但与此同时，《网络安全法》对于“个人信息”则界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”按照这一表述，个人信息可以是电子的，也可以是非电子的。显然，个人信息定义与“网络数据”也并非同一内涵。

而《民法总则》、《民法典》在规定“数据”的时候，则采用了如下表述：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。上述法律表述中将“数据”与“网络虚拟财产”并列，似乎表明数据的内涵更偏向于电子化的信息。

界定并不清晰，与信息时代整体信息保护及整体信息安全的要求不相适应。

从《网络安全法》的规定看，如果仅仅将“数据”理解为“电子数据”或“网络数据”，则数据与信息的关系将难以平衡，信息的外延将会大于数据。将电子化记录与其他方式记录的信息，统一纳入数据范畴，符合数字化时代的信息安全要求。

当然，《草案》对于“数据”的界定也存在一定的不足之处，主要体现为，电子化的信息与非电子化的信息，在信息安全事故或者信息不当利用情况下的危害程度是不同的，纳入同一保护范畴，在执法、司法裁判标准方面将会存在执法、司法标准不易确当的情况。此外，如果《草案》对于数据的界定获得通过，则需要对其他涉及信息保护的法律法规进行相应的修正，以保持法律的衔接和协调。

二、突出保护与利用并重的原则

按照这一规定，省级以上人民政府制定数字经济发展规划不再是一个简单的地方规划问题，而是该级人民政府的法定义务。

此外，《草案》还规定了数据交易问题。该法第十七条规定：“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”虽然这一条的规定非常原则，但数据交易管理制度的提出，则为进一步的立法预留了空间。笔者认为，《草案》第十七条的规定作为数据流转、共享的基础制度，如果能够通过，并且能够出台科学、合理，且均衡社会利益的细则，对于促进我国大数据发展无疑具有积极的作用和价值。

三、确定了数据安全审查制度

《草案》审查的对象包括所有的影响或可能影响国家安全的数据活动，既包括线上的数据活动，也包括线下的数据活动，且对数据活动主体并未做出限制。

而《审查办法》所设查的主体仅为关键信息基础设施运营者，审查活动主要针对产品或服务的采购环节，而审查的内容则除了重要数据被窃取、泄露、毁损的风险外，还包括产品或服务是否具有连续性，以及是否收购政治等因素影响，从而威胁供应链的安全。

数据安全审查制度将数据活动对国家安全的影响作为其规制的价值目标，这也意味着，企业或其他社会主体，在从事数据活动时，应首先进行国家全判断。当然，《草案》对于审查的程序并未做进一步规定，有待相关细则加以界定。

四、确立了重要数据保护与评估制度

1、关于重要数据的概念

重要数据的概念、内涵、外延，一直是实践中较难掌握的问题。《草案》第十九条规定了数据分级分类保护。并规定：“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。”并在第二十五条对重要数据的处理者应当设立数据安全负责人和管理机构做出了规定。不过，遗憾的是，《草案》对于重要数据并未做出界定，哪些数据构成重要数据？《草案》并未解决。对此，可以借鉴其他法律及规则的定义加以识别。

《网络安全法》首次提出了“重要数据”概念，并对重要数据的分类保护以及出境做了规定。该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。但这一条款并没有界定什么是重要数据。

国家互联网信息办公室于2017年4月11日公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条，对重要数据界定为：“重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。”

2019年5月28日，国家互联网信息办公室公布了《数据安全管理办法（征求意见稿）》，对“重要数据”界定为：“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”

虽然《草案》及《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》当前均未生效，但考虑到数据分类保护的法定要求，建议《数据安全法》对重要数据的定义进行明确界定，以便在数据活动中更具有可操作性。

2、确立了数据安全评估制度

事实上，在《网络安全法》及《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》中，均规定了数据出境的安全评估制度，但上述制度仅限于数据或重要数据出境过程中的评估。

如《网络安全法》第三十七条则规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

《个人信息和重要数据出境安全评估办法（征求意见稿）》第九条则规定了多种需要评估的数据出境行为，其中第（五）条款提到了“关键信息基础设施运营者向境外提供个人信息和重要数据。”这一规定《网络安全法》基本一致。

在《数据安全管理办法（征求意见稿）》中，则在第二十八条规定了：“网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。”

应该说，《网络安全法》及《个人信息和重要数据出境安全评估办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》对于需要出境安全评估的数据界定并不一致。前两个规定针对的是关键信息基础设施运营者需要出境的重要数据，而后一个规定则针对网络运营者的重要数据出境。但是这几部法律及规则的征求意见稿，评估制度针对的均为数据出境。

而《草案》所规定的数据安全评估，范围则更广，针对重要数据处理者的全部数据活动。《草案》第二十八条规定：“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。”

综上，对于重要数据，《草案》的主要突破在于设置了重要数据安全评估制度，但对于重要数据的定义并未明确界定，仍需在进一步立法中予以明确。

五、数据歧视的对等措施

《草案》对于与数据和数据开发利用技术等有关的投资、贸易方面的歧视性政策以对等原则进行反制，是维护中国数据安全及中国企业开展正常数据活动的必要措施。

此外，《草案》还规定了数据交易中介服务机构的责任、在线数据处理服务经营者的许可或备案、境外执法机构调取中国境内数据的报告制度等。限于篇幅，本文不做展开。

总体而言，《数据安全法（草案）》意在构建一个包括电子数据与非电子数据在内的全面的数据安全保护体系，其内容覆盖较为全面。但同时，也存在一定的缺失和需要进一步完善的地方。