第八条 【数据处理者的基本义务】

开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

【释义】

本条规范的对象是数据处理活动主体的基本法律义务和伦理义务。具体来讲，数据处理者开展数据处理活动，应当履行以下五项义务：

第一，数据处理者应当遵守法律、法规。法律、行政法规是对全体社会成员具有普遍的强制约束力的行为规范。 数据处理活动应当在法律、行政法规规定的范围内，保证数据处理活动的合法性。此处应当注意数据处理活动区别于一般的民事行为，一般民事行为以意思自治为主，同时根据《民法典》第8条，以“禁止违反法律”为民事活动的限制性原则，言外之意是法无禁止均为可行。而数据处理活动则正面规定“遵守法律、法规”的义务，意味着数据处理活动是受到法律、行政法规严格监管的活动领域，应当严格依照法律、法规的规定开展，甚至暗含数据处理活动“法无规定则不可行”的特点。本条最后“不得危害国家安全、公共利益，不得损害个人、组织的合法权益”实际上属于“遵守法律、法规”的“限制性”同等表述，前者具体落实到了法律规范中的合法权利和利益的保护层面。

第二，数据处理者应当尊重社会公德和伦理。数据伦理在规范数据处理活动中占据重要的地位。究其原因在于，数据处理活动，尤其是伴随着人工智能发展的自动化数据处理，具有极高的专业性、技术性和“黑箱”特点，通过法律的外部监管往往难以打破“黑箱”，单独形成有效的技术监管效果，因此，对数据处理活动的政府监管需要行业自律和数据处理者自我监管的配合。在形成技术自律的过程中，技术伦理、数据伦理是除了法律之外最为重要的自律规则渊源。伦理规则往往能够起到法律规则所不具有的“软法”“向善”的治理效果，且当法律基于利益平衡的考量，往往仅规定最低的技术和价值标准时，伦理规则则可以倡议最高的道德和伦理要求，要求数据处理者自愿、尽最大努力去遵守。

第三，数据处理者应当遵守商业道德和职业道德，诚实守信。诚实信用是民事活动的基本原则之一，且是限制性原则。诚信原则要求民事主体秉持诚实，恪守诺言，尽最大的善意从事民事活动，特别是在合同缔约和履行过程中，应当合理确定双方的权利和义务，诚实行事，不欺不诈，自觉履行。针对商业性的数据处理活动，数据处理者也应当尊重现代民法上的这一“帝王条款”。

第四，数据处理者应当履行数据安全保护义务。数据安全保护义务的制度体系是实现《数据安全法》立法目的的核心制度。数据安全保护义务在《数据安全法》中独立成章，本法第四章是数据安全保护义务的具体制度展开。如果说本法第三章“数据安全制度”是直接体现国家承担的积极保护数据安全的国家义务，那么，数据安全保护义务的制度则间接体现了国家履行积极保护数据安全这一国家义务。数据安全保护义务作为一种公法私法化的“转介”性义务，实现了国家通过向数据处理者施加数据安全保护义务，从而实现数据安全保护这一间接规制的治理逻辑。

第五，数据处理者应当承担社会责任。承担社会责任也是数据处理者承担法定义务之外的“软法”和自律手段。具体来讲，是要求数据处理者在履行法律、法规规定的强制性的诚信义务、数据安全保护义务的基础之上，为自身和社会的可持续性发展，在道德规范、商业伦理、科技伦理等方面承担包括环境保护、生态保护、保障劳动权益、参与社会公益等为公共利益服务的社会责任。

【关联规定】

本法第28条，《中华人民共和国网络安全法》第9条，《中华人民共和国民法典》第7条、第8条

（撰稿人：魏露露）