​《数据安全法》自2021年9月1日实施已经一周年，这一年的变化有目共睹。数据处理活动开始有规可循，数据安全得到更多保障，数据开发利用更加规范，个人和组织更加具有数据安全意识，企业安全建设越来越完善，政务数据越来越开放。

数据安全和数字经济密不可分。数据显示，2017年到2021年，我国数字经济规模从27.2万亿元增至45.5万亿元，总量排名世界第二，年均复合增长率达13.6%。数字经济在提升市场效率的同时，也带来了数据安全问题。再加上如今远程网课、居家办公的需求迅猛增长，网络环境愈加开放和多元也暗含着风险因素增加。

在《数据安全法》实施的这一年中，我们看到了几个趋势，首先企业数据安全建设工作面临挑战，法规和技术落地之间存在实践难点；其次是数据经纪开始兴起，数据流通加快的同时也面临一些隐私边界界定问题；最后是各地政务数据开放趋势加快，越来越多的政府部门开始对外开放数据，但其中目前相对还处于粗放式开放阶段，有待进一步发展。

企业数据安全建设挑战

在企业数据安全建设中，数据分级制度、数据合规、数据保护、数据备份、数据存储、数据容灾等等，需要部署和落地的环节很多。7月，互联网出行巨头滴滴的网络安全审查案刚刚靴子落地，以处罚80.26亿元人民币结束，也给其他企业的数据安全和数据出境工作敲响警钟。

但目前企业数据安全面临的问题是，从法律到技术落地之间缺少细则。在实际业务层面，法律的合规要求如何落实在技术中，应用何种技术既能满足合规要求，又能减少对业务的影响，是企业在实际操作中遇到的难点。

腾讯安全数据安全专家谢灿在接受媒体采访时表示，除了技术问题，企业还面临的还包括法律规范的解读、数据安全组织、流程制度、技术规范和落地、监测处置、能力评估各个层面的建设和落地。

蚂蚁集团副总裁兼首席技术安全官韦韬曾对36氪表示，相关法律实施近一年，行业对安全的投入依然有巨大缺口。不少企业把数字化系统应用得相当广泛，但往往能看到他们专业安全团队的建设滞后。他表示，“一些企业买了安全产品，有了安全报警，却没人管，这不在少数。“

数据经纪开始兴起

数据经纪（data broker）在国外发展成熟，是成熟的数据交易产业链中的重要一环，极大地促进数据交易、发挥数据作用。数据交易除了数据提供方、使用方、交易平台，还需要数据撮合、加工、评估、定价、存储及交付的主体，也就是数据经纪商。

但数据是一把双刃剑，数据流通可以带来便利，但理想的数据流通应该建立在数据分级情况下，核心敏感数据需要脱敏处理以保护用户的信息安全。2022年9月，美国最大的数据服务商之一Kochava，被美国联邦贸易委员会起诉，称其过度收集隐私信息、出售数亿手机设备的地理位置数据，威胁公民人身安全。

回看国内情况，由于此前在法律上无法清晰界定数据权利边界，数据交易活动徘徊不前。《数据安全法》明确要完善数据交易管理制度，促进数据流动。第十九条规定，国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。

数据经纪商从用户的智能手机上收集精确数据，包括手机位置、时间标记、经纬度作标、设备ID、IP地址、设备类型等，处理打包转售给客户，客户利用这些数据来进行精准营销。但在这些环节，需要法律约束，以防出现上述侵犯用户隐私的行为。

2021年11月，上海提出“数据服务商”体系，包括数据交易主体、数据合规咨询、质量评估、资产评估、交付等环节。2022年1月，北京国际大数据交易所提出了“数字经济中介产业体系”。其他各地也陆续推出数据经纪服务，但目前的数据经纪市场仍处于起步阶段，后续在《数据安全法》的驱动下，其发展值得期待。

政务数据愈发开放

《数据安全法》的亮点之一，是在中央立法层面对政务数据安全和数据开放做出明确规定。在本法施行之前，我国政务数据的开放处于各自摸索状态，各地、各部门发展进度不一、发展不平衡，一些走在前列的省市通过立法对政务数据开放做出规定，但尚无全国范围内的统一法律。还存在部分部门，出于数据安全问责压力，对政务数据开放存在顾虑缺乏动力。

政务数据安全和开放在《数据安全法》中单独占据一个章节， 第三十九条规定，国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

上述两条法规旨在规范数据政务数据安全，对于政务数据公开，该法也做出相应要求。第四十一条规定，国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。依法不予公开的除外。第四十二条规定，国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

根据复旦大学数字与移动治理实验室的《中国地方政府数据开放报告》（2021年度），截至 2021 年 10 月，我国已有 193 个省级和城市的地方政府上线了数据开放平台，其中省级平台 20 个（含省和自治区，不包括直辖市和港澳台）， 城市平台 173 个（含直辖市、副省级与地级行政区）。

如上图所示，全国各地上线的城市数据开放平台分布不一，主要集中在东部沿海、中部、西南地区以及南部广东、广西两省。图中绿色越深代表开放平台上线越早。

但是报告也指出，我国公共数据开放目前仍存在不充分、不协同、不平衡、不可持续等问题。开放数据数量不多、容量低、颗粒度粗、质量不高；实时动态、高颗粒度、高容量数据集的开放极少，来自政府部门数据以外的公共数据集的开放也很不充分。其次，各地数据开放工作之间缺少联动协同，地方平台间未充分实现跨层级跨地域连通，各地开放的数据在内容和标准上也存在明显差异。此外，各地之间在开放平台的数量、开放数据集的数量、容量和类型上也很不平衡。

当前，《数据安全法》实施一年有余，数据安全各方面更加规范，各个主体在实践中也暴露了一些问题。为了补充《数据安全法》，2022年7月7日，国家互联网信息办公室公布《数据出境安全评估办法》，自9月1日起施行。该法规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供具体指引。

还有学者提出疑虑，《数据安全法》中存在数据地方主义和部门主义。北京师范大学法学院副院长袁志杰认为，将确定数据保护目录的权力交给各个地方和部门，将会造成严重的数据地方主义和数据部门主义，回味各种数据系统的打通认为设置更大的障碍，也令跨地域、跨部门经营的大公司的合规工作难上加难。

前不久，实施了五年之久的《网络安全法》迎来了修改的消息，国家网信办拟对该法的四部分做出修改，涉及处罚方式和个人信息保护等方面。《数据安全法》在实施过程中面临的问题和挑战也有望在后续进行调整或增补。