目录、非关键信息基础设施的运营者出境重要数据的具体办法，以及国家核心数据相关规定的内容与要求等在《数据安全法》中规定了严格罚则，但暂未进一步明确具体义务范围相关的法律法规文件颁布情况。