IT时报记者孙鹏飞
　　你是否觉得手机变得更“懂”你了？和朋友闲聊时，外卖App会精准推荐谈话中提到的美食，即便只在手机搜索引擎里输了几个字，打开电商App，却很快会出现所搜索商品的广告。
　　你是否觉得被“杀熟”了？同一款产品，你和朋友却要支付不同的价格，虽然只是贵了“三五元”，可这种被“割韭菜”的感觉真不咋样。
　　个人隐私数据被违规收集和滥用，已是大数据时代公开的秘密，不过，这样的情况或将在9月改变，一份新的法律正渐行渐近。
　　6月10日，全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》（以下简称《数安法》）。该法是国内第一部专门针对数据安全的法律，将于今年9月1日起施行。
　　大数据时代下这部法律对互联网企业关于数据的处理和保护提出更新要求。浙江大学网络空间安全学院百人计划研究员、博导周亚金向《IT时报》记者表示，《数安法》界定了数据处理过程中包括收集、存储、使用、加工、传输、提供、公开等方面参与者的责任和义务，明确每个过程中，数据运营者该为数据泄露以及带来的安全风险负责。
　　企业网络安全专家联盟秘书长张威也认为，普通用户本身不应该承担过多安全责任，国家转换管理思路，重点管控提供服务的平台。那么，《数安法》还会给用户和互联网公司带来怎样的变化？
多款输入法被下架
　　6月11日，当《数安法》出炉的消息传出时，科大讯飞股价闪崩，盘中一度大挫9.58%，逼近跌停。当日科大讯飞收跌6.01%。
　　同一天，讯飞、QQ、搜狗等输入法在苹果、安卓应用商店被下架或无法下载。截至发稿，记者手机中的华为应用商店仍无法下载讯飞、搜狗输入法。
　　对此，科大讯飞近日在投资者互动平台表示，网信办正对有关App进行统一安全认证与整改。
　　据市场监管总局官网解释，App安全认证是为了规范App收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护。
　　华安证券研报认为，这一事件侧面反映出国家对数据安全的重视，“强监管有望规范行业的信息采集行为，在合规前提下更好利用数据”。
　　这一次，《数安法》对数据给出明确定义，指的是任何以电子或者其他方式对信息的记录。可见，个人信息属于数据的一种。
　　值得一提的是，中国社会科学院金融研究所法与金融研究室副主任尹振涛认为，《数安法》并不是一部专门针对用户个人隐私的法律，与个人隐私最相关的法律是仍未出炉的《个人信息保护法》。上海市联合律师事务所互联网与信息技术业务部主任苏晓琳律师透露，目前《个人信息保护法》于5月28日完成征求意见程序，有望今年年内施行。
　　此前，《网络安全法》（以下简称《网安法》）对个人隐私保护已有较为明确的规范。苏晓琳认为，《网安法》主要为保障网络安全，维护各主体网络空间权益而制定，将有效促进经济社会信息化健康发展，而《数安法》则为规范数据处理活动，保障数据安全，维护各主体数据相关权益而制定，将促进数据开发利用。这是二者本质的区别。
新法执行需配套行政法规
　　《数安法》共有七个章节，其中企业运用数据时保护数据安全规范与义务主要集中在第四章。而第六章违法处理数据的处罚条例，均与第四章相关。《IT时报》记者发现，第六章相关处罚覆盖第四章所有内容，除了第二十八条：“开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。”
　　在苏晓琳看来，第二十八条就开展数据处理活动以及研究开发数据新技术等数据处理及相关行为，从价值导向高度提出对数据安全保护义务的要求，为维护国家层面的价值目标、社会层面的价值取向、公民个人层面的价值准则。“这样的价值导向，与其他有相应罚则的强制性数据安全保护义务相结合，对数据安全形成完整的系统性保护”。
　　但由于《数安法》并未对公德与伦理做出具体定义,周亚金担心，每个人对道德、伦理的解读不同，没有清晰的条文，会让企业无法判断自己是否踩线。
　　一位采访对象告诉《IT时报》记者，《数安法》更像是对数据安全保护的大框架，还需要实质的细则填充，确保其发挥实际监督企业意义。
　　苏晓琳表示，《数安法》明确规定国家、地方、公安、网安、国安各职能部门、各行业领域主管单位的监管职责，确实会有相应配套的行政法规、部门规章会按照数据安全法的要求和目标，有针对性地规范和实施数据安全保护。“但这不意味着数据安全法只是一部空泛的、亟须细则填充的法律。”她说。
数据违规出境最高罚1000万
　　监听你的不止手机端App。
　　今年3月，特斯拉陷入多重风波。马斯克在回应网友时承认，特斯拉车内的摄像头可以监测车主，而大众更大的担忧来自特斯拉数据存储于海外服务器，可能导致国家安全信息、地理信息等关键敏感数据泄露。
　　全国人大常委会法制工作委员会副主任刘俊臣曾发文称，数据是国家基础型战略资源，“没有数据安全就没有国家安全”。
　　5月25日，特斯拉宣布，已在中国建立数据中心，以实现数据存储本地化。同时，所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。在业内看来，一切为了合规。
　　一个月前，国家网信办发布《汽车数据安全管理若干规定（征求意见稿）》，对重要数据进行了定义，包括高于国家公开发布地图精度的测绘数据、汽车充电网的运行数据、道路上车辆类型、流量等。该规定指出，重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。
　　如今，《数安法》有了更明确的监管要求：关键信息基础设施的运营者在境内运营中收集和产生的重要数据出境安全管理，适用《网安法》规定；其他数据处理者在境内运营中收集和产生的重要数据出境安全管理办法，由国家网信部门会同国务院有关部门制定。
　　记者了解到，关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。具体行业和领域可能包括金融、交通、水利、卫生医疗等。
　　有业内人士认为，特斯拉可以看作是关键信息基础设施的运营者。国家对数据出境日益谨慎的态度，令近期外国汽车品牌、新能源汽车品牌纷纷在国内投建数据中心。
　　值得一提的是，若企业违反《数安法》相关规定，运营者将面临顶格1000万元、相关个人最高100万元的罚款。相比《数安法》第一版、第二版草案中，运营者顶格100万元、500万元和相关个人顶格10万元、50万元的罚款金额，可见处罚力度在不断加重，违法成本也在加大。
　　苏晓琳认为，就目前对于数据安全方面的执法现状看，相关监管部门并不存在立法严格却在执法上放宽要求的可能。她表示，数据安全涉及国家安全，是国计民生的重要安全事项，相关企业应当予以充分的重视，务必根据《数据安全法》及相关规定，积极履行相关法律义务，尤其是特殊的数据处理主体，还有更严格的特别义务规定。例如重要数据处理者还要定期开展风险评估，并向有关主管部门主动报送风险评估报告。
　　张威则表示，如今监管要求数据脱敏加密，但如何在加密数据中检测敏感信息仍是技术上的难点。而一旦发现敏感数据，在数据流通过程中要如何阻断，仍是需要思考的问题。 下转02版